LA SECURITE DES PAIEMENTS - exabanque.com · • Fournir à des entreprises concurrentes des...

22
Livre blanc LA SECURITE DES PAIEMENTS

Transcript of LA SECURITE DES PAIEMENTS - exabanque.com · • Fournir à des entreprises concurrentes des...

Livre blanc

LA SECURITE DES PAIEMENTS

1Livre blanc - La sécurité des paiements

SOMMAIRE

INTRODUCTION

1/ LES RISQUES

A. Le détournement de fonds B.Ladivulgationd’informationsconfidentielles C. L’indisponibilité du système de paiements

2/ LES ACTIONS PREVENTIVES

A. Organisation 1.Définirunepolitiquedesécuritédel’entreprise 2.Définirlesprocéduresdetraitementdespaiements

B. Sensibilisation et formation 1.Sensibiliserlesutilisateursauxrisques 2. Former les utilisateurs 3. Les principales règles à respecter C. Sécurisation des environnements de travail

3/ LES AUDITS ET CONTROLES A. Contrôle du respect des procédures 1. Contrôle des paramétrages 2. Utilisation des traces 3. Contrôles aléatoires sur des paiements réels

B.Vérificationdufonctionnementdesoutilsdesécurité

C. Tests de résistance

CONCLUSION

2

3 466

7

888 11111213

14

15

16161717

17

18

19

2Livre blanc - La sécurité des paiements

INTRODUCTION

Depuis quelques années, de plus en plusd’entreprises de toutes tailles sont victimes de tentatives d’escroquerie sur les virementsbancaires.

Danscelivreblanc,vousdécouvrirezquellesactionsmettre en place pour réduire considérablement les risquesliésàvosordresdepaiement.

3Livre blanc - La sécurité des paiements

LES RISQUES

Lesrisquesliésàlagestiondespaiementspeuvent être classés dans les catégories suivantes : A. Le détournement de fonds

B. La divulgation d’informations confidentielles

C. L’indisponibilité du système de paiements

1.

4Livre blanc - La sécurité des paiements

A. Le détournement de fonds 1/Lorsdel’utilisationd’uneapplicationdegestiondespaiements,unepersonnemalveillantepeutcréeruncomptebancairepirateeteffectueroufaireeffectuerdesvirementssurcecompte.Cetteopérationpeutêtreeffectuéeparunutilisateurnormaldel’applicationoupar une personne extérieure.

Les risques de détournements par un utilisateur de l’application

• Réalisation d’une opération frauduleuse Un utilisateur malveillant ayant accès à l’application peut effectuer lui-même

desvirementsfrauduleux.Si lesdroitsnesontpascorrectementparamétrés,ilpeutenregistrerunfauxcomptebancaire,créerdesordresdepaiementspourcecompte et les faire exécuter

• Altérationdefichiers Un utilisateur peut également altérer un fichier de virements s’il a accès aux

répertoiresdanslesquelslefichiertransite(fichierdepaieoufichierderèglementsissu de l’ERP de la société). Il peut créer ou remplacer un compte de destinataire. Cettemodificationseradifficileàrepérerlorsdelavalidationdufichiercorrespondant

Les risques de détournements par une personne extérieure à la société

Souvent,l’escroccontactelasociétéensefaisantpasserpour:

• Un fournisseur L’escroc demande à la société de changer ses coordonnées bancaires pour le

règlement de ses factures. Les nouvelles coordonnées correspondent à un compte quiserautilisépourdétournerdesfonds

• Un faux assistant L’escrocpeutappelerunutilisateuret luidemanderd’effectuerunvirementde

«test»pourvérifierlebonfonctionnementdel’application.Ilprétendtravaillerpourl’unedesbanquesdelasociété,oupourl’éditeurdulogicieldegestiondespaiements

• Un dirigeant Une personne peut se faire passer pour un dirigeant de la société : prétextant une

urgenceouuneopérationexceptionnelle(parexemplelanécessitédepareràuncontrôlefiscalimminentoudegéreruneopérationconfidentielleàl’étranger)ellecontacte les services comptables de l’entreprise et demande le virement d’une sommeimportantesuruncomptequ’ellefaitcréerpourl’occasion

5Livre blanc - La sécurité des paiements

Les fonds détournés sont généralement transférés immédiatement surunesuccessiondecomptesàl’étranger,cequirendlarécupération

dessommesdétournéesdifficile.

