Article extrait du site www.performancefinanciere.com :
Fraude interne – la plus importante – et fraude venue de l’extérieur. L’informatisation des processus, en particulier les transactions financières, n’en finit plus de nourrir l’appétit des malfaiteurs, et les angoisses des trésoriers. Lesquels ignorent bien souvent que de nombreuses parades technologiques et comportementales ont fait leurs preuves. Il suffit, pour en profiter pleinement, d’échanger avec les informaticiens sur les contraintes et les priorités de son métier.
Quelques chiffres et informations :
- La fraude électronique a principalement pour objectif de détourner de l’argent au profit des pirates. Le mythe du hacker « Robin des Bois » a bien vécu.
- […]
- Comme avec les portes blindées de nos appartements, il n’existe pas de protection absolue contre les tentatives d’intrusion.
- Comme avec les portes blindées de nos appartements, il est important de n’être ni la plus facile, ni la plus évidente des victimes
- Plus de 80% des fraudes ont une origine interne, consciente ou pas.
Et pourtant, des parades existent
[…]des solutions techniques existent. Ainsi, il est aujourd’hui possible de contrôler totalement la circulation, l’impression, ou encore la copie sur clés USB, d’une donnée dans le système d’information de l’entreprise. Cette capacité, proposée par les outils dits de DLP (Data Loss Protection), a été développée par des éditeurs spécialistes de la sécurité, qui voulaient répondre aux attentes des entreprises en matière de protection des données personnelles. Elle met en œuvre la surveillance de fichiers, de données (au niveau d’un champ) et parfois même d’informations spécifiées (par exemple un chiffre sensible). Lorsqu’un utilisateur tente de réaliser une opération inadéquate avec ces données, des messages de différents niveaux de gravité l’informent de son erreur, ou bloque carrément l’opération.
Or ces technologies sont assez peu utilisées jusqu’à présent. Ce ne sont pas leurs limites technologiques, ni leurs coûts de mise en œuvre qui posent problème. Mais bien le dialogue inexistant ou incomplet entre les directions informatiques et les directions métiers. En effet, qui, mieux que le trésorier de l’entreprise, peut savoir quelles sont les informations sensibles qui ne doivent pas sortir du périmètre ?
Cette technologie récente procure finalement un bon exemple du statu quo insatisfaisant qui prévaut en matière de sécurité des transactions financières électroniques. A cause de ce dernier adjectif « électronique », en effet, les spécialistes de la finance considèrent souvent que la sécurité des transactions ne les regarde plus. […]
Trésorier et DSI, que mettre en commun ?
[…] le Trésorier […] est détenteur de toute une série d’informations que le responsable de la sécurité informatique (RSSI) ignore, tout simplement parce que ce n’est pas son rôle de connaître l’ensemble des contraintes qui pèsent sur chacun des métiers de l’entreprise.
Les éléments réglementaires : par exemple, la loi anti-blanchiment impose des seuils pour les transactions au-delà desquels des vérifications supplémentaires sur l’origine des fonds et l’identité des opérateurs sont exigées. De nombreuses autres « règles » existent et pèsent sur le quotidien du trésorier qui doit évidemment les partager avec la DSI pour obtenir leur mise en œuvre. Il doit aussi, dans la mesure du possible, anticiper les nouveautés réglementaires, que le système d’information devra intégrer. En communicant le plus tôt possible avec la DSI, il facilite son travail, son efficacité et renforce donc la sécurité des transactions.
Les données critiques : le Trésorier sait quelles informations sont clés dans ses processus, et doivent donc être protégées (voire ci-dessus l’alinéa sur le DLP)
Les responsables : pour améliorer leur efficacité, mais aussi pour éviter que des personnes non autorisées n’interviennent sur les processus de la trésorerie, il faut une définition claire des profils et des droits des différents intervenants. L’informatique pourra ensuite choisir les outils adéquats pour sécuriser les processus. Par exemple, des solutions de signature électronique.
On terminera ce tour d’horizon en rappelant deux points essentiels. D’abord qu’en matière de sécurité informatique comme en matière de sécurité routière, la réponse technique ne suffit pas. Il est fondamental de travailler les comportements, donc de former et d’accompagner les collaborateurs de la direction financière. Qui, mieux que le trésorier, saura faire passer les messages sur la sécurité, vue du côté métier ?
Enfin, il est sans doute intéressant de s’interroger aujourd’hui, face à l’évolution rapide des menaces et des contraintes réglementaires, face à l’arsenal mouvant de solutions techniques et bien sûr, face aux évolutions du périmètre de l’entreprise à sécuriser : Pourquoi ne pas considérer les offres de type Saas, qui ont l’avantage d’intégrer rapidement de nouvelles fonctionnalités, souvent à frais constants, toujours sous une forme progicialisée qui facilite le déploiement et la prise en mains ?
Lire l’article complet : http://www.performancefinanciere.com/enjeux-tresorier/la-fraude-electronique-une-preoccupation-commune-aux-tresoriers-et-aux-dsi
Derniers articles parBenoît RIVIERE (voir tous)
- Excel : collecter des données juridiques sur les entreprises avec l’API SIRENE – 1ère partie : base SIREN (entreprises) - lundi 15 avril 2024
- Obtenir les données financières de sociétés au format Excel - mardi 2 avril 2024
- Robotic Process Automation (RPA) et Python : piloter des applications web - dimanche 24 mars 2024
- Initiation à la programmation en Basic : nouveau compilateur FreeBASIC - lundi 18 mars 2024
- Retrogaming : (re)jouer aux jeux vidéo d’antan - lundi 11 mars 2024