Lutter contre la fraude - Association Française des ... · Pour en savoir plus sur la structure...

LLutter contre la fraude

Les Journées de l’AFTE 2014 es ateliers – Grand auditorium

Valérie SAINSAULIEU Franz ZURENGER

Laurent PELIKSDirecteur / IT Advisory / ERSDeloitte

Dominique NIERMONTAssociéNetilys

Thierry HAMONTreasury controllerValeo

Sophie ROBERTCommissaire divisionnaire adjointePolice judiciaire

19 novembre

Cybersécurité

AFTE19 novembre 2014

Laurent Peliks

Quelques chiffresPaysage numérique

© 2014 Deloitte SA – Formation AFTE – novembre 2014 3

1 nouvelle menace chaque

seconde1 incident

d’intrusion réseau toutes les 5 min

Infrastructures / Hébergement

D’ici à 2016, 76% des serveurs seront

virtualisés

74% d’économie en stockant sur le cloud

(Gartner)

1 Md d’utilisateursFacebook

54% d’accèsFacebook par mobile

2.4 Mds utilisateurs de l’internet

4 min. Durée de survie sur

Internet d’un PC non protégé

Big data90% de la

donnée crééedans les 2 dernièresannées

Sources: Trendmicro, Gartner

Quels impacts ?Les nouvelles formes de menaces


Attaquessur l’organisation

• Hacktivistes• Organisations criminelles• Concurrents• Etc.

• Déni de service• Atteinte à l’image• Vol de données• APT• Etc.

Déni de service / vol de données …

Coupure des canaux Internet par la DSI

Impact Média

Atteinte aux capacités opérationnelles

Chute de la valorisation / du chiffre

Dégradation du cours des actions …

1

2

3

4

5

Menace

Comment les attaques sont–elles planifiées et conduites ?Les cyber attaquants recueillent des renseignements en sources ouvertes afin de créer des profils et des stratégies pour mener à bien des attaques ciblées dont l’objectif a été clairement défini.

Collecte d’information en sources ouvertes

Revue et Analyse des

renseignements

Sélection de la cible

et planification de l’attaque

Exécution de l’attaque

• Moteur de recherche• Réseau sociaux• Site d’annonces• Réseau « peer to

peer »

Déni de service

Espionnage

Accès aux systèmes et aux réseaux• Exploits disponibles

• Informations cibles• Système s cibles• Employés cibles

• Vulnérabilités• Système

d’information• Informations

d’authentification et d’autorisation

• Utilisateurs à hauts privilèges

Séquence de l’attaqueObjectif

• Anonymisation• Offuscation• Programmation• Automatisation

Cibles

Liste de clients

Contrôle des systèmes

Propriété intellectuelle

Login / Mot de passe

Information personnelle

Accès système

Données financières

Recherche sur les brevets

Information de santé

Secret industriel

5© 2014 Deloitte SA – Formation AFTE – novembre 2014

Les plus importantes pertes de données2004-2006

Source: http://www.informationisbeautiful.net

Cause de la fuite:Publication accidentelle

Attaques externes

Perte / vol de matériel

Sécurité insuffisante

Défaillance interne

Les plus importantes pertes de données2013 à aujourd’hui

Source: http://www.informationisbeautiful.net

Cause de la fuite:Publication accidentelle

Attaques externes

Perte / vol de matériel

Sécurité insuffisante

Défaillance interne

La sécurité traditionnelle a ses limites …Répartition temporelle Compromission – Découverte - Résolution


[Source : Rapport Verizon Business – « 2012 Data Breach Investigations Report”]

Exemples de cas de fraude survenus

© 2014 Deloitte SA – Formation AFTE – novembre 2014

“ Le gestionnaire comptable d’une PMI du Pays deMontbéliard a reçu un mail de la secrétaire d’un de sesfournisseurs implanté en Chine l’informant d’unemodification des coordonnées bancaires sur lesquelless'effectuaient les virements. Ne se doutant pas que lemail avait été piraté et que la demande n’émanait pas dela secrétaire du fournisseur, mais d’un escroc, legestionnaire comptable a accédé à la demande et aeffectué la modification. C’est ainsi que 35000$ ont étéversés à tord sur un compte bancaire ouvert enAngleterre”.