Il s’agit généralement d’opérations très bien préparées : les escrocs se renseignent notamment sur les procédures internes, les noms des personnes et les habitudes de la société. Elles ciblent des exécutants en jouant sur leur respect de l’autorité et de la hiérarchie.

Parfois,l’escrocnecontactepasdirectementlasociété,maispiratel’undesespostesinformatiques:

• Récupérationd’identifiants L’utilisateur de l’application de gestion des paiements installe sans le savoir un

virusinformatiquesursonordinateur(encliquantsurunepiècejointeousurunliend’une-mail).Ceviruspermetaupirated’analyserl’ensembledesactionsquel’utilisateurréalisesursonposte,etdecapturercequ’ilsaisitsursonclavier.Lepirateparvientalorsàseprocurerlescodesd’accèsdel’utilisateur,qu’ilutiliserapour réaliser des actions frauduleuses

• Prise de contrôle à distance Unvirusinformatiquepeutégalementpermettreàunescrocdeprendrelecontrôle

à distance de l’ordinateur de l’utilisateur. Le pirate peut ensuite se connecter à l’application de gestion des paiements et réaliser des opérations frauduleuses au nom de l’utilisateur

6Livre blanc - La sécurité des paiements

B. La divulgation d’informations confidentielles1/Un salarié en poste ou un ancien salarié peut potentiellement accéder à des données confidentielles,danslebutde:

• Fournir à des entreprises concurrentes des informations telles que la liste desfournisseursetclientsde lasociété,ou lasituationdesa trésorerie(soldedescomptes)

• Révélereninternelesmontantsdesalaires,dividendesoujetonsdeprésence

C. L’indisponibilité du système de paiements1/Desactionsdedestructiondedonnéespeuventêtreeffectuéesparunsalariéenposte,unanciensalarié,unesociétéconcurrenteouencoreunpirateinformatique,etpeuvententraîner une indisponibilité du système de paiements.

L’intention ici est de nuire à la société visée en paralysant son système de trésorerie via desactionstellesque:

• Supprimer des données dans l’application

• Empêcherlesaccèsutilisateurs

• Empêcherlacommunicationaveclesbanques

Lesconséquencesdetellesactionspeuventêtreindustrielles,lorsqu’unfournisseurnonpayé décide d’arrêter sa production ou d’annuler une livraison. Elles peuvent aussi être sociales quand le non-paiement des salaires entraîne desmouvements sociaux dansl’entreprise.

7Livre blanc - La sécurité des paiements

LES ACTIONS PREVENTIVES

Pour se prémunir des risques sur lespaiements, il convient demettre en placedes actions en termes de : A. Organisation

B. Sensibilisation et formation

C. Sécurisation des environnements de travail

2.

8Livre blanc - La sécurité des paiements

1. Définir une politique de sécurité de l’entreprise

Lasécuritédespaiementsdoitidéalements’inscriredansunprojetplusvastedepolitiquede sécurité de l’entreprise, dont le but est de protéger les biens et les services del’entreprise.

Lapolitiquedesécuritédoitcouvrir:

• Lesdonnéesdel’entreprise,desapplicationsetdessystèmesd’exploitation

• Lestélécommunications:technologiesréseau,serveursdel’entreprise,réseauxd’accès,etc.

• Lesinfrastructuresmatérielles:sallessécurisées,postesdetravail,etc.

