BailleursBailleursBailleursBailleurs : votre sécurité et celle de vos : votre sécurité et celle de vos : votre sécurité et celle de vos : votre sécurité et celle de vos locataireslocataireslocataireslocataires Prévention Prévention Prévention Prévention des risques des risques des risques des risques dededede fraudesfraudesfraudesfraudes

Sécurité Bailleurs, locataires: Prévention des risques de Fraude

Les moyens modernes de communication et les systèmes informatiques actuels ainsi que l’organisation des bailleurs permettent une recrudescence des fraudes de toute nature : escroqueries, abus de confiance, détournement d’actifs.

Les fraudeurs usent d’artifices de plus en plus sophistiqués pour réunir les informations déterminantes et nécessaires à leur scénario. Leur but est d’émettre des virements frauduleux, le plus souvent à l’international. Les banques ont été les premières visées par ce type de fraude et constatent aujourd’hui un report important de ces tentatives sur les organisations de tout type. Mais les fraudes peuvent également viser vos locataires dans le paiement de leur loyer. Il est important qu’ils soient donc informer des risques encourus et donc des règles de vigilance. Dans ce contexte, Arkéa Banque Entreprises & Institutionnels se doit de sensibiliser et d’informer ses clients.

Sécurité Bailleurs, Locataires : Prévention des risques de fraudes

SOMMAIRE

LA FRAUDE ET VOTRE ORGANISATION

Les mesures de prévention des fraudes ...................... 3/4

Scénarios et exemples de fraudes .............................. 4/5

Les critères d’alerte et les 7 règles d’or de la sécurité ......... 6

Que faire en cas de tentative réussie ? ........................... 7

LA FRAUDE ET VOS LOCATAIRES

Les grandes lignes de la « fraude aux loyers » ................... 8

Les règles de vigilance de vos locataires ......................... 8

Que faire en cas de tentative réussie ? ........................... 9

LA FRAUDE ET VOTRE ORGANISATION

Les mesures de prévention des fraudes � Sécuriser vos processus et vos outils de sortie de fonds

Formaliser et automatiser vos processus.

Sécuriser les connexions aux outils informatiques dédiés.

Contrôler les accès aux données sensibles.

Limiter les personnes habilitées à ces outils.

Séparer les missions de vos collaborateurs en leur affectant des droits distincts (saisie et validation des virements).

Effectuer régulièrement des contrôles internes.

� Sécuriser les échanges avec votre banque

Respecter les procédures formalisées par votre partenaire bancaire.

Adopter les moyens d’échanges dématérialisés afin de limiter les virements à haut niveau de risque (papiers et fax).

Privilégier les échanges avec vos contacts habituels et/ou effectuer des contre appels.

Informer votre banque, en face à face, des personnes autorisées à effectuer les opérations bancaires (modèle de signature, nom, coordonnées…).

Ces types de fraude constituent un danger croissant car la qualité et la précision de ces contenus tendent à s’améliorer significativement : moins de fautes d’orthographe, une syntaxe qui progresse, des arnaques plus pertinentes, une imitation de la communication des sociétés de plus en plus crédible.

� Autres exemples de fraudes :

• Mail-phishing : vous recevez un e-mail, dans lequel il vous est demandé de « mettre à jour » ou de « confirmer suite à un incident technique » des données, notamment bancaires. Cette demande peut transiter par une invitation à se connecter en ligne par le biais d’un lien hypertexte sur un site falsifié ou un formulaire de saisie copie « conforme » du site original.

• Virements SEPA : sous le prétexte d’une mise à jour du paramétrage des nouveaux protocoles européens, un fraudeur se faisant passer pour un informaticien parvient à vous convaincre de vous connecter sur un site dédié dont la page d’accueil affiche le logo de la société ciblée. Cette opération permet de prendre le contrôle de l’ordinateur à distance et d’émettre des virements.