(source : CCI Haute-Saône)

“ (…) 55 % des entreprisesfrançaises ont détecté aumoins un cas de fraude en2013, contre 29 % en 2009(…) ”.

(source : Le Monde, Mars 2014)

“ Une personne se faisant passer pour un dirigeant de lasociété britannique Wolseley, premier importateur de bois enEurope, dont PMB Import est une filiale parvient à joindre lecomptable. Ce dernier se laisse convaincre que son interlocuteura besoin d'un virement de 14 millions d'euros pour réaliser desachats de matériaux à l'étranger. Au bout du fil, l'interlocuteur malintentionné est persuasif (…) et envoie même un mail aucomptable, signé du nom réel d'un dirigeant. Berné, l'employéappelle alors la banque et ordonne le virement ”.

(source : Francetv.fr, janvier 2013).

“ Lors de chaque opération bancaire, le virus enregistrait les mots de passe saisis par le comptable (..) ce qui a donné aux hackers un accès total aux comptes bancaires leur permettant de surveiller et de virer de l’argent vers l’étranger peu de temps aprés nos dépôts ”.

(source : LawTimes.com, janvier 2013)

“ (…) 11 % des entreprisesvictimes de cybercriminalitédéclarent que l’incidence financièrede ces attaques dépasse un millionde dollars ”.

(source : étude Big4, paru en 2014)

24

Le facteur (humain) clé de succèsLa chaine de paiement

Quoi• La Fraude au Président• Une variante, l’escroquerie au loyer

Comment• Une parfaite connaissance de

l’organisation cible et de ses processus et de son actualité

• Une préparation minutieuse• Un scénario bien ficelé

(par téléphone et/ou courrier)

Qui• Tout type d’entreprise


+350 Entreprisesvictimes en 2013

10%

Apparues il y a environ 3 ans, cesarnaques auraient représentéquelque 10% du total des fraudessubies en France par lesentreprises (les echos édition du 16/03/2014)

A plus de 100 M €

De 100 000 €

Les freins à la sécurité – contes et légendes…


“Ca coûte trop cher !”

« Ca freinela production »

« C’est trop compliqué »

« … On trouvera bien une parade technique, non ?

« Mais, que voulez-vous qu’il nous arrive ? »

Les mauvaises raisons pour ne pas adresser la

sécuritéN.B. … Non exhaustif !

VRAI : la sécurité a un coût

FAUX : c’est un business enabler

La solution n’est –elle pas de

connaitre ses risques ?

VRAI : pour couvrir quelques risques

FAUX : c’est avant tout une affaire de posture

VRAI : certains aspects techniques

sont complexes

FAUX : avec un peu de bonne volonté, on

peut sécuriser beaucoup !

VRAI : ce sont des contraintes en plus …

FAUX : ca peut permettre d’éviter le blocage d’une usine pendant 24 heure.

Deloitte fait référence à un ou plusieurs cabinets membres de Deloitte Touche Tohmatsu Limited, société de droit anglais (« private company limited by guarantee »), et à son réseau de cabinets membres constitués en entités indépendantes et juridiquement distinctes. Pour en savoir plus sur la structure légale de Deloitte Touche Tohmatsu Limited et de ses cabinets membres, consulter www.deloitte.com/about. En France, Deloitte SA est le cabinet membre de Deloitte Touche Tohmatsu Limited, et les services professionnels sont rendus par ses filiales et ses affiliés.

