Les directions financières d’entreprise sont confrontées à des tentatives de fraude au paiement fournisseur de plus en plus fréquentes. Ce contexte exige d’organiser des règlements en toute sécurité pour tous les achats. Voici un état des lieux complet de ce que vous devez connaître sur le sujet.
Que recouvre la sécurisation des moyens de paiement en France ? Comment la mettre en œuvre et comment lutter contre la fraude dans votre entreprise ? Quelles sont les particularités d’un paiement sécurisé en ligne ? Spendesk répond à toutes ces questions et vous explique l’organisation du processus sur sa propre plateforme.
Sécurité des moyens de paiement selon la Banque de France
La Banque de France émet des recommandations aux entreprises et particuliers en matière de règlements sécurisés. Nous vous suggérons de lire la publication du 14 décembre 2018 « chapitre 3 - La sécurité des moyens de paiement ». Voici les éléments importants à connaître dans ce document.
Enjeu de la sécurisation : lutter contre la fraude
La fraude se complexifie et exige la mise en œuvre de moyens toujours plus poussés pour la contrecarrer. La sécurité du secteur des paiements constitue un enjeu stratégique pour la Banque de France. La fraude entache la confiance des utilisateurs et fragilise les activités professionnelles.
La sécurisation s’impose dans ce contexte avec pour objectif de :
réduire le risque de détournement d’argent (fraude immédiate) ;
éviter la captation des informations bancaires de l’utilisateur (fraude future).
Typologies de fraude aux moyens de paiement
Les fraudeurs innovent tout le temps et la sécurisation des moyens de règlement doit s’adapter en permanence. Ainsi, la Banque de France identifie quatre types de fraudes :
réalisation d’un faux ordre de paiement (par détournement d’informations bancaires par exemple) ;
falsification d’un moyen de règlement (comme un chèque modifié en montant ou au niveau du nom du bénéficiaire) ;
détournement du moyen de paiement (donc sans falsification) ;
contestation abusive d’un règlement pourtant régulièrement émis.
Techniques utilisées pour frauder
Le développement des moyens de règlement électronique voit progresser la fraude sur ces instruments. Sont particulièrement à surveiller :
Les conversations téléphoniques, les mails et fax qui peuvent conduire des fraudeurs à enregistrer des données bancaires lors d’opérations manuelles, en vue de les utiliser plus tard.
Les pratiques d’hameçonnage sur Internet (ou de phising) qui consistent à récupérer des informations personnelles de cartes voire les modes d’authentification comme les numéros de téléphones portables.
Les attaques de terminaux de paiement ou de retrait d’argent par exemple afin de récupérer des données bancaires.
Les attaques par des logiciels du type malwares des systèmes d’information, ordinateurs ou smartphones ainsi que des serveurs et bases de données des prestataires qui gèrent les services de paiement.
Rôle de l’OSMP (Observatoire de la sécurité des moyens de paiement)
Le Code monétaire et financier prévoit en France que la Banque de France assure la surveillance des moyens de paiement scripturaux et des titres de paiement dématérialisés. Elle s’appuie pour cette mission sur l’OSMP, l’observatoire de la sécurité des moyens de paiement. Son objectif est triple :
suivre le déploiement des mesures qui visent à renforcer la sécurité des moyens de règlement ;
quantifier la fraude sur le plan statistique ;
réaliser une veille technologique pour améliorer la sécurisation des règlements scripturaux.
La Banque de France cherche à rassurer le public en matière de moyens de paiement. Elle analyse les risques et produit des référentiels de sécurité. Elle peut recommander à un émetteur de moyen de paiement d’amplifier la sécurisation si nécessaire.
Les autres moyens de lutter contre la fraude aux règlements
À côté des actions de la Banque de France et de l’OSMP, on peut citer les forces de police judiciaire, de la gendarmerie ou de services spécialisés de la police nationale. Détaillons aussi les actions du GIE Cartes Bancaires et les directives qui émanent de l’Union européenne.