• Malware, spyware : un logiciel malveillant, s’installe à l’insu de l’utilisateur sur un ordinateur non protégé (ou mal protégé), lors de l’ouverture d’un e-mail frauduleux ou par téléchargement lors de la visite d’un site web. Ce virus permet au fraudeur d’avoir connaissance de (presque) tout ce qui se passe sur l’ordinateur contaminé.

• De faux ordres de virement ou de fausses factures sont envoyés par fax ou par courrier aux sociétés ciblées, ou aux banques des sociétés ciblées. Ces documents sont falsifiés et comportent une copie du logo et des signatures.

� Informer vos collaborateurs

• Sensibiliser les collaborateurs sur les différents scénarios possibles de fraude.

• Systématiser la connaissance des fournisseurs, clients et partenaires.

• Autoriser l’esprit critique de vos collaborateurs.

• Faciliter l’échange avec la hiérarchie.

• Encourager les bonnes initiatives et les acteurs ayant déjoué une tentative.

� Limiter la diffusion de l’information

• Interdire la diffusion d’informations sensibles sur les réseaux sociaux par les collaborateurs.

• Vérifier les informations diffusées sur les sites internet de la société.

• Limiter l’accès aux documents sensibles (modèles de fax, documents contenant les modèles de signatures des dirigeants…).

• Conserver la confidentialité des signatures manuscrites des dirigeants.

Scénarios et exemples de fraudes

� Zoom sur la fraude par « ingénierie sociale » ou « fraude au président »

La manipulation des personnes afin de faire exécuter des opérations frauduleuses selon le processus suivant :

• Le fraudeur constitue un dossier « social engineering » de la société ciblée (KBis, endettement, statuts constitutifs, comptes annuels, logo de la société, effectif, culture de l’entreprise…) dans le but d’obtenir un maximum d’informations y compris concernant les dirigeants.

• Une fois le dossier constitué, le fraudeur lance l’attaque par e-mail (mail-phishing) ou en téléphonant à un collaborateur de la société en charge des sorties de fonds. Se faisant passer pour un dirigeant de la société, il explique avec assurance et autorité pouvant même aller jusque l’intimidation, l’urgence de réaliser un virement à l’étranger dans le cadre d’une affaire confidentielle.

• Une fois cet appel téléphonique passé, l’employé reçoit généralement les instructions par courriel voire même sur son téléphone portable personnel.

.

Au moindre doute, contactez votre interlocuteur habituel au sein d’Arkéa Banque Entreprises et Institutionnels.

Que faire en cas de tentative réussie ?

Si une tentative de fraude s’avère avoir fonctionné , les mesures de protection à prendre immédiatement sont de :

Même en cas de tentative non réussie : relever les numéros et heures d’appel du fraudeur, garder les e-mails frauduleux, conserver les enregistrements des appels s’ils existent, demander l’extraction de la source (en-tête) de ces e-mails, déposer plainte directement au SRPJ.

1. Demander le blocage des fonds le plus vite possible auprès de votre banque.

2. Déposer plainte auprès de la police locale.

3. Aviser par téléphone la division économique et financière du Service Régional de Police Judiciaire et déposer plainte auprès de ce service. Le SRPJ s’organisera pour contacter la police locale en cas de virement à l’étranger afin de faciliter le gel des fonds et l’identification du titulaire du compte destinataire.

Les critères d’alerte Les 7 règles d’or de la sécurité de vos opérations

En cas de contact téléphonique ou par e-mail par un e personne que vous ne connaissez pas mais se présentant comme étant un co llaborateur de votre société et/ou en cas de doute sur son origine :

Être sûr de l’identité de votre interlocuteur en vérifiant son authenticité auprès de vos interlocuteurs habituels.

Utiliser les adresses habituelles de votre répertoire (e-mail, fax, téléphone).

Ne pas cliquer sur les liens internet contenus dans un courriel douteux.

Vérifier que vous êtes bien sur un site sécurisé « https ».

