Allianz

Trade
Contactez-nous
Rechercher
culture-entreprise-anti-fraude

Blog Marcel: le maillon faible: les risques liés à la chaîne d'approvisionnement méritent toute notre attention

Les entreprises et autres organisations ne sont jamais isolées, mais font partie d'une chaîne. Trop souvent, le cliché « la chaîne est aussi forte que son maillon le plus faible » se vérifie. Pourtant, de nombreuses entreprises se concentrent principalement sur leur propre environnement interne. Celui-ci doit être irréprochable : des processus et des procédures adéquats, un système d'organisation administrative irréprochable, une cybersécurité optimale, une culture d'entreprise optimale et résistante à la fraude, une analyse robuste des risques de fraude, des mesures qui atténuent considérablement les risques de fraude et toutes les lignes de défense possibles qui, si nécessaire, font rapidement et fortement sonner l'alarme.

Malgré tout, des problèmes peuvent encore survenir. En effet, l'accent mis sur l'interne fait que les risques externes sont négligés alors qu'ils existent bel et bien, avec toutes les conséquences que cela implique, notamment en termes de préjudice financier et d'atteinte à la réputation. C'est pourquoi je plaide pour qu'une plus grande attention soit accordée à ce qui peut mal tourner dans la chaîne, en me concentrant sur la chaîne d'approvisionnement dans laquelle les fournisseurs et les partenaires externes peuvent exposer votre entreprise, consciemment ou inconsciemment, à des risques de fraude, de cyberattaques, de faux IA, de risques de réputation et de dommages.

Exemple : une cyberattaque qui met des bâtons dans les roues

Il est un fait que les entreprises – et les chaînes dans lesquelles elles opèrent – dépendent de plus en plus des systèmes automatisés et des technologies de l'information. Dans leurs processus de production, la gestion des stocks, les processus de vente et de réservation, les transactions financières, la gestion des clients et autres tâches administratives, et bien d'autres domaines encore. Nous ne réservons plus nos billets d'avion et nos nuits d'hôtel en nous rendant dans une agence de voyage, mais via Internet. Beaucoup utilisent les services d'une banque en ligne. Les renouvellements d'ordonnances sont demandés via des sites web et nous ne les retirons plus au comptoir d'une pharmacie, mais à partir d'une machine accessible 24 heures sur 24. Mais que se passerait-il si les plateformes et les sites web utilisés par KLM, Booking.com, les banques en ligne et les pharmacies étaient mis hors service ? Dans quelle mesure cela affecterait-il non seulement ces entreprises, mais aussi leurs partenaires de la chaîne ? Quelles mesures préventives vos partenaires de la chaîne ont-ils prises pour atténuer les effets néfastes d'événements survenant ailleurs dans la chaîne ? Sont-ils suffisamment assurés pour limiter les dommages pour eux-mêmes, mais aussi pour vous ?

Une cyberattaque ciblée contre votre entreprise peut également se produire lorsque des cybercriminels infiltrent vos systèmes d'entreprise via un partenaire de la chaîne d'approvisionnement et les paralysent, ce qu'on appelle une « attaque de la chaîne d'approvisionnement ». Les attaquants qui souhaitent s'en prendre à votre entreprise, que vous considérez comme bien sécurisée, recherchent un partenaire de la chaîne vulnérable et attaquent par son intermédiaire. Cela est tout à fait possible si, pour des raisons d'efficacité, les systèmes sont interconnectés, si des informations sont échangées ou si une collaboration est mise en place par le biais de systèmes informatiques. Les cyberattaques ont lieu, par exemple, via des logiciels de type « Advanced Persistent Threat », qui détectent les faiblesses des systèmes, permettent d'accéder à des informations confidentielles et peuvent provoquer des perturbations dans les processus de production, par exemple.

Les entreprises doivent être vigilantes non seulement quant à leur propre résilience numérique, mais aussi à celle de leurs partenaires de la chaîne. Y a-t-il des maillons faibles dans la chaîne ? Quels sont les systèmes utilisés par les partenaires de la chaîne ? Comment sont-ils sécurisés et testés ? Existe-t-il un plan d'action avec des scénarios alternatifs en cas de piratage ou de panne des systèmes ? Dans quelle mesure ces plans d'action tiennent-ils compte des effets sur les partenaires de la chaîne et de leurs intérêts ? Ont-ils souscrit une assurance contre la fraude et celle-ci couvre-t-elle également les dommages causés à des tiers ?

Exemple : corruption et fraude

Les entreprises courent également des risques dans d'autres domaines que la cybersécurité. Par exemple, en matière de processus d'achat et d'appels d'offres, où les risques de fraude et de corruption sont omniprésents. Il s'agit ici des choix et des décisions pris par les acheteurs concernant les produits ou services à acheter et leurs fournisseurs. Dans le cadre des appels d'offres, les projets sont attribués à une ou plusieurs parties après sélection.

