La crise de la COVID-19 a interrompu les activités normales de plusieurs entreprises. Aussi, le télétravail et les transactions en ligne sont maintenant de nouvelles réalités nécessaires. Le traitement des paiements par voie électronique est souvent le seul mode de règlement offert. Par conséquent, les paiements qui sont encore effectués par chèques ou en espèces peuvent ne pas faire l'objet d'une surveillance ou d'un rapprochement en raison de la réduction de la main-d'œuvre.
La dangereuse association d'une main-d'œuvre confuse, de l'incertitude économique, des processus de travail et des contrôles qui changent rapidement, ainsi que l'augmentation des paiements électroniques, a malheureusement entraîné une hausse marquée de la fraude au moyen de transferts électroniques d'argent.
Les diverses facettes de la fraude et les stratégies utilisées
Le 6 avril dernier, le FBI a indiqué qu'il prévoyait une augmentation des escroqueries par courriel en lien avec la COVID-19. Elles visent plus précisément les fournisseurs de soins de santé et les organismes publics qui achètent des fournitures ou de l'équipement de protection individuelle (ÉPI). Le Centre antifraude du Canada (CAFC) a observé une nette augmentation des escroqueries en lien avec la COVID-19, perpétrées par des criminels qui se font passer pour :
- des entreprises de nettoyage offrant des services de désinfection contre la COVID-19 ou des filtres à air;
- des organismes de charité offrant de l'ÉPI « gratuitement »;
- des entreprises de services publics menaçant d'interrompre leurs services;
- l'Organisation mondiale de la Santé (OMS), qui fournirait la liste des gens infectés habitant dans votre région;
- des conseillers financiers offrant des occasions d'investissement lucratif;
- des sociétés fermées offrant des traitements contre la COVID-19 ou des trousses de dépistage;
- des agences gouvernementales demandant des renseignements personnels ou médicaux.
Les stratégies comme l'hameçonnage par courriel ou téléphonique, les logiciels malveillants, l'usurpation d'identité ou le piratage psychologique n'ont pas changé. Les fraudeurs misent sur la peur et l'anxiété engendrées par la COVID-19 pour tromper les gens et les amener à divulguer des renseignements confidentiels, à installer sur leurs appareils des logiciels non autorisés compromettant la sécurité ou à effectuer des paiements vers des comptes bancaires détenus par des criminels. Les courriels semblent souvent légitimes, car ils ont l'air de provenir d'un client ou d'un fournisseur connu. Ils comprennent généralement une demande de paiement, mais les fraudeurs ont modifié le compte bancaire habituel.
Il est souvent très difficile de récupérer les fonds une fois qu'ils sont transférés. Ainsi, les conséquences pour la réputation et les finances d'une entreprise peuvent être très importantes.
Protéger votre organisation contre la fraude électronique pendant la pandémie
Entre poser les bonnes questions et proposer des formations et des procédures à jour, il y a des étapes à suivre qui vous permettront d'atténuer les risques de fraude électronique.
Si le courrier traditionnel n'est plus un moyen de traiter les paiements, instaurez une procédure de validation des demandes de règlement afin de vous assurer qu'elles sont justifiées. Il peut tout simplement s'agir d'appeler la personne-ressource au dossier pour confirmer la demande de paiement.
Faites preuve d'un scepticisme sain lorsque des demandes inhabituelles ou urgentes sont formulées et assurez-vous de les signaler pour qu'elles soient vérifiées.
Ajoutez des protocoles d'autorisation à vos processus de paiement, ou modifiez-les, afin d'atténuer les pertes liées à l'absence de contrôle en personne.
Soyez vigilant lors de la vérification des demandes de paiement, examinez attentivement les adresses électroniques et les comptes bancaires liés aux versements, assurez-vous d'associer les commandes aux demandes de règlement, etc.
Mettez à jour la formation en cybersécurité offerte aux employés; sensibilisez votre personnel à l'hameçonnage et demandez-lui de ne pas cliquer sur les liens envoyés de l'externe par des expéditeurs inconnus ou ceux qui se trouvent dans des courriels inattendus.
Autorisez uniquement les connexions cryptées aux systèmes de l'entreprise (p. ex., des réseaux privés virtuels, ou VPN en anglais).
Limitez l'accès aux applications financières et restreignez la possibilité d'effectuer des transactions selon les fonctions et les responsabilités de chacun. Cette pratique est aussi connue sous le nom de « principe du moindre privilège ». De plus, n'oubliez pas de supprimer rapidement les accès des employés qui ne travaillent plus au sein de l'entreprise.
Assurez une surveillance accrue et examinez fréquemment les tentatives d'accès non autorisées, les fuites de données, le transfert de courriels et les systèmes dépassés ou fonctionnant sans les correctifs appropriés.
BDO peut vous aider
La situation actuelle évolue constamment, ce qui complique la préparation et l'atténuation des risques. Notre équipe de professionnels a participé à l'adaptation de nombreuses entreprises à cet environnement économique difficile et est prête à vous aider à protéger votre organisation de la fraude électronique.