Ne pas divulguer vos identifiants ou vos mots de passe.

Ne pas communiquer les noms et coordonnées des collaborateurs ayant déposé leurs pouvoirs et signatures.

Ne pas transmettre de données sensibles (mise à jour de données administratives, vérification des moyens de paiements, déblocage de carte).

Non-respect des procédures habituelles

Connaissance pointue de l’entreprise Pression,

intimidation

Demande de confidentialité

Aplomb de l’interlocuteur

Usage d’autorité

Opération exceptionnelle

Demande urgente

La fraude et les locataires La fraude peut également viser vos locataires dans le règlement de leurs loyers. Ceci est appelé communément la « fraude aux loyers ». Il s’agit de la manipulation de vos locataires afin qu’ils exécutent des viremen ts sur un autre compte que votre compte de perception des loyers.

Les grandes lignes de la « Fraude aux loyers »

• Le fraudeur collecte un maximum d’informations sur le bailleur (logo, adresse mail, noms des salariés …) dans le but d’être le plus crédible et d’inspirer la confiance.

• Le fraudeur contacte ensuite les locataires par téléphone, courrier ou e-mails, et les informes d’un changement de coordonnées bancaires. Il précise alors les modalités de changement ont changé et qu’ils doivent leur envoyer un RIB et signer un nouveau mandat SEPA de prélèvement. Ces « nouvelles coordonnées bancaires » sont généralement à l’étranger.

• Les locataires seront donc prélevés deux fois : une fois par leur bailleur et une seconde fois par le fraudeur

Les règles de vigilance de vos locataires

Il est important d’informer vos locataires des poss ibles fraudes qui peuvent les atteindre et des règles de vigilance à respecter po ur éviter la réussite de l’escroquerie.

• Ne transmettre aucune donnée bancaire par e-mail, courrier ou téléphone

• Ne pas tenir compte d’une nouvelle demande d’autorisation de prélèvement

• Ne pas transmettre ses coordonnées bancaires

• Prévenir son bailleur

Ce visuel a été créé par l’USH et fait partie d’un kit de communication qui est à la disposition de ses adhérents. Ce kit est destiné à vos collaborateurs (note d’information) et vos locataires (courrier et e-mail type) et contient également une liste de Questions/Réponses. Vous trouverez ce kit sur le site : http://ressourceshlm.union-habitat.org/ush/CommunicationPublicationsRevues/Kitdecommunicationalertefraudeauxloyers

Que faire en cas de tentative réussie ?

Si une tentative de fraude s’avère avoir fonctionné , les mesures de protection que vos locataires doivent immédiatement prendre sont de : Même en cas de tentative non réussie, les locataires doivent relever les numéros et heures d’appel du fraudeur et conserver les e-mails et/ou courriers frauduleux et vous contacter pour vous prévenir.

1. Demander le blocage des fonds le plus vite possible auprès de leur banque.

2. Déposer plainte auprès de la police locale.

3. Aviser son interlocuteur habituel au sein de votre office et lui transmettre toutes les informations possibles sur le fraudeur (e-mails, courriers, n° téléphone)

Détecter et déjouer les tentatives de fraudes c’est :

Respecter strictement procédures internes.

Faire preuve d’une vigilance constante.

Favoriser une communication régulière entre vos salariés.

Informer régulièrement vos locataires afin qu’ils soient eux aussi vigilants.

Au moindre doute, vos locataires doivent contacter leur interlocuteur habituel au sein de votre office.

:

Améliorons ensemble notre sécurité en adoptant les bonnes pratiques !

Société anonyme à Directoire et Conseil de surveillance au capital de 830 000 000 euros, banque et courtage d’assurances (N° ORIAS : 07 026 594) RCS BREST 378 398 911. Siège social : Allée Louis Lichou - 29480 Le Relecq-Kerhuon.

Adresse postale : Immeuble Le Sextant - 255 rue de St Malo - CS 21135 - 35011 Rennes Cedex.