Lamiseenœuvredecettepolitiquecomportelesétapessuivantes:

• Identifierlesdonnéessensiblesdel’entreprise,etlesclasserparordredecriticité

• Recenseretclasserlesrisquespesantsurcesdonnées

• Analyserlesprocéduresdéjàenplace

• Elaborer des règles et des procédures à mettre en œuvre dans les différentsservicesdel’organisationpourlesrisquesidentifiés

Aprèsavoirélaboréunepolitiquedesécuritéquirépondeauxmenacesidentifiées,ilestindispensabledediffuserces informationsà l’ensembledescollaborateurs.Toutes lespersonnes travaillant dans l’entreprise sans exception doivent être sensibilisées.

Il faut également s’assurer que la politique de ressources humaines de l’entreprises’inscrive bien dans la politique de sécurité définie. Cela passe par exemple par desmesuresdecontrôlelorsdesrecrutements(pièced’identité,diplômes,extraitsdecasierjudiciaire,etc.).Ilfautaussiprévoirdesprocéduresdecréationetdesuppressiondedroitspourlessalariés,surtouslesaccèsinformatiquesetphysiques.

2. Définir les procédures de traitement des paiements

Enparallèledutravailsurlapolitiquedesécuritédel’entreprise,ilconvientdedéfinirlesprocéduresdetraitementdespaiements.Celles-ciconcernent:lesaccès,laségrégationdestâches,lesdroitsetlimites.

A. Organisation2/

9Livre blanc - La sécurité des paiements

Accès

L’accèsàl’applicationdegestiondespaiementsdoitrespecterlesrèglesd’authentificationfortedictéespar l’AutoritéBancaireEuropéenne.L’authentificationde l’utilisateurdoitainsi combiner au moins 2 facteurs parmi les 3 suivants :

• Quelquechosequel’utilisateurconnait:commeparexempleunmotdepasse

• Quelque chose que l’utilisateur possède : il s’agit d’un élément matériel nonmémorisable, commeune clefUSB,une carteàpuce,ouencoreune cartedesécurité comprenant plusieurs codes

• Quelquechosequel’utilisateurest:telsqu’uneempreintedigitale,l’irisdesonœil;cesontdesfacteursbiométriques

Deplus,ilestrecommandéd’apporteruneattentionparticulièreauxmotsdepasse,en:

• Imposantlasaisiedecaractèresspéciaux,dechiffresetdelettres,etd’aumoins8 caractères

• Bloquantlaconnexionaprès3tentativeséchouées

• Définissantunepériodedevalidité,quioblige lesutilisateursà renouveler leurmotdepasserégulièrement,parexempletousles3mois

Enfin,ilestégalementconseillédemettreenplaceunelimitationd’accèsenfonctiondel’adresseIPdel’utilisateur.L’applicationdegestiondespaiementsempêcheraalorslaconnexion aux ordinateurs avec une adresse IP inconnue.

Ségrégation des tâches

Une seule et même personne ne doit pas être en mesure de créer et d’envoyer un paiement. Il convient doncdemultiplier les acteurs impliquésdans les processusdecréationetdevalidationdesordresdepaiementsetdesbénéficiaires,endissociant leurs rôles.

L’administrateurdoitrépondreauxquestionssuivantes,ens’assurantquelesdifférentestâchessontattribuéesàdesutilisateursdistincts.

Rappel :Chaquepersonnephysiqueutilisatriced’unlogicieldegestiondespaiementsdoitdisposerdesesidentifiantsdeconnexionpersonnelsetuniques.

10Livre blanc - La sécurité des paiements

• Quiesthabilitéàenregistrerdescomptesbancaires?

• Quiesthabilitéàpréparerdesordresdevirements?

• Quiesthabilitéàlesvalider?

• Quiesthabilitéàlesenvoyer?

• Quiesthabilitéàenregistrerdesdonnéestellesquelescomptesbancaires, lesprofilsutilisateurs,lesdestinataires?

• Quiesthabilitéàmodifiercesdonnées?

• Quiesthabilitéàlessupprimer?

• Quiesthabilitéàvaliderlesmodificationsdedonnées?

