Le retour d’expérience de Béatrice ROBERT (cheffe comptable BIMBO QSR France) en matière de sécurisation de flux bancaires, avec les explications de Marie-Thérèse BROGLY (directrice MATA IO) lors du Forum DIMO 2024. Un atelier animé par Luc MEUNIER (ingénieur commercial DIMO Software).
La fraude : l’élément déclencheur de l’implémentation de MATA IO chez BIMBO QSR
C’est après avoir été cambriolé qu’on se décide à mettre une alarme.
Tel est le dicton employé par Béatrice ROBERT (BIMBO QSR) pour évoquer l’usurpation d’identité dont a été victime l’entreprise en 2022. À défaut d’être très connue en France, l’entreprise BIMBO QSR attire néanmoins les hackers : « Nous pensions que nos process internes étaient fiables, or les fraudeurs ont profité des vacances d’été et d’un personnel moins présent pour injecter un RIB et déclencher un paiement indésirable. C’est très compliqué ensuite de faire une réclamation auprès de la banque. Toute entreprise a l’obligation de s’outiller pour sécuriser ses bases. Nous avons donc choisi de nous doter d’une solution dédiée pour ne plus avoir à revivre cette expérience malheureuse. MATA IO est assez facile d’emploi, maniable et adaptable à nos besoins ».
La solution a contribué à sécuriser les RIB des tiers de BIMBO QSR. Elle a contrôlé l’intégralité de la base (800 fournisseurs français) pour les virements SEPA et à l’international. BIMBO QSR a opté pour des contrôles deux fois par jour via des FTP. Les bases sont sorties de son ERP, puis contrôlées par MATA IO. En cas d’anomalie, la solution avertit par mail que des éléments sont à valider manuellement. Ensuite, BIMBO QSR a voulu aussi sécuriser ses virements fournisseurs. Ce contrôle s’effectue dès la sortie des virements de l’ERP : avant de partir en banque, ils partent pour contrôle sur MATA IO puis la solution poste ceux-ci automatiquement pour les envoyer en banque sans action de la part de BIMBO QSR. Les flux se font de manière transparente : « L’enjeu principal était de ne pas augmenter les temps de traitements, à savoir les tâches de travail des comptables et des personnes en charge de la gestion des tiers » raconte Béatrice ROBERT.
Compléter l’existant avec un référentiel tiers sécurisé
MATA IO vient compléter un existant en s’intercalant entre les bases de données (fournisseurs, salariés, autres) et le TMS, l’outil de gestion de trésorerie, de signature et de communication bancaire du client. En effet, ce sont ces bases dans lesquelles le client crée et modifie des tiers et dans lesquelles il est amené à effectuer des règlements. MATA IO met en place un référentiel tiers sécurisé, dans lequel chaque compte est correctement associé au tiers. Marie-Thérèse BROGLY indique le déroulé du processus :
« Pour être certain de sa base tiers, il faut commencer par un audit. Des bases de données interbancaires permettent de nous assurer que les comptes et les tiers sont correctement associés. Si la base de tiers est sûre, nous pouvons par exemple décider de constituer notre base socle à partir de tous les tiers et tous les comptes qui ont fait l’objet d’un règlement au cours de l’année écoulée. Tout dépend de l’organisation, ce n’est pas une obligation ».
Une fois le référentiel tiers constitué, des interfaces récurrentes sont mises en place avec MATA IO de manière à pouvoir détecter automatiquement tout ce qui a changé. Ces créations et modifications seront interrogées aussi de façon automatique auprès des bases de données auxquelles le client a choisi de s’abonner, comme Infolégale pour s’assurer de l’existence des tiers, OFAC EU pour la partie compliance, surtout le dispositif interbancaire franco-français Sepamail Diamond ou Sis ID pour l’étranger – c’est souvent là que se trouve la fraude – qui permettent d’aller chercher la validation d’un IBAN pour un tiers. Tout dépend de la typologie des tiers. Les réponses sont intégrées en retour de manière à mettre à jour le référentiel tiers.
100% des tiers ne sont pas atteignables, même en France
Il va donc falloir mettre en place des procédures de validation manuelles avec peut-être du contre-appel téléphonique, la récupération d’un RIB certifié auprès de l’acheteur. Dans MATA IO, tous les tiers et comptes doivent être validés. Ce qui fait la vraie plus-value du produit, c’est qu’il n’est pas possible de payer une paire non valide : c’est là que réside toute la sécurité. « Le fait de consulter une base est une information, mais pas une mise en sécurité. Le seul moyen d’être mis en sécurité, c’est qu’en cas de détection d’anomalie, le règlement soit bloqué » comme l’explique Marie-Thérèse BROGLY.
Divers niveaux de garantie pour compléter le facteur humain
Concernant la responsabilité en cas de fraude, Marie-Thérèse BROGLY explique que les niveaux de garantie gérés par MATA IO dépendent des partenaires avec lequel l’organisation choisit de travailler. Sis ID propose d’assurer les transactions, par exemple s’il devait y avoir une fraude sur un retour « vert », une responsabilité que Sepamail Diamond et les banques en France ne prennent pas en charge :
« Les offres ne sont pas équivalentes en termes de tarifs, car le service a un prix. Il faut identifier le risque, sur quel tiers et où placer le curseur. Nous sommes une boîte à outils, nous faisons de la détection, de l’interrogation, de la restitution puis nous automatisons le process. Les process humains étant faillibles, il faut un mix entre process humains et de l’automatisme pour que le contrôle soit actif en permanence notamment la détection en continu des ajouts et des modifications d’IBAN. La procédure est incontournable et traçable à travers l’historisation de tous les contrôles qui apporte la preuve que l’on a fait son travail. Il n’y a pas un seul workflow de validation, mais plusieurs qui seront différenciés par typologies de tiers et qui seront obligatoires et automatiques ».