Deloitte fournit des services professionnels dans les domaines de l’audit, de la fiscalité, du consulting et du financial advisory, à ses clients des secteurs public ou privé, de toutes tailles et de toutes activités. Fort d’un réseau de firmes membres dans plus de 150 pays, Deloitte allie des compétences de niveau international à des expertises locales pointues, afin d’accompagner ses clients dans leur développement partout où ils opèrent. Nos 200 000 professionnels sont animés par un objectif commun, faire de Deloitte la référence en matière d’excellence de service.

En France, Deloitte mobilise un ensemble de compétences diversifiées pour répondre aux enjeux de ses clients, de toutes tailles et de tous secteurs – des grandes entreprises multinationales aux microentreprises locales, en passant par les entreprises moyennes. Fort de l’expertise de ses 7 950 collaborateurs et associés, Deloitte en France est un acteur de référence en audit et risk services, consulting, financial advisory, juridique & fiscal et expertise comptable, dans le cadre d’une offre pluridisciplinaire et de principes d’action en phase avec les exigences de notre environnement.

© 2014 Deloitte SA. Member of Deloitte Touche Tohmatsu Limited

JOURNEES DE L’AFTEAtelier – 19 novembre 2014

Cash M

anagem

ent

Lutter contre la fraude

Retour d’expérience VALEOSécurisation de la fonction paiement

Cash M

anagem

ent

Valeo in the automotive value chain

Service

Suppliers represent 75 % of cars’ added-value* Suppliers represent 75 % of cars’ added-value*

*Source: CLEPA

Cash M

anagem

ent

Valeo customers

Cash M

anagem

ent

Valeo worldwide ranking

Transmission Systems

Electrical Systems

Climate Control

Driving Assistance

Interior Controls

Wiper Systems

Lighting Systems

Thermal Powertrain

end 2013

5.7 defective parts per million at end December 2013

Cash M

anagem

ent

Key figures 2013

51Research &

Development centers

12Distribution

platforms124 Production sites

29 Countries

74,800 Employees

High order intake:

14.8 Bn €

Sales

12.1 Bn €

Cash M

anagem

ent

Valeo’s strategy ‐ based on 2 priorities

CO2 emissionsreductionand intuitive driving

Developmentin Asia and emergingcountries

With the ambition to generate growth higher than the market in eachproduction region

With the ambition to generate growth higher than the market in eachproduction region

Cash M

anagem

ent

Présentation ‐ AgendaThierry Hamon : VALEO ‐ Treasury controllerDominique Niermont : NETILYS – Intégrateur• Objectifs du projet VALEO• Périmètre et choix• Sécurisation de bout en bout

• Sécurisation des données• Sécurisation des transferts issus des ERP• Les accès utilisateurs• Le workflow de validation• La connectivité bancaire• L’hébergement• To 3SKey or not to 3SKey

20LES JOURNEES DE L'AFTE

Cash M

anagem

ent

Objectifs du projet• Trésorerie opérationnelle : paiements,

connectivité bancaire, cash management et reporting

• Outil d’accompagnement de la réorganisation en SSC, standardisation et amélioration de l’efficience

• Normes SEPA, communication bancaire SWIFTNet (obsolescence formats et ETEBAC)

• Prendre le contrôle des référentiels bancaires et des formats

• Sécurisation : un effet déclencheur du projet


Cash M

anagem

ent

Périmètre

• Plus de 100 trésoriers et 600 signataires sur 27 pays (y compris Russie & Canada en cours) et 4 continents

• 60 systèmes comptables, différents systèmes de paie, plus de 10 banques, 40 couples banque/pays


Cash M

anagem

ent

Choix effectués• Mode SaaS

• Éditeur spécialiste du cash management et de la communication bancaire

• Connectivité banques par SwiftNet• Réduction du périmètre bancaire sauf besoin local justifié

• Formats de flux normalisés• XML ISO 20022, format validé par les principales banques• SCT / SDD• MT101 • Autres formats domestiques standards (Pagare, CNAB, RIBA, …)

• Gestion du changement : point clef de réussite• Accompagnement des filiales vers le Core Model• Obtenir des sponsors locaux• Pré visite, gestion des écarts, formation, déplacement pour Go