Rôle du GIE Cartes Bancaires
Ce GIE créé par le secteur bancaire en 1984 occupe une place centrale dans la lutte contre la fraude sur le plan opérationnel. Notons par exemple les missions suivantes :
déploiement d’outils afin d’identifier les fraudes ;
collaboration avec les forces de l’ordre notamment en cas d’enquêtes ;
évaluation permanente du réseau CB (terminaux de paiement, cartes ou réseaux) et certification des matériels autorisés.
b - Directive sur les services de paiement DSP3 : authentification forte du payeur
Cette seconde directive date de 2015 et est entrée en application en janvier 2018. Elle renforce notamment la sécurité exigée auprès des différents acteurs en matière de règlement. On y relève en particulier la notion d’authentification forte :
du titulaire d’un compte en cas d’accès en ligne pour une action risquée comme la création d’un nouveau bénéficiaire de virement ;
du payeur qui souhaite déclencher un règlement sous forme électronique.
On observe dorénavant une nouvelle norme en travail, DSP3, prévue prévue pour entrer en vigueur d'ici 2025/2026.
Sécurisation d’un paiement fournisseur en entreprise
En tant qu’acteur économique, l’entreprise doit mettre en œuvre les dispositions recommandées pour assurer la sécurisation de ses règlements fournisseurs et salariés. Pour garantir ces opérations, plusieurs actions sont à mener, y compris en amont du règlement à proprement parler.
Sécurisation des moyens de paiement : qui est responsable ?
Le trésorier de l’entreprise s’assure que les processus de paiement fonctionnent correctement. En l’absence de trésorier, c’est le DAF qui assume cette responsabilité. Quel que soit le mode de règlement utilisé, mais aussi pour chaque étape en amont, bon à payer et mise en paiement, la vigilance reste de mise. L’objectif du paiement sécurisé consiste pour un acheteur à régler chaque achat, bien ou service, dûment justifié et au bon fournisseur.
Les étapes de contrôle avant émission d’un règlement
N’oubliez jamais que la sécurisation du règlement démarre bien en amont de la transaction financière par virement, prélèvement, chèque ou par carte bancaire. La limitation de la fraude fournisseur exige notamment de sécuriser l’opération d’achat dès la commande du produit ou de la prestation de service.
La sécurisation et le contrôle des informations fournisseurs
La fraude au RIB devient fréquente. Elle pousse les services financiers à mettre en place des processus de vérification des RIB à la création des comptes de tiers comme ensuite de façon périodique. Il s’agit bien de faire la chasse aux faux fournisseurs.
Le contrôle de la dépense à engager avant paiement
Avant d’émettre un règlement, le rapprochement de la facture avec le bon de commande voire le contrat d’achat permet de la vérifier et de l’approuver. C’est le rôle du bon à payer. Les systèmes informatiques qui gèrent le processus d’achat de façon dématérialisée comportent des workflows afin de tracer ces contrôles et accords.
En cas de dépenses directement payées en ligne, vous pouvez par exemple comme le propose Spendesk, demander une autorisation au supérieur hiérarchique, y compris avec le système de carte virtuelle à usage unique.
Les vérifications des règlements à proprement parler
Après ces étapes clés du processus Procure-to-Pay, le nombre de contrôles à réaliser se réduit. Certains types de paiements s’automatisent comme les virements émis aux fournisseurs grâce à des outils de gestion de trésorerie. Ils génèrent des fichiers chiffrés et inaltérables. Ces logiciels procèdent parfois, grâce à des algorithmes, à des vérifications afin de détecter des anomalies potentielles. Ils aident ainsi le valideur dans son travail de contrôle.
Comment lutter contre la fraude au virement en entreprise ?
Voici les actions concrètes qu’une direction financière peut déployer pour limiter la fraude et sécuriser les règlements de ses fournisseurs.