Dans le cadre des processus d'achat et des appels d'offres, il existe par exemple un risque que les fournisseurs (ou leurs employés) corrompent les acheteurs et autres décideurs en leur versant des pots-de-vin. Il en résulte que votre entreprise ne conclut pas la meilleure affaire possible (par exemple en payant un prix trop élevé ou en obtenant un produit de moindre qualité), ce qui lui cause un préjudice. Le fournisseur réalise alors un bénéfice supplémentaire parce que votre entreprise a payé trop cher, une partie de ce bénéfice supplémentaire étant versée à l'acheteur ou à une autre personne impliquée qui reçoit ainsi une rémunération qui ne lui revient pas et qui, en fait, est à votre charge sans que vous le sachiez. Il s'agit là d'une situation manifestement indésirable que vous n'avez pas choisie, qui ne vous intéresse pas et qui vous cause un préjudice.

Un autre type de fraude, malheureusement très courant, concerne les fausses factures, dans le cadre desquelles vous recevez une fausse facture d'un fournisseur (existant) pour des biens ou des services qui n'ont été ni commandés, ni achetés, ni reçus.

La prévention est cruciale, une assurance contre la fraude peut limiter les dommages

Mon plaidoyer concernant les risques liés aux fournisseurs est clair : ne vous attardez pas à mettre de l'ordre et à optimiser votre propre maison, mais ouvrez grand les volets et élargissez votre regard aux partenaires de la chaîne.

Cela nécessite de prêter attention à des questions telles que :

  • Une diligence raisonnable adéquate lors de la sélection et de l'intégration des fournisseurs. Quelle est leur réputation ? Depuis combien de temps existent-ils ? Sont-ils financièrement solides ou au contraire vulnérables ? Quelles informations proviennent de sources ouvertes ? Ont-ils commis des irrégularités dans le passé ? Comment la gouvernance est-elle organisée et existe-t-il suffisamment de contrôles et d'équilibres ? Sont-ils disposés à fournir des informations (vérifiables) sur leur gestion, leurs processus, leurs systèmes et les incidents ?
  • Une évaluation des risques liés aux fournisseurs (« connaissez vos fournisseurs »). Sont-ils, comme vous, en ordre ? Comment cela se traduit-il concrètement ? Comment pouvez-vous le vérifier (ou le faire vérifier) ? Quelles garanties offrent-ils ? Y a-t-il eu des incidents dans le passé ? Si oui, lesquels et que s'est-il passé exactement ? Quelles mesures ont été prises par la suite et sont-elles suffisantes pour éviter qu'un tel incident ne se reproduise à l'avenir ?
  • Surveillance et signalement continus. L'inventaire des risques, en particulier, n'est pas une opération ponctuelle, mais nécessite une attention et une maintenance permanentes, ce qui exige une vigilance particulière à l'égard des changements (qui ne doivent pas constituer un affaiblissement) et des signaux indiquant d'éventuelles irrégularités.
  • Application de procédures de test, par exemple par la simulation d'une cyberattaque ou d'un piratage. Ou, bien que cette méthode soit douteuse, par des achats tests dans le cadre desquels une proposition est faite à un employé du fournisseur afin qu'il verse un pot-de-vin.
  • Évaluer des scénarios alternatifs auxquels se rabattre en cas d'incident. Tant les fournisseurs que votre entreprise doivent en disposer.
  • Conclure des accords contractuels concernant, par exemple, les garanties, les indemnités, les frais et les dommages-intérêts en cas d'incidents (improbables).
  • Réaliser des audits et d'autres mesures de contrôle. Par exemple, en ce qui concerne l'existence, la conception et le fonctionnement des mesures de contrôle interne chez les fournisseurs, dans la mesure où leur efficacité est cruciale pour vos activités. Ou évaluer les analyses des risques de fraude réalisées par les fournisseurs.

De telles mesures préventives sont nécessaires pour rendre les organisations (plus) résistantes. Elles n'excluent toutefois pas totalement les incidents et ne peuvent pas non plus prévenir tous les dommages. Il est donc judicieux d'envisager en complément une assurance fraude. Elle peut atténuer les conséquences si vous êtes victime de partenaires de la chaîne qui ne gèrent pas ou insuffisamment leurs affaires.

marcel-pheijffer

A propos de Marcel Pheijffer

Permettez-moi de me présenter au lecteur : Marcel Pheijffer, professeur de comptabilité (légale) à la Nyenrode Business University et à l'université de Leiden. Très tôt, j'ai été saisi par le "virus de la fraude". À l'âge de 17 ans, j'ai commencé à suivre une formation de comptable adjoint à l'Office national d'audit, qui fait partie de l'administration fiscale et douanière.

Fort de son expérience en matière de fraude et de prévention de la fraude, Marcel rédige un blog trimestriel sur la fraude en entreprise. Il estime en effet qu'il est important de sensibiliser encore davantage aux risques de fraude.

inschrijven-nieuwsbrief-euler-hermes

Les dernières actualités et astuces dans votre boîte aux lettres toutes les 8 semaines ?

Alors inscrivez-vous dès maintenant à notre newsletter Allianz Trade Magazine !

Nous vous enverrons toutes les 8 semaines les derniers développements sur l'économie, les secteurs, les faillites et des conseils pour une gestion optimale des débiteurs.