Comme tous les matins, vous retrouvez votre boîte mail bien remplie. Vous consultez rapidement vos messages, passant quelques secondes sur chaque sujet : newsletter, publicité, spam, spam, publicité… Oh, celui-ci contient une facture. L’expéditeur semble légitime, un fournisseur de longue date, mais la date d’échéance de la facture semble avoir été dépassée. Pensant bien faire, vous transmettez le mail au service financier, accompagné d’un bref message : Il faut payer cette facture aujourd’hui, s’il vous plaît !

Vous retournez à vos tâches, pensant avoir aidé vos collègues à payer une facture en souffrance. En réalité, vous avez aidé votre entreprise à se faire escroquer. Et malheureusement vous n’êtes pas les seuls…

De plus en plus de compagnies sont victimes de fraude via e-mails d’imposteurs (Business Email Compromise). Une enquête conduite auprès de compagnies britanniques démontre qu’en 2018 celles-ci ont perdu 93 millions de livres sterlings de cette manière ; mais seulement quatre entreprises sur dix sont conscientes de ce problème. La situation n’est pas meilleure dans le reste de l’Europe et un rapport sur la fraude à la facturation révèle que ces incidents sont en hausse.

Certains pays—y compris la Belgique—ont même initié des programmes visant à convaincre les PME à adopter la facturation électronique (conformément à la législation européenne), afin de combattre la fraude à la facture.

Qu’est-ce que la fraude à la facture et comment peut-elle affecter votre entreprise?

Les fichiers malveillants et les attaques de « phishing » (hameçonnage) sont connues depuis bien longtemps, cependant les documents financiers ont rendu les choses un peu plus compliquées. Les factures transportent non seulement des informations mais également de la valeur monétaire, ce qui fait d’elles des cibles privilégiées pour les attaques de types suivants :

Fraude au niveau exécutif : En utilisant une adresse mail falsifiée ou compromise, les escrocs se font passer pour le PDG ou DAF de l’entreprise et demandent de l’argent auprès du service financier. Cette méthode peut cibler tout type d’organisation. L’année dernières, un seul groupe de hackers a visé pas moins de 35 000 DAF avec de telles attaques.

Interception d’e-mails de fournisseurs : L’escroc a accès au domaine d’adresse électronique du fournisseur ou un domaine très similaire. Il envoie une facture très semblable à ce à quoi un acheteur pourrait s’attendre ou, dans certains cas, il demande simplement de modifier les détails du paiement. C’est aussi une tactique très courante (touchant tant les très grandes entreprises que les PME), car de nombreux petits fournisseurs n’utilisent pas de canaux de messagerie sécurisés et ces messages ne contiennent pas toujours de pièces jointes suspectes.

Interception d’e-mails d’acheteurs : L’escroc a accès à une adresse e-mail interne (par piratage ou par ingénierie sociale) et intercepte une facture légitime d’un fournisseur. Ensuite, il remplace les détails de la facture par ses propres détails de paiement et l’envoie au service financier de l’acheteur en utilisant souvent la même adresse piratée et une facture qui semble légitime. Si le nombre de factures envoyées par une entreprise est très élevé, de telles attaques peuvent passer inaperçues pendant des mois.

Piratage d’approbation de facture : De nombreuses entreprises échangeant des factures par courrier électronique ont mis en place des processus d’approbation et de paiement. Ces processus sont les plus vulnérables lorsque le paiement est effectué. Lors d’arnaques de notification de paiement, les messages envoyés par les attaquants confirment des livraisons fictives ou réelles et demandent un paiement instantané. Certains promettent même une remises pour paiements anticipés.

Outre ces techniques largement répandues, les attaquants peuvent tenter de se faire passer pour des avocats, des sociétés comptables et des auditeurs, ou simplement de mettre en place des fichiers malveillants (déguisés en fichiers de factures). Même si leurs attaques ne réussissent pas, intercepter une facture peut offrir aux cybercriminels beaucoup de données financières importantes sur une entreprise. Et c’est une des raisons pour lesquelles beaucoup d’entre eux ont choisi le courrier électronique pour cible principale. L’autre raison est que la fraude par courrier électronique n’entraîne que des coûts minimes, voire nuls, pour l’attaquant.

Alors, comment pouvez-vous protéger votre entreprise ?

  • Réduisez autant que possible l’utilisation du courrier électronique pour l’envoi des factures et utilisez des méthodes de transfert plus sécurisées.
  • Vérifiez les informations d’identification du fournisseur avant d’autoriser tout type de paiement.
  • Utilisez un catalogue électronique pour vous assurer que les prix indiqués sur les factures correspondent aux prix convenus.
  • Utilisez le rapprochement à 3 voies pour faire correspondre chaque facture à un bon de commande et à une entrée de marchandises. Cela facilite l’identification des factures réelles et rend leur falsification difficile.
  • Utilisez des outils de reporting et comparez des périodes similaires. Vous remarquerez immédiatement des volumes ou des valeurs de facture suspectes.
  • Établissez des règles métier et, en fonction de celles-ci, vérifiez certains détails (tels que les codes de produits) d’une facture et vérifiez-les dans votre ERP.
  • Détectez les factures dupliquées ou hautement similaires envoyées sur une courte période (la duplication de factures est hautement favorisée par les attaquants).
  • Définissez des flux d’approbation et des notifications d’état pour suivre en continu le statut des factures.
  • Accélérez le processus d’approbation afin d’éviter l’accumulation des factures (plus vous avez de factures à traiter, mois vous serez attentifs).
  • Demandez confirmation, en cas de doute sur la personne qui a autorisé le paiement.
  • Utilisez la réconciliation de paiement pour voir ce qui a été facturé et ce qui a été payé chaque mois.
  • Sécurisez le facteur humain en organisant des formations sur la conformité et la sécurité, et apprenez à vos employés à mieux gérer les documents électroniques.
  • Minimisez l’intervention humaine en automatisant autant que possible vos processus répétitifs.
  • Utilisez des techniques et des plateformes de cybersécurité fiables. Vérifiez constamment vos domaines à l’aide d’outils payants ou gratuits tels que MX Lookup.

Comment la facturation électronique peut-elle vous aider ?

L’automatisation de votre système de facturation électronique et, plus encore, de vos processus AP et O2C peut vous faire gagner beaucoup de temps et d’argent, et peut éliminer un bon nombre de soucis. En envoyant et en recevant factures et documents joints via un système automatisé, vous éliminerez le travail manuel, vous accélérerez les processus d’approbation et vous obtiendrez un contrôle total et une visibilité optimale sur vos transactions.

Les systèmes d’automatisation tels que notre plateforme DocXchange peuvent facilement implémenter des règles métier, effectuer des rapprochements à n voies, ainsi que des flux d’approbation personnalisés. De plus, l’intégration avec une solution telles que DxCatalog (harmonisation des données de référence) et DxArchive (une archive sécurisée et conforme), vous sécuriserez toute la chaîne de traitement des documents, pas seulement le processus de facturation.

La vérification des erreurs sera elle aussi inclue. Ainsi, outre la fraude, la négligence sera également éliminée de votre processus AP.

Et la meilleure nouvelle ? Votre boîte mail ne sera jamais impliquée dans le processus ! Nos solutions peuvent être directement intégrées à votre logiciel ERP existant, ou bien nous pouvons vous offrir une plateforme en ligne sûre pour le traitement de documents. Contactez-nous dès maintenant pour plus d’information !