Au moment où la facture arrive dans votre système de comptes fournisseurs (AP), il est peut-être déjà trop tard. C'est le postulat de travail que Martin Resch souhaite voir adopter par chaque directeur financier (CFO) du pays. En tant que Président et Directeur Général (CEO) de Cass Information Systems, la société de Saint-Louis vieille de 120 ans qui traite plus de 90 milliards de dollars de paiements annuellement pour le compte de ses clients entreprises, Resch bénéficie d'un point de vue sur la fraude aux paiements que peu de dirigeants peuvent égaler. Ce qu'il observe exige une réécriture fondamentale de la façon dont les équipes financières appréhendent le risque. « Chaque processus financier doit évoluer vers un environnement zéro confiance », affirme Resch. « L'hypothèse de base devrait être que chaque transaction est frauduleuse jusqu'à preuve du contraire, par opposition à l'ancien modèle qui consiste à accepter une transaction comme valide jusqu'à ce que vous détectiez une fraude. »
L'économie de la confiance falsifiée
La menace que la plupart des conseils d'administration n'ont pas encore intégrée n'est pas sophistiquée, elle est bon marché. Sur le dark web, des moteurs de création de fausses factures sont disponibles pour presque rien, préchargés avec des milliers de portails fournisseurs et géo-ciblés pour générer des factures régionales de services publics convaincantes, comme des factures Pacific Gas and Electric pour les portails californiens, visuellement impossibles à distinguer des vraies. L'asymétrie économique est ce à quoi Resch revient le plus souvent : construire des défenses est coûteux et lent, tandis que les attaques sont devenues moins chères.
Cette asymétrie a rendu une grande partie de la sagesse conventionnelle en matière de comptes fournisseurs obsolète. La reconnaissance de motifs qui permettait autrefois aux systèmes AP d'identifier les fournisseurs récurrents – ce type d'apprentissage qui faisait apparaître automatiquement une facture de service public après la troisième ou quatrième occurrence – est désormais précisément la prévisibilité qu'exploitent les moteurs frauduleux. La fausse facture ressemble exactement à la vraie. Les processus qui étaient autrefois suffisants ne le sont plus, et la plupart des équipes internes n'ont pas encore recalibré leur approche à cette réalité.
La visibilité d'abord, puis le contrôle
Une gestion efficace des risques dans les environnements de paiement à volume élevé commence par savoir ce qui se passe réellement au sein de vos propres systèmes. « Vous avez besoin de visibilité et de transparence tout au long de votre flux de processus », insiste-t-il. « Vous ne pouvez contrôler ces transactions que si vous pouvez les voir. » Chaque étape du processus nécessite un point de contrôle défini et un protocole d'exception clair. Lorsque les coordonnées de paiement d'un fournisseur sur une facture entrante diffèrent de celles enregistrées lors de l'intégration, cette discordance est le signal. La question est de savoir si l'organisation a développé la capacité de la détecter avant que le paiement ne soit effectué.
Tout cela est devenu plus difficile à mesure que les canaux de paiement se sont multipliés. Là où les trésoriers d'entreprise acheminaient autrefois presque tout via un portail bancaire unique avec des points de contrôle stricts, le CFO d'aujourd'hui fait face à une prolifération de rails, de chambres de compensation automatisées (ACH), de virements, de cartes virtuelles, de réseaux en temps réel et de canaux de technologie financière (fintech) commercialisés sur la promesse de revenus de ristournes. Chaque nouveau canal est une nouvelle surface d'attaque. Sur les ristournes spécifiquement, Resch est direct : « Cette idée que les ristournes sur les cartes constituent une source de revenus ou une compensation de dépenses est largement surestimée. »
La friction est désormais une fonctionnalité
L'implication pour les responsables financiers habitués à optimiser l'expérience fournisseur est inconfortable. La politique zéro confiance dans les paiements échange explicitement la commodité contre la sécurité en amont. Les fournisseurs devraient être tenus de créer des profils authentifiés. L'authentification à deux facteurs (2FA) lors de la soumission devient la norme de base, et les portails de téléchargement génériques conçus pour réduire les frictions pour les nouveaux fournisseurs deviennent des points de vulnérabilité. « Vous voulez rendre la soumission plus difficile pour les fournisseurs », reconnaît Resch, « ce qui n'est pas idéal, mais vous ne pouvez tout simplement plus permettre à quelqu'un de télécharger une facture via un portail générique. »
Ce compromis s'applique également en aval. Un fournisseur qui franchit la barre d'intégration plus élevée traite directement et est payé dans les délais. La friction se situe à l'entrée, pas dans le cycle de paiement. Il ne s'agit pas non plus de quelque chose qui peut être géré en marge des responsabilités de quelqu'un. « Cela doit être le rôle de quelqu'un », affirme Resch sans équivoque. « Cette personne doit en être responsable. Elle doit avoir la responsabilité de la gestion des risques, de la transparence et de la visibilité. » Pour les organisations qui ne souhaitent pas développer cette capacité en interne, la réponse est un partenaire qui a déjà intégré ces contrôles dans son processus. Ce qui n'est pas une option, compte tenu de la rapidité avec laquelle la menace évolue, c'est de supposer que l'approche d'hier gérera l'exposition de demain.
Suivez Martin Resch sur LinkedIn ou visitez Cass Information Systems pour en savoir plus sur la gestion des risques liés aux paiements, les contrôles des transactions à volume élevé et la construction de cadres zéro confiance qui protègent les comptes fournisseurs des entreprises.