Lorsqueplusieurspersonnessontimpliquéesdanslavalidationdedonnéesoud’ordres,on parle du principe des 4/6 yeux. Ce contrôle permet d’éviter par exemple :

• Lacréationd’un«faux»profilutilisateurdontunepersonnemalveillantepourraitseservirpoureffectuerdesopérationsfrauduleuses

• Lacréationd’uncomptededestinatairequin’estenréalitépasliéàlasociété

• La suppression non autorisée de données

Droits et limites

Lasécuritédespaiementsdoitpasserparladéfinitiondesdroitsdechaqueutilisateur.Cesdroitspeuventêtrelimitésàlaconsultationdedonnées,àcertainesactionsouàlavalidation.

• Limitation de consultation Ils’agiticidepermettrelavisualisationd’uncontenuspécifique(détaild’ordresde virements par exemple) à certains utilisateurs seulement. Cela peut passer pardesrestrictionsd’accèsàdesdonnéesouparlechiffrementdefichiers.Onprévient ainsi la divulgation d’informations confidentielles en interne ou à uneentreprise concurrente.Enparticulier,pour lesvirementsdesalaires, ilconvientdemettreenplaceunsystèmedeprotectionquipermettentauxacteursdelachaînedepaiementdevisualiseruniquementlemontanttotaldelaremise,etnonpasledétaildesordres

11Livre blanc - La sécurité des paiements

• Limitation par actionOnpeutlimiterlesactionsautoriséespourchaqueutilisateurpar:• Société(pourungroupe)• Compte bancaire• Montant• Type d’ordre

• ValidationPourlesutilisateursdisposantdedroitsdevalidation,lasignaturenumériqueestlemoyen le plus sécurisé d’autoriser l’envoi d’ordres bancaires. Elle garantit l’intégrité d’un document numérique et permet de connaître clairement son signataire.L’utilisateurdisposantdelacléprivéeliéeàuncertificatélectroniqueestleseulàpouvoir l’apposer, cequiempêche toutepersonnemalveillanted’usurpersonidentité et de valider des opérations non autorisées. Lasignaturenumériquegarantitenoutreque ledocumentn’apasétémodifiéentresasignatureetsaréceptionparlabanque.

Les collaborateurs les plus exposés à une tentative de fraude sont les trésoriers,les comptables, et de manière générale les utilisateurs agissant sur les moyens depaiement.Afindepréveniraumieuxlesrisques,ilconvientdesensibiliseretdeformerces utilisateurs.

1. Sensibiliser les utilisateurs aux risques

Les collaborateurs doivent être à toutmoment conscients que l’entreprise peut êtrela cible de tentatives d’escroquerie comme le détournement de fonds, la divulgationd’informationsoulasuppressiondedonnées.C’estpourquoiilestimportantde:

• Expliquerauxcollaborateurslesdifférentstypesderisquesencourus,présenterdesexemplesconcretsd’escroquerieoudetentatived’escroquerieetlesconséquencesconcrètes(montantsdétournés,impactssurl’imageetlaréputationdelasociété)

• Rappelerauxutilisateursqu’ilnefautenaucuncasdérogerauxprocédures

• Leurdemanderd’êtrevigilantsnotammentlorsqu’unesituationsortdel’ordinaire,commeparexemplelademandedemodificationdecoordonnéesbancairesd’unfournisseur

Les fraudeurs prétextent souvent l’urgence et la discrétion afin de pousser leurinterlocuteuràeffectueruneopérationdevirement,etceendépitdesrèglesdesécuritéfixéespar l’entreprise,oudusimplebonsens.Lesdemandesde règlementsurgents

B. Sensibilisation et formation2/

12Livre blanc - La sécurité des paiements

faiteslaveilled’unweek-endsontainsitrèsrépandues,carellesempêchentlesvictimesde réagir rapidement.Lesescrocspeuventutiliserl’intimidation,l’empathieouencorelaflatterieafind’amenerleur interlocuteur à transmettre un ordre de paiement : les collaborateurs doivent savoir reconnaitrecescomportementsets’enméfier.

2. Former les utilisateurs

L’objectif pour lesutilisateursestde connaître lesprocéduresdepaiementmisesenplace et de savoir utiliser à bon escient les outils de sécurité mis à leur disposition.