Organisation des worfklows de contrôle et d’approbation
Les bonnes pratiques consistent à mettre en place des procédures écrites claires, rigoureuses et connues de tous. Avec des circuits de validation dématérialisés des achats et des dépenses en général, le paramétrage des outils apporte cette sécurisation. Vous définissez qui doit vérifier quoi. Vous accordez les accès informatiques et gérez le niveau d’autorisation. Vous pouvez déployer un système de double signature en cas de transaction importante en montant. Vous paramétrez les notifications et relances par mail ou SMS par exemple.
Respecter les principes de contrôle interne : la séparation des tâches
Le risque de fraude au paiement doit entraîner beaucoup de vigilance concernant le pilotage des données des tiers. La séparation des fonctions implique que le comptable fournisseur ne puisse jamais accéder aux RIB par exemple. Le data management doit prendre en charge la mise à jour ou la création des données du référentiel tiers.
S’équiper d’applications fiables et qui luttent contre la fraude
Assurez-vous de disposer de matériels et services de règlement fiables et conformes à la législation toujours évolutive. Des applications en mode SaaS aident même à traquer la fraude au virement. Par exemple, ils identifient les paiements suspects au regard des habitudes des utilisateurs.
Paiement sécurisé en ligne : comment ça marche ?
Parmi les règlements à sécuriser pour vos fournisseurs, les paiements en ligne occupent une place à part. Faisons le point.
Qu’est-ce qu’un paiement sécurisé en ligne ?
Lors d’un règlement par carte bancaire sur le Web, le processus crypte plusieurs informations lors de la transmission :
le numéro de la carte ;
la date d’expiration ;
le cryptogramme.
La sécurisation vise à protéger le détenteur de la carte de paiement et à éviter tout transit d’information confidentielle par Internet. Plusieurs systèmes existent. Nous les détaillons ci-après.
Quels sont les moyens de paiement sécurisés en ligne ?
Voici un panorama des solutions fiables pour des règlements sur le Web. Avec le développement des ventes en ligne, l’internaute, même collaborateur en entreprise, doit se montrer vigilant dans sa démarche et dans les outils utilisés.
La e-carte bleue
La carte bleue virtuelle ou e-carte bleue présente l’avantage de vous procurer un numéro de carte bancaire, une date de validité et un cryptogramme, à usage unique pour une opération donnée. Ce type de service facturé par les banques constitue une solution pratique pour les collaborateurs d’entreprise qui effectuent des dépenses professionnelles sur Internet.
La carte bleue 3D Secure (3DS)
Ce système de paiement sécurisé correspond à celui retenu par Visa et Mastercard. Votre banque vous envoie un SMS afin de confirmer l’achat en ligne grâce à un code unique à utiliser dans un délai court de quelques minutes. Cette sécurisation du règlement sur le Web ne fait pas l’objet d’une facturation spécifique par la banque.
Les sites de paiement PayPal, Stripe, Wise, etc.
Toutes ces plateformes demandent un enregistrement en ligne de vos coordonnées ainsi que celles de votre banque. La seule chose exigée lors d’un paiement sur un site marchand reste le mot de passe convenu avec cette plateforme. Le commerçant qui vend par Internet n’accède donc pas à vos données bancaires.
Paylib, service directement proposé dans les applications des banques
À la différence des sites précédents, Paylib, service de paiement sans coordonnées bancaires, s’intègre directement dans l’application mobile de la plupart des banques du marché. Service de paiement mobile, Paylib s’utilise dans tous les magasins qui acceptent le paiement sans contact. Au-delà de 50 euros, un code de validation est toutefois demandé.
Conseils pratiques pour éviter le piratage du paiement en ligne
Commencez par vérifier le site web sur lequel vous vous apprêtez à effectuer un achat sur Internet. Un paiement sécurisé exige la présence d’un petit cadenas à gauche de la barre d’adresse, juste avant le nom du site visité. Si le cadenas est barré ou si un triangle jaune l’accompagne, mieux vaut ne pas réaliser de dépenses sur ce site.