Plusieurs types de fraudes et des contrôles complémentaires
MATA IO permet de sécuriser les virements émis, mais il existe d’autres types de fraudes, comme la fraude au prélèvement fournisseur. Marie-Thérèse BROGLY en détaille le modus operandi : « Depuis le passage au SEPA, les autorisations de prélèvements ont été remplacées par des mandats, qui ne sont connus que du créancier et du débiteur, mais pas de la banque. Si quelqu’un présente un prélèvement correct sur la forme, mais pas sur le fond, il sera traité par la banque. Certes, il est possible de contester, mais encore faut-il avoir identifié la fraude puis monté un dossier. MATA IO propose plutôt de paramétrer une « liste blanche » de prélèvements autorisés qui seront rapprochés de façon automatique avec un fichier d’annonce appelé « prélèvements en attente d’imputation ». C’est un service mis à disposition par les banques des clients qui nous permet de rapprocher ce qui va passer en banque et ce qui est paramétré chez eux. Dès qu’une anomalie est détectée, MATA IO peut stopper le prélèvement avant qu’il ne vienne débiter le compte du client ».
MATA IO propose aussi deux autres fonctionnalités :
- Des contrôles complémentaires paramétrables pour chercher des récurrences anormales, des montants anormalement élevés pour une catégorie de clients, des pays interdits, un même compte qui apparaîtrait plusieurs fois dans une même remise… Autant de points de contrôles pour traquer la fraude de manière plus fine. À noter que la fraude interne représente plus de 30% des fraudes.
- Une saisie sécurisée des virements ponctuels, comme l’explique Marie-Thérèse BROGLY : « Dans la vraie vie, tous les règlements ne sortent pas directement de l’ERP. Il faut parfois effectuer des virements urgents ponctuels dans des applications satellites de la trésorerie, dans des portails bancaires, dans des applications où on ne retrouvera pas les workflows de sécurité mis en œuvre dans l’ERP. Il faut cependant essayer d’assurer le même niveau de sécurité, quelle que soit la provenance des virements. On a donc la possibilité, dans MATA IO, de saisir des opérations ponctuelles. L’intérêt par rapport à une autre solution, est qu’on ne peut pas saisir de virement sur une paire qui n’est pas ou plus validée ».
Le traitement du fichier de règlement
MATA IO dispose d’une formathèque permettant de collecter tous les fichiers de paiement et de les tester pour s’assurer que les comptes sont toujours correctement associés avant l’envoi en banque. Si tout est bon, le flux est poussé dans le logiciel de signature avec la mention « valide ». Dans le cas contraire, l’ordre sera bloqué dans un coffre-fort numérique en attendant d’être validé, à moins qu’il ne s’agisse d’une suspicion de fraude. En cas de blocage du fichier de règlement quand les tiers ne correspondent pas, le fichier global n’est cependant bloqué à cause d’une seule suspicion. Il y a deux cas :
- Soit il s’agit simplement d’un problème de temporalité : la validation arrive en l’espace de quelques minutes. Le fichier va sortir automatiquement du coffre-fort dès que l’ordre sera validé.
- Soit c’est une suspicion de fraude avérée qui nécessite du temps pour effectuer des contrôles nécessaires. Il est possible d’isoler l’ordre, de le sortir de la remise. La remise est recalculée au format bancaire puis envoyée à la banque.
Une mise en place très rapide et un accompagnement de qualité
Marie-Thérèse BROGLY (MATA IO) estime qu’un projet moyen s’étale de 7 à 12 jours pour ses équipes, mais nécessite un gros travail préparatoire chez le client : audit des comptes et des tiers, conformité des tiers, etc. À noter que l’éditeur dispose d’outils pour automatiser cette mise en conformité des tiers.
En amont de l’implémentation, BIMBO QSR a du contrôler ses bases de données fournisseurs (numéro de TVA, SIREN, etc.) puis recontrôler toutes les bases intégrées dans l’ERP. Il arrive que certaines bases ne soient pas le reflet des KBIS fournisseurs. Ce premier nettoyage de 800 fiches fournisseurs s’est déroulé en l’espace d’un mois. Au total, le projet a été mené en trois mois, mais tout dépend du niveau d’adaptation et d’automatisation souhaité : « Nous avons voulu un degré maximal d’automatisation, ce qui a demandé un peu plus de temps en termes de ressources ».
De plus, Béatrice ROBERT a beaucoup apprécié le fait que DIMO Software soit une entreprise à taille humaine : « Nous avons eu un interlocuteur unique tout au long de l’implémentation et de l’installation de MATA IO. Nous avons bénéficié de conseils éclairés, les utilisateurs ont été formés à la solution et l’interlocuteur connaissait bien le fonctionnement de notre société. Ce côté humain des échanges a contribué aussi au succès du projet ».
Vous souhaitez protéger votre entreprise contre la fraude ?