Ilfautainsiexpliqueretdétailler:

• Les procédures de paiement à respecter :• Saisie en ligne• Importationdefichier• Miseenworkflow• Validation/signature• Envoideremiseàlabanque• Validationéventuelleaprèsenvoi(lorsquelavalidationsefaitsurlesiteweb

delabanqueparexemple)

• Lerôledesacteursimpliquésdanslachaînedepaiement:• Quisaisitlesordres?• Quicréelesbénéficiaires?• Quivalidelesordres?• Quisignenumériquementlesordres?• Quiréalisel’envoiàlabanque?

• LesprocéduresdecontactdesbanquesetleursinterlocuteursAinsi,lesutilisateursserontvigilantss’ilssontcontactésparuninterlocuteurouviauneprocédureinconnus.Ilfautégalementqu’ilssoientenmesuredecontacterlabanquepourvérification,signalement,outoutproblèmerelatifauxmoyensdepaiements

Encasdefraudeavérée,ilconvientdeprévoiruneprocédurespécifiqueàsuivre,etdelacommuniquerauxutilisateurs:

-Informerlespersonnesdésignéesdansl’entreprise-Prévenirl’établissementbancaire-Déposerplainteauprèsducommissariatdepolice-RecueillirlestracesdesactionsfrauduleusesetlesadressesIPutilisées(vialeserviceinformatique)

13Livre blanc - La sécurité des paiements

• Les règles de gestions des incidentsLesutilisateursdoiventsavoirquicontacterdansetendehorsdel’entreprise,etdequellemanière,afinderéagirauplusviteencasdetentativedefraude

• LesméthodesdegestiondesabsencesetdescongésLesrèglesdesécuritédoiventtenircomptedespériodesdecongésoud’absence,etdétaillerlesprocéduresàrespecterdanscessituationsparticulièresetidentifierles personnes à contacter en remplacement

3. Les principales règles à respecter

Voici des règles incontournables à faire respecter par tous les collaborateurs.

• Identifiantsetmotsdepasse:Nejamaiscommuniquersesaccèsàunetiercepersonne(mêmeàuncollègue),afind’éviterqu’unepersonnemalveillanteutilisecesaccèspoureffectuerdesopérationsnonautorisées

• E-mails et pièces jointes : Ne pas cliquer sur les pièces jointes ou les liensd’e-mails dont l’expéditeur est inconnu. Cela pourrait permettre à unmalwared’êtreinstallésurlepostedel’utilisateur,afinqu’unpirateinformatiqueenprennelecontrôleourécupèredesinformationsdesaisie(commeunmotdepasse)

• Conversationstéléphoniques:Nejamaisagirautéléphone,etnepaseffectuerdesactionsdemandéesparunepersonnedontl’identitén’apuêtrevérifiée

• Communication interne : Informersahiérarchiesiun interlocuteurdemande laréalisation une opération exceptionnelle dans l’urgence et/ou dans la plus grande discrétion

• Réseaux sociaux : Ne jamais diffuser d’informations sensibles sur les réseauxsociaux professionnels et personnels

La formation est un travail continu : il faut systématiquement former lesnouveauxcollaborateurset informer lesutilisateurshabituelschaquefoisqueles procédures ou les outils de sécurité évoluent.

14Livre blanc - La sécurité des paiements

C. Sécurisation des environnements de travail2/Il est nécessaire de sécuriser l’environnement de travail des utilisateurs en mettant en placeundispositifdesécuritéinformatique:

• Installation etmise à jour automatique d’anti-virus et d’anti-malwares sur lespostes des utilisateurs

• Obligation pour un utilisateur de passer par un administrateur pour installer un programme ou un logiciel. Cela peut éviter l’installation involontaire d’un outil malveillant(typePhishing)conçuparexemplepourrécupérerdesidentifiantsdeconnexion à une application

• Mise en place d’un système de sauvegarde et de restauration complet des postes de travail

• Sécurisation de l’accès à Internet par la mise en place d’un proxy sur le réseau de l’entreprise. Celui-ci bloque l’accès aux sites considérés comme risqués ouindésirables,répertoriésdansdeslistesnoirespubliquesdisponiblesgratuitement

Nousvousrecommandonsfortementd’élaborerunecharteinformatique.Celle-cidéfinitles règles d’utilisation des outils informatiques que tous les collaborateurs doiventrespecter.

