Post on 16-Sep-2018
LLutter contre la fraude
Les Journées de l’AFTE 2014 es ateliers – Grand auditorium
Valérie SAINSAULIEU Franz ZURENGER
Laurent PELIKSDirecteur / IT Advisory / ERSDeloitte
Dominique NIERMONTAssociéNetilys
Thierry HAMONTreasury controllerValeo
Sophie ROBERTCommissaire divisionnaire adjointePolice judiciaire
19 novembre
Quelques chiffresPaysage numérique
© 2014 Deloitte SA – Formation AFTE – novembre 2014 3
1 nouvelle menace chaque
seconde1 incident
d’intrusion réseau toutes les 5 min
Infrastructures / Hébergement
D’ici à 2016, 76% des serveurs seront
virtualisés
74% d’économie en stockant sur le cloud
(Gartner)
1 Md d’utilisateursFacebook
54% d’accèsFacebook par mobile
2.4 Mds utilisateurs de l’internet
4 min. Durée de survie sur
Internet d’un PC non protégé
Big data90% de la
donnée crééedans les 2 dernièresannées
Sources: Trendmicro, Gartner
Quels impacts ?Les nouvelles formes de menaces
© 2014 Deloitte SA – Formation AFTE – novembre 2014 4
Attaquessur l’organisation
• Hacktivistes• Organisations criminelles• Concurrents• Etc.
• Déni de service• Atteinte à l’image• Vol de données• APT• Etc.
Déni de service / vol de données …
Coupure des canaux Internet par la DSI
Impact Média
Atteinte aux capacités opérationnelles
Chute de la valorisation / du chiffre
Dégradation du cours des actions …
1
2
3
4
5
Menace
Comment les attaques sont–elles planifiées et conduites ?Les cyber attaquants recueillent des renseignements en sources ouvertes afin de créer des profils et des stratégies pour mener à bien des attaques ciblées dont l’objectif a été clairement défini.
Collecte d’information en sources ouvertes
Revue et Analyse des
renseignements
Sélection de la cible
et planification de l’attaque
Exécution de l’attaque
• Moteur de recherche• Réseau sociaux• Site d’annonces• Réseau « peer to
peer »
Déni de service
Espionnage
Accès aux systèmes et aux réseaux• Exploits disponibles
• Informations cibles• Système s cibles• Employés cibles
• Vulnérabilités• Système
d’information• Informations
d’authentification et d’autorisation
• Utilisateurs à hauts privilèges
Séquence de l’attaqueObjectif
• Anonymisation• Offuscation• Programmation• Automatisation
Cibles
Liste de clients
Contrôle des systèmes
Propriété intellectuelle
Login / Mot de passe
Information personnelle
Accès système
Données financières
Recherche sur les brevets
Information de santé
Secret industriel
5© 2014 Deloitte SA – Formation AFTE – novembre 2014
Les plus importantes pertes de données2004-2006
Source: http://www.informationisbeautiful.net
Cause de la fuite:Publication accidentelle
Attaques externes
Perte / vol de matériel
Sécurité insuffisante
Défaillance interne
Les plus importantes pertes de données2013 à aujourd’hui
Source: http://www.informationisbeautiful.net
Cause de la fuite:Publication accidentelle
Attaques externes
Perte / vol de matériel
Sécurité insuffisante
Défaillance interne
La sécurité traditionnelle a ses limites …Répartition temporelle Compromission – Découverte - Résolution
© 2014 Deloitte SA – Formation AFTE – novembre 2014 8
[Source : Rapport Verizon Business – « 2012 Data Breach Investigations Report”]
Exemples de cas de fraude survenus
© 2014 Deloitte SA – Formation AFTE – novembre 2014
“ Le gestionnaire comptable d’une PMI du Pays deMontbéliard a reçu un mail de la secrétaire d’un de sesfournisseurs implanté en Chine l’informant d’unemodification des coordonnées bancaires sur lesquelless'effectuaient les virements. Ne se doutant pas que lemail avait été piraté et que la demande n’émanait pas dela secrétaire du fournisseur, mais d’un escroc, legestionnaire comptable a accédé à la demande et aeffectué la modification. C’est ainsi que 35000$ ont étéversés à tord sur un compte bancaire ouvert enAngleterre”.