Live, support central … 23LES JOURNEES DE L'AFTE

Cash M

anagem

ent

Sécurisation de bout en bout


Données fournisseurs, clients, salariés

Les données

Les transferts

Les accès utilisateurs

Le workflow de validation

La connectivité

L’hébergement

Chaque processus validé pendant la conception puis vérifié périodiquement par l’audit interne

Cash M

anagem

ent

Sécurisation des données


Données fournisseurs, clients, salariés

Les données

Prérequis de sécurité – la gestion des données sensibles• Sur l’existant

• Nettoyage des bases • Mise à niveau pour compatibilité

nouveaux formats• Revue contrôle interne

• Documents officiels comme preuve• Données sensibles nécessitant une double

validation• Séparation des tâches

• Revue process pour données futures

Cash M

anagem

ent

Sécurisation des transferts amonts


Cinématique des flux• Simple, pas de rebonds sur d’autres

plateformes• Pas d’envoi manuel de fichiers, pas

de possibilité de modification manuelleLes transferts

Sécurisation du transport• Protocole robuste ( PGP, SSL, …)• Démarrage du dialogue avec

certificat, négociation d’échange de données automatisées

• Filtrage des adresses IP des ports sur Firewall

Cash M

anagem

ent




Accès par badge et certificat• Workflow d’autorisation des users avant création• Protocole sécurisé d’attribution des accès• Affectation d’un profil utilisateur avec accès limités• Reporting périodique des utilisateurs et droits• Journal des accès• Contrôle des administrateurs

Cash M

anagem

ent



• Principe des 4 yeux• Double approbation avant envoi en banque

• Séparation des tâches (SoD)• Autorisation et contrôle• Validation et envoi


Impossibilité de modifier le détail d’un paiement (montant, coordonnées bancaires)

• Contrôle après envoi• Rapprochement automatique entre

prévisions et relevés bancaires• Revue manuelle du trésorier pour les

opérations non rapprochées

Les signataires ne sont• Ni le trésorier• Ni le comptable• Ni l’acheteur

Cash M

anagem

ent

La connectivité bancaire


La connectivité

• Echange de clé RMA avec les banques ( contrôle du trafic que l’on souhaite accepter d’autres correspondants)

• Service de preuve Swift (tiers de confiance avec archivage, accusé de réception)

• SwifNet• Service de messagerie financière sécurisée• Service Bureau avec logiciels Swift• Réseau privé – clés privées fournies par Swift pour

l’identification et le chiffrage des communications

Cash M

anagem

ent

L’hébergement


• Fiabilité du système avec SLA• Continuité de service (engagement sur la disponibilité des

environnements matériels et logiciels, Disaster Recovery Plan testé)• Performance – temps de réponse• Engagements sur le traitement de incidents, la supervision, la

sécurisation de la plateforme• Astreintes 24/7• Sauvegardes et archivage des données, des fichiers du système

d’exploitation et les programmes

• Sites redondants certifiés ISO 27001

L’hébergement

Cash M

anagem

ent

To 3SKey or not to 3SKey


• Rappel de l’objectif• Authentification de l’utilisateur et la non‐répudiation des

transactions

• Contexte Valeo• Authentification forte internalisée et centralisée chez Valeo• Pas de besoin de coupler avec une authentification sur du

webbanking et peu de besoin de multi‐acceptance bancaire pour un même signataire

• Trace des signatures de transaction gérée sur l’outil Valeo

• Inconvénient• Côté banques, l’authentification et la non répudiation sont liées au

groupe Valeo et non à la personne

• Avantages• Coût : environs 600 signataires• Souplesse(A ce jour 30% des couples Banque/Pays sont certifiés 3SKey)

Cash M

anagem

ent

Conclusion ‐ Questions


Lutter contre la fraude - Association Française des ... · Pour en savoir plus sur la structure...

Documents

Transcript of Lutter contre la fraude - Association Française des ... · Pour en savoir plus sur la structure...