15Livre blanc - La sécurité des paiements

LES AUDITS ET CONTROLES

3.

Afindevousassurerdelabonnemiseenapplicationdes actionspréventives, vouspouvezmettreenplace:

• Des contrôles sur le respect des procédures

• Des audits internes afin de vérifierrégulièrement le fonctionnement des outils de sécurité mis en place

• Des tests de résistance afin d’évaluer lastabilité de l’application de gestion des paiements en exposant volontairement celle-ciàdesmenacesspécifiques

16Livre blanc - La sécurité des paiements

A. Contrôle du respect des procédures3/

L’efficacitédescontrôlesdépenddelaqualitédestraces.Latraçabilitédoitdoncêtrepréalablement mise en place sur l’ensemble des outils et infrastructures utilisés par l’entreprise :

• Traces sur les connexions aux serveurs depuis des ordinateurs locaux ou des ordinateursdistants(réseauVPN)

• Tracessurlesaccèsauxserveurspartagésetsurtouteslesactionseffectuéessurles serveurs contenant des données sensibles

• Traces sur les réseaux : détection de blocages réseaux, inspections réseauxpermettantderepérerdesfichiersouprogrammespotentiellementmalicieux

• Tracessurlesdonnéesrécoltéespartouslesanti-virusinstalléssurlespostesdescollaborateurs

• Tracessurlesenvoisetréceptionsd’e-mails(heures,adressese-mailsdel’envoyeuret du destinataire)

• Tracessurlessiteswebconsultésparlescollaborateursafinderepérerlessitespotentiellementdangereux(risquedetéléchargementd’unlogicielmalveillantparexemple)

1. Contrôle des paramétrages

Ils’agit icidevérifierquelesparamétragesdel’applicationdegestiondespaiementssontbienenadéquationaveclapolitiquedesécuritémiseenplace:

• Lesaccèsàl’applicationsont-ilscorrectementprotégés(complexitédesmotsdepasse,blocageauboutd’uncertainnombredetentativesdeconnexion,restrictiond’accèsenfonctiondel’adresseIPd’origine,etc.)?

• Laségrégationdesrôlesentrelescollaborateursest-ellebienétablie?

• Lacréation/modification/suppressiondedonnéesdans l’application requiert-ellebienunevalidationd’unadministrateuroud’unsuperviseurdesécurité?

• L’accès à des données confidentielles est-il restreint à certains utilisateursdésignés?

• Lesétapesdesprocessusdevalidationdespaiements respectent-ellesbien lesprocéduresdéfinies?

17Livre blanc - La sécurité des paiements

2. Utilisation des traces

Vos collaborateurs peuvent être amenés à effectuer bonnombred’opérations sur unoutil de traitement de paiements : exécution de virements, consultation de relevésdecompte,ajout/modification/suppressiondedonnéescomme lesprofilsutilisateurs,comptes émetteurs, destinataires, etc.C’est pourquoi il est important degarderunetracedetoutescesopérationsetdesinformationsassociées(utilisateursayanteffectuél’opération,dateetheure,typed’action,descriptionprécisedel’actioneffectuée,etc.)afin de vérifier la conformité des opérations effectuées avec les procédures internesmises en place.

3. Contrôles aléatoires sur des paiements réels

Parallèlementauxauditsinternesréguliersetprogrammés,mettreenplacedescontrôlesaléatoiresestunebonnemanièredevérifier«entempsréel»lerespectdesprocéduresde sécurité. Cela permet notamment de vérifier si un paiement est bien traité selonunworkflowdevalidationdéfini,ouencoredevoirsilaségrégationdesrôlesestbienrespectée(lapersonnequicréedesordresdepaiementsn’estpascellequilesvalidepar exemple).