(source : CCI Haute-Saône)
“ (…) 55 % des entreprisesfrançaises ont détecté aumoins un cas de fraude en2013, contre 29 % en 2009(…) ”.
(source : Le Monde, Mars 2014)
“ Une personne se faisant passer pour un dirigeant de lasociété britannique Wolseley, premier importateur de bois enEurope, dont PMB Import est une filiale parvient à joindre lecomptable. Ce dernier se laisse convaincre que son interlocuteura besoin d'un virement de 14 millions d'euros pour réaliser desachats de matériaux à l'étranger. Au bout du fil, l'interlocuteur malintentionné est persuasif (…) et envoie même un mail aucomptable, signé du nom réel d'un dirigeant. Berné, l'employéappelle alors la banque et ordonne le virement ”.
(source : Francetv.fr, janvier 2013).
“ Lors de chaque opération bancaire, le virus enregistrait les mots de passe saisis par le comptable (..) ce qui a donné aux hackers un accès total aux comptes bancaires leur permettant de surveiller et de virer de l’argent vers l’étranger peu de temps aprés nos dépôts ”.
(source : LawTimes.com, janvier 2013)
“ (…) 11 % des entreprisesvictimes de cybercriminalitédéclarent que l’incidence financièrede ces attaques dépasse un millionde dollars ”.
(source : étude Big4, paru en 2014)
24
Le facteur (humain) clé de succèsLa chaine de paiement
Quoi• La Fraude au Président• Une variante, l’escroquerie au loyer
Comment• Une parfaite connaissance de
l’organisation cible et de ses processus et de son actualité
• Une préparation minutieuse• Un scénario bien ficelé
(par téléphone et/ou courrier)
Qui• Tout type d’entreprise
© 2014 Deloitte SA – Formation AFTE – novembre 2014 10
+350 Entreprisesvictimes en 2013
10%
Apparues il y a environ 3 ans, cesarnaques auraient représentéquelque 10% du total des fraudessubies en France par lesentreprises (les echos édition du 16/03/2014)
A plus de 100 M €
De 100 000 €
Les freins à la sécurité – contes et légendes…
© 2014 Deloitte SA – Formation AFTE – novembre 2014 11
“Ca coûte trop cher !”
« Ca freinela production »
« C’est trop compliqué »
« … On trouvera bien une parade technique, non ?
« Mais, que voulez-vous qu’il nous arrive ? »
Les mauvaises raisons pour ne pas adresser la
sécuritéN.B. … Non exhaustif !
VRAI : la sécurité a un coût
FAUX : c’est un business enabler
La solution n’est –elle pas de
connaitre ses risques ?
VRAI : pour couvrir quelques risques
FAUX : c’est avant tout une affaire de posture
VRAI : certains aspects techniques
sont complexes
FAUX : avec un peu de bonne volonté, on
peut sécuriser beaucoup !
VRAI : ce sont des contraintes en plus …
FAUX : ca peut permettre d’éviter le blocage d’une usine pendant 24 heure.
Deloitte fait référence à un ou plusieurs cabinets membres de Deloitte Touche Tohmatsu Limited, société de droit anglais (« private company limited by guarantee »), et à son réseau de cabinets membres constitués en entités indépendantes et juridiquement distinctes. Pour en savoir plus sur la structure légale de Deloitte Touche Tohmatsu Limited et de ses cabinets membres, consulter www.deloitte.com/about. En France, Deloitte SA est le cabinet membre de Deloitte Touche Tohmatsu Limited, et les services professionnels sont rendus par ses filiales et ses affiliés.
Deloitte fournit des services professionnels dans les domaines de l’audit, de la fiscalité, du consulting et du financial advisory, à ses clients des secteurs public ou privé, de toutes tailles et de toutes activités. Fort d’un réseau de firmes membres dans plus de 150 pays, Deloitte allie des compétences de niveau international à des expertises locales pointues, afin d’accompagner ses clients dans leur développement partout où ils opèrent. Nos 200 000 professionnels sont animés par un objectif commun, faire de Deloitte la référence en matière d’excellence de service.