La Banque de France, dans le cadre de sa mission, prodigue diverses recommandations aux utilisateurs de moyens de paiement scripturaux. Elle rappelle les pratiques de bon sens, tant pour les règlements par carte de paiement chez un commerçant que sur Internet voire lors d’un déplacement à l’étranger. Elle explique aussi comment opérer en cas d’anomalies sur le compte bancaire ou de perte de la carte bancaire.
Sur le site economie.gouv.fr, vous trouverez également 7 conseils afin d’éviter les risques de piratage lors de paiements en ligne. En voici le résumé :
mettre en place la double sécurité avec sa banque ou utiliser une carte virtuelle ;
vérifier la sécurisation de la page web ;
se méfier des sites inconnus ou des propositions alléchantes ;
ne pas enregistrer ses coordonnées bancaires sur les sites même lorsqu’ils le suggèrent ;
prendre garde aux réseaux wifi publics ;
veiller à sa sécurité informatique globale ;
contacter sa banque en cas d’incident ou d’anomalie.
Comment Spendesk sécurise les paiements sur sa plateforme
Chez Spendesk, notre métier consiste à accompagner les entreprises afin de faciliter la gestion des dépenses professionnelles. Aussi, le paiement sécurisé fait partie de nos gènes. Tous nos processus visent à réaliser les achats physiques ou en ligne de manière sûre.
Accès à la plateforme Spendesk
Toutes les opérations se réalisent grâce à notre portail en ligne. Cette plateforme totalement sécurisée permet de stocker et de crypter toutes les données, achats, règlements, commandes, factures, etc. Les accès exigent des mots de passe et les sessions utilisateurs font l’objet de déconnexions automatiques. Toute action se trace avec notamment l’identification de l’auteur.
Contrôle et validation des dépenses avant paiement
Les workflows proposés par l’application Spendesk permettent de paramétrer toutes les étapes de contrôle des achats avant leur paiement en fonction de la politique de dépenses mise en place dans votre entreprise. Vous définissez les plafonds autorisés, les niveaux de validation, le suivi des lignes budgétaires, etc. La dématérialisation complète du flux financier facilite sa traçabilité, son contrôle et son autorisation.
Paiement par carte bancaire : certifications et normes utilisées
Chez Spendesk, nous proposons divers modes de règlement, dont la carte bancaire virtuelle ou physique avec le système 3D Secure (3DS). Ainsi vos collaborateurs doivent confirmer leurs paiements en ligne avec un code. En outre, Spendesk respecte la norme de sécurité de l’industrie des cartes de paiement (PCI DSS). Par ailleurs, nous nous conformons à la directive relative aux procédures d’authentification forte tant lors de la connexion au compte que lors d’un paiement.
Utilisation d’un algorithme pour traquer les fraudes
Spendesk utilise aussi un algorithme afin de détecter les fraudes. Il alerte les détenteurs de compte notamment en cas d’activité suspecte en matière de paiements en ligne, grâce à un rapport de sécurité hebdomadaire.
Conseils de Spendesk pour protéger les paiements
Enfin, si vous souhaitez connaître nos conseils pratiques afin de protéger vos règlements, consultez notre page dédiée dans notre Help Center. Nous vous rappelons comment procéder tant pour un achat en ligne qu’en matière de gestion des paiements par carte physique personnelle.
Le paiement sécurisé de vos fournisseurs n’est pas une option,
et il commence bien avant l’émission du règlement de chaque achat. Équipez-vous d’applications qui vous facilitent la vie sur le plan des dépenses professionnelles tout en sécurisant le processus. Spendesk constitue une solution pour des paiements en toute sécurité. Pour en savoir plus, nous vous recommandons une démo en ligne de notre application.