9 - Le faux fournisseur : un détail peut tout déclencher

Sébastien est responsable administratif et financier dans une TPE de négoce. Dans cette séance, il nous offre une masterclass de la fraude au faux fournisseur ! En 2018 cette expérience a été un véritable électro-choc. Et elle l’a poussé à mettre en place tout ce qu’il pouvait  pour faire en sorte qu’elle ne puisse jamais se reproduire. Si vous  voulez économiser quelques (dizaines de) milliers d’euros je ne peux que vous conseiller une écoute attentive de ce concentré de conseils pratiques !

Que s’est-il passé ?

Un nouveau fournisseur étranger, un piratage de boite mail et un petit caractère qui change dans une adresse mail (le « typosquatting » décrit  par mon invité de l’épisode précédent Thomas Kerjean). Il n’a pas fallu plus pour qu’un virement parte vers le compte du fraudeur. Mais le fournisseur, lui, attend toujours son règlement et il a fallu payer une deuxième fois et c’est une part du résultat net annuel qui s’envole.

Non, ça n’arrive définitivement pas qu’aux autres !

Les mesures d’urgence

Quand la supercherie est identifiée quelques jours après le virement, Sébastien imagine les premières mesures : on met en place des contrôles  et on implique tout le monde. Plus question de se faire avoir et la responsabilité ne peut être que collective, en particulier dans une structure de 5 personnes !

Des  détails qui ont leur importance : si vous décidez de mettre en place  des vérifications manuelles, le changement de canal ET le changement  d’interlocuteur doivent vous interpeller. Si vous recevez une demande de  changement d’IBAN par mail, faites-vous confirmer la demande par une  autre personne chez votre fournisseur et idéalement par un autre canal,  au cas où le premier aurait été piraté.

Faire des vérifications c’est bien mais pas n’importe comment…

L’artillerie lourde

Sébastien a vite compris que l’origine de l’attaque était le piratage du système  de messagerie de son fournisseur. Et il a eu l’intelligence de se dire  qu’à son tour il pourrait faire subir ce type de fraude à ses propres clients si son informatique était compromise.

Il a donc fait tout ce qu’il fallait pour renforcer sa sécurité informatique :

• VPN (Virtual Private Network) pour les déplacements à l’étranger
• Pare-feu pour les connexions internet
• Système de sauvegarde en cas de compromission plus grave (ransomware ou autres)

Mais aussi ses échanges bancaires :

• mise en place de connexions EBICS
• certificats numériques matériels

La morale de cette histoire

Il aura fallu un traumatisme qui reste encore très présent aujourd’hui dans les esprits de tous les membres de l’équipe. Il aura fallu investir  quelques centaines d’euros annuels en prestations informatiques et outils bancaires pour éviter des milliers d’euros de perte sèche.

Mais aujourd’hui son entreprise n’a jamais été aussi bien armée pour faire face à tous les types de fraude externe possibles !

Et vous, vous attendez quoi pour vous équiper ?