En France, Deloitte mobilise un ensemble de compétences diversifiées pour répondre aux enjeux de ses clients, de toutes tailles et de tous secteurs – des grandes entreprises multinationales aux microentreprises locales, en passant par les entreprises moyennes. Fort de l’expertise de ses 7 950 collaborateurs et associés, Deloitte en France est un acteur de référence en audit et risk services, consulting, financial advisory, juridique & fiscal et expertise comptable, dans le cadre d’une offre pluridisciplinaire et de principes d’action en phase avec les exigences de notre environnement.
© 2014 Deloitte SA. Member of Deloitte Touche Tohmatsu Limited
JOURNEES DE L’AFTEAtelier – 19 novembre 2014
Cash M
anagem
ent
Lutter contre la fraude
Retour d’expérience VALEOSécurisation de la fonction paiement
Cash M
anagem
ent
Valeo in the automotive value chain
Service
Suppliers represent 75 % of cars’ added-value* Suppliers represent 75 % of cars’ added-value*
*Source: CLEPA
Cash M
anagem
ent
Valeo worldwide ranking
Transmission Systems
Electrical Systems
Climate Control
Driving Assistance
Interior Controls
Wiper Systems
Lighting Systems
Thermal Powertrain
end 2013
5.7 defective parts per million at end December 2013
Cash M
anagem
ent
Key figures 2013
51Research &
Development centers
12Distribution
platforms124 Production sites
29 Countries
74,800 Employees
High order intake:
14.8 Bn €
Sales
12.1 Bn €
Cash M
anagem
ent
Valeo’s strategy ‐ based on 2 priorities
CO2 emissionsreductionand intuitive driving
Developmentin Asia and emergingcountries
With the ambition to generate growth higher than the market in eachproduction region
With the ambition to generate growth higher than the market in eachproduction region
Cash M
anagem
ent
Présentation ‐ AgendaThierry Hamon : VALEO ‐ Treasury controllerDominique Niermont : NETILYS – Intégrateur• Objectifs du projet VALEO• Périmètre et choix• Sécurisation de bout en bout
• Sécurisation des données• Sécurisation des transferts issus des ERP• Les accès utilisateurs• Le workflow de validation• La connectivité bancaire• L’hébergement• To 3SKey or not to 3SKey
20LES JOURNEES DE L'AFTE
Cash M
anagem
ent
Objectifs du projet• Trésorerie opérationnelle : paiements,
connectivité bancaire, cash management et reporting
• Outil d’accompagnement de la réorganisation en SSC, standardisation et amélioration de l’efficience
• Normes SEPA, communication bancaire SWIFTNet (obsolescence formats et ETEBAC)
• Prendre le contrôle des référentiels bancaires et des formats
• Sécurisation : un effet déclencheur du projet
21LES JOURNEES DE L'AFTE
Cash M
anagem
ent
Périmètre
• Plus de 100 trésoriers et 600 signataires sur 27 pays (y compris Russie & Canada en cours) et 4 continents
• 60 systèmes comptables, différents systèmes de paie, plus de 10 banques, 40 couples banque/pays
22LES JOURNEES DE L'AFTE
Cash M
anagem
ent
Choix effectués• Mode SaaS
• Éditeur spécialiste du cash management et de la communication bancaire
• Connectivité banques par SwiftNet• Réduction du périmètre bancaire sauf besoin local justifié
• Formats de flux normalisés• XML ISO 20022, format validé par les principales banques• SCT / SDD• MT101 • Autres formats domestiques standards (Pagare, CNAB, RIBA, …)
• Gestion du changement : point clef de réussite• Accompagnement des filiales vers le Core Model• Obtenir des sponsors locaux• Pré visite, gestion des écarts, formation, déplacement pour Go
Live, support central … 23LES JOURNEES DE L'AFTE
Cash M
anagem
ent
Sécurisation de bout en bout
24LES JOURNEES DE L'AFTE
Données fournisseurs, clients, salariés
Les données
Les transferts
