Comment iBanFirst sensibilise ses clients à la cybersécurité

Lorsqu’ils sont victimes de victimes de fraude ou de cyberattaques, les clients professionnels peuvent se tourner vers les acteurs du secteur financier pour obtenir de l’aide. Rien d’invraisemblable à cela : d’une part,  la fraude est courante (7 entreprises sur 10 touchées en 2019 selon Euler Hermès, avec 29% des victimes visées par plus de 5 tentatives de fraude différentes) et peut avoir un impact financier élevé (plus de 10 000 euros pour une attaque réussie sur trois). D’autre part, la sensibilité des informations traitées par le système financier associée aux règles de conformité auxquels il est soumis lui donnent une certaine expertise en matière de sécurité. 

Chez iBanFirst depuis six ans, Bertrand Godin a travaillé sur la gestion de l’architecture de paiement, puis s’est intéressé aux questions de conformité bancaire. Des responsabilités diverses qui lui ont permis “d’observer la fraude sous toutes ses formes, et de réfléchir à comment nous en protéger”. Aujourd’hui directeur des opérations, il explique à mind Fintech : “mi-2018, nous avons réalisé notre première session de sensibilisation contre les risques de fraude, à la demande d’un client”. iBanFirst a l’habitude d’identifier et de bloquer des opérations financières frauduleuses, mais le client qui le sollicite, lui, manque des connaissances qui lui permettraient de limiter certains risques cyber. 

Des sessions de sensibilisation multipliée à l’ère du Covid-19

À partir de cette première demande, iBanFirst a développé un séminaire de sensibilisation contre les risques de fraude et de cyberattaques. En pratiques, ses équipes vont habituellement chez les clients “pour expliquer ce qui peut se passer, dans certains cas pour re-dérouler le scénario d’une attaque qu’ils ont subie ou pour en présenter d’autres…” La sensibilisation est proposée gratuitement, explique Bertrand Godin. “Comme nous devons déjà lutter contre ces problématiques de notre côté, ça ne nous coûte pas grand chose de former aussi les entreprises qui nous le demandent.” Cela permet aussi de soigner la relation client et, dans le meilleur des cas, de réduire les cas de fraude remontés par les entreprises formées. 

Avec la crise du coronavirus, le nombre de tentatives de fraude a bondi, alimenté “à la fois par le passage en ligne de hackers qui utilisaient des canaux physiques jusque-là, et, surtout parce que le télétravail est devenu massif”. Les faux SMS de réception de livraison, les e-mails copiant des informations du gouvernement sur la lutte contre le coronavirus… les tentatives de phishing se sont multipliées, compliquant encore la tâche “d’employés qui n’avaient parfois absolument pas l’habitude de travailler depuis chez eux”. iBanFirst a donc multiplié les webinaires auprès des clients, pour former une centaine d’entreprises différentes en deux mois, sur les 300 qui ont bénéficié de son offre de sensibilisation depuis la mi-2018. 

Au programme de la formation : reconnaître les tentatives de phishing ou encore l’escroquerie dite de la fraude au président, par exemple. “Nous expliquons aussi qu’en fonction de la taille de l’entreprise, les modalités d’attaque peuvent varier, et s’étendre parfois sur du très long terme” détaille le dirigeant. Le mail ou le SMS que l’on reçoit, “c’est assez basique finalement. Les fraudes importantes, elles, se préparent pendant des mois”, avec des hackers qui vont surveiller les équipes en ligne, injecter un virus qu’ils laisseront “inactif pendant 6 mois, le temps de comprendre comment gens se parlent, comment l’entreprise fonctionne, puis ensuite lancer l’attaque et siphonner les comptes”. iBanFirst propose aussi quelques bonnes pratiques faciles à mettre en oeuvre : “concevoir un tableur excel dans lequel on répertorie tous les fournisseurs et les comptes bancaires qui leur sont rattachés, par exemple. Cela permet ensuite de vérifier facilement que le contact qui demande le paiement est bien celui qu’il prétend être”. 

Si le coronavirus accentue les besoins exprimés par la clientèle de petites et moyennes entreprises de la fintech, la possibilité pour les acteurs financiers de fournir des services de cybersécurité n’est pas tout à fait neuve. Fin février 2020, la Société Générale annonçait par exemple le lancement d’Oppens, une start-up entièrement détenue par la banque et vouée à accompagner ce type de clientèle dans sa démarche de sécurisation. Avant de se lancer, ses co-fondateurs Jérôme Pénichon, David Prache et Arnaud Vallée avaient interrogé près de 400 chefs d’entreprise. “80% d’entre eux ont déclaré que la banque était légitime pour répondre à leurs problématiques de cybersécurité”, selon ce dernier.