B. Vérification du fonctionnement des outils de sécurité3/Desaudits internesréguliersdoiventpermettredevérifierl’adéquationdesmodesdefonctionnementdesoutilsaveclapolitiquedesécuritédel’entreprise.

Les contrôles sur les environnements de travail

• Vérifier la présence et le bon fonctionnement des anti-virus/anti-malware surl’intégralité des postes de travail de l’entreprise

• Vérifierlebonfonctionnementdessauvegardesintégralesdesystèmed’information

• Testerlarestaurationdesauvegardecomplètedesserveurs,postesdetravailetPC portables

• Tester les mécanismes de sauvegarde et de restauration des boites aux lettres individuelles,courrielsetpiècesjointes

Les contrôles sur les systèmes de gestion des paiements

• Vérifier le bon fonctionnement des mécanismes de protection des accès (parexemple,s’assurerqu’uneapplicationdegestiondespaiementssebloqueauboutd’uncertainnombredetentativeséchouées)

18Livre blanc - La sécurité des paiements

C. Tests de résistance3/

• Vérifier lebon fonctionnementdesworkflowsautomatiquesparamétréspour letraitement de certains paiements

• Vérifierlebonfonctionnementdesmécanismesdecryptagedefichierssensibles

• Vérifierlebonfonctionnementdesmécanismesderestrictionsd’accèsàcertainesdonnées ou certaines fonctionnalités

Un test de résistance vise à soumettre un produit, une entité ou un système à desconditionsd’utilisationextrêmes,ouàdesattaques,afinde tester sastabilité.Cettetechniquepeutserviràidentifierdesfaillesdanslesystèmedesécuritémisenplace,mesurer l’impactdechaquevulnérabilitésur lasécuritédusystèmed’information,etdéfinirunpland’actionpourleurpriseencompte.

Danslecasprécisdelagestiondespaiementsviaunlogicielouuneapplicationweb,lesexemples de tests suivants peuvent être réalisés :

• Création d’un faux compte de destinataire qui n’est pas lié à la société et quipourrait potentiellement servir à détourner des fonds : le but ici est de voir si la création du compte est validée ou non

• Création d’un faux compte utilisateur dont l’instigateur pourrait se servir pour masquersavéritableidentitéetseconnecteràl’applicationpourcommettredesactions frauduleuses

• Testsdepénétration:vouspouvezfaireappelàunesociétéspécialiséeafindevérifierlarésistancedel’applicationauxintrusionsextérieures

19Livre blanc - La sécurité des paiements

CONCLUSION

Enrésumé,voiciunrappeldesétapesàsuivrepourgarantir lasécurité de vos paiements :

• Identifier le niveau actuel de sécurité des paiements, lesdonnéessensiblesdel’entreprise, lesmenacespesantsursonactivitéetleursconséquences

• Définirunepolitiquedesécuritéenélaborantdesprocéduresde traitement des paiements claires et précises

• Sensibiliseretformerlesutilisateursauxbonnespratiqueset aux règles de sécurité à respecter

• Sécuriser les environnements de travail des collaborateurs

• Effectuer des audits/contrôles afin de s’assurer du bonrespect des procédures mises en place pour détecter d’éventuelles failles dans la gestion des paiements

20Livre blanc - La sécurité des paiements

Parallèlementàcesaspects,ilestnécessairede rester en veille sur les techniquesutilisées par les escrocs (celles-ci évoluentconstamment), et de garder à l’esprit quen’importe quelle entreprise (quelle que soitsa taille ou sa renommée) peut être victime detentativesdefraudes,quivontentachersa

réputation et mettre son activité en péril.

21Livre blanc - La sécurité des paiements

CelivreblancvousestproposéparExalog,éditeurdelogicielsde gestion des paiements et de communication bancaire.

www.exalog.com [email protected]

Copyright:Exalogestunemarquedéposée.©2015ExalogTousdroitsréservés.