Les accès utilisateurs
Le workflow de validation
La connectivité
L’hébergement
Chaque processus validé pendant la conception puis vérifié périodiquement par l’audit interne
Cash M
anagem
ent
Sécurisation des données
25LES JOURNEES DE L'AFTE
Données fournisseurs, clients, salariés
Les données
Prérequis de sécurité – la gestion des données sensibles• Sur l’existant
• Nettoyage des bases • Mise à niveau pour compatibilité
nouveaux formats• Revue contrôle interne
• Documents officiels comme preuve• Données sensibles nécessitant une double
validation• Séparation des tâches
• Revue process pour données futures
Cash M
anagem
ent
Sécurisation des transferts amonts
26LES JOURNEES DE L'AFTE
Cinématique des flux• Simple, pas de rebonds sur d’autres
plateformes• Pas d’envoi manuel de fichiers, pas
de possibilité de modification manuelleLes transferts
Sécurisation du transport• Protocole robuste ( PGP, SSL, …)• Démarrage du dialogue avec
certificat, négociation d’échange de données automatisées
• Filtrage des adresses IP des ports sur Firewall
Cash M
anagem
ent
Les accès utilisateurs
27LES JOURNEES DE L'AFTE
Les accès utilisateurs
Accès par badge et certificat• Workflow d’autorisation des users avant création• Protocole sécurisé d’attribution des accès• Affectation d’un profil utilisateur avec accès limités• Reporting périodique des utilisateurs et droits• Journal des accès• Contrôle des administrateurs
Cash M
anagem
ent
Le workflow de validation
28LES JOURNEES DE L'AFTE
• Principe des 4 yeux• Double approbation avant envoi en banque
• Séparation des tâches (SoD)• Autorisation et contrôle• Validation et envoi
Le workflow de validation
Impossibilité de modifier le détail d’un paiement (montant, coordonnées bancaires)
• Contrôle après envoi• Rapprochement automatique entre
prévisions et relevés bancaires• Revue manuelle du trésorier pour les
opérations non rapprochées
Les signataires ne sont• Ni le trésorier• Ni le comptable• Ni l’acheteur
Cash M
anagem
ent
La connectivité bancaire
29LES JOURNEES DE L'AFTE
La connectivité
• Echange de clé RMA avec les banques ( contrôle du trafic que l’on souhaite accepter d’autres correspondants)
• Service de preuve Swift (tiers de confiance avec archivage, accusé de réception)
• SwifNet• Service de messagerie financière sécurisée• Service Bureau avec logiciels Swift• Réseau privé – clés privées fournies par Swift pour
l’identification et le chiffrage des communications
Cash M
anagem
ent
L’hébergement
30LES JOURNEES DE L'AFTE
• Fiabilité du système avec SLA• Continuité de service (engagement sur la disponibilité des
environnements matériels et logiciels, Disaster Recovery Plan testé)• Performance – temps de réponse• Engagements sur le traitement de incidents, la supervision, la
sécurisation de la plateforme• Astreintes 24/7• Sauvegardes et archivage des données, des fichiers du système
d’exploitation et les programmes
• Sites redondants certifiés ISO 27001
L’hébergement
Cash M
anagem
ent
To 3SKey or not to 3SKey
31LES JOURNEES DE L'AFTE
• Rappel de l’objectif• Authentification de l’utilisateur et la non‐répudiation des
transactions
• Contexte Valeo• Authentification forte internalisée et centralisée chez Valeo• Pas de besoin de coupler avec une authentification sur du
webbanking et peu de besoin de multi‐acceptance bancaire pour un même signataire
• Trace des signatures de transaction gérée sur l’outil Valeo
• Inconvénient• Côté banques, l’authentification et la non répudiation sont liées au
groupe Valeo et non à la personne
• Avantages• Coût : environs 600 signataires• Souplesse(A ce jour 30% des couples Banque/Pays sont certifiés 3SKey)