EBICS TB

Les Dafs et trésoriers sont de mieux en mieux sensibilisés au risque de détournement de la trésorerie de l’entreprise. Qu’il s’agisse de fraudes au président spectaculaires, ou de faux changements de RIB de vrais fournisseurs – moins spectaculaires mais tout aussi efficaces – la lutte contre les risques de détournements de fond nécessite une vigilance de tous les instants.

Mais quel être humain peut être vigilant à tous les instants ? Chacun a des moments de fatigue, une fenêtre dans laquelle les escrocs se glissent pour profiter de la défaillance humaine. Moment de faiblesse qui peut coûter cher à l’entreprise, ses salariés et ses partenaires. Car une fuite de trésorerie pourra engendrer une défaillance de liquidité conduisant au dépôt de bilan.

C’est pourquoi l’utilisation des moyens techniques utiles à la couverture de ces risques est un élément important de prévention. Ces moyens techniques sont de deux ordres :

  • Les moyens internes à l’entreprise, qui permettent la mise sous contrôle de l’information pour éviter les faux changements de RIB par exemple. Ce sera l’objet d’un prochain article.
  • Les moyens de communication bancaire, et notamment le protocole EBICS TS qui se généralise, que nous allons détailler aujourd’hui.

EBICS TS : Qésako ?

EBICS (Electronic Banking Internet Communication Standard) est une norme de communication bancaire électronique utilisant le réseau internet comme support.

Deux versions de cette norme cohabitent :

  • Le protocole « T » (pour Transport) qui permet au client de recevoir des relevés (de comptes, de LCR à payer, …) et de transmettre des ordres de paiement dématérialisés. Toutefois, une confirmation écrite et signée par une personne ayant les autorisations sur le compte bancaire est nécessaire pour exécuter l’ordre de paiement.
  • Le protocole « TS » (pour Transport et Signature), qui inclus en plus une signature électronique du message permettant de s’affranchir de la confirmation écrite.

EBICS TS : Quel intérêt ?

Prenons un exemple : vous devez régler vos fournisseurs.

Vous pouvez les régler en espèces, mais dans la limite de contraintes légales. Sans compter les risques liés au transport de fonds et le temps passé sur la route. Enfin, la disparition des billets de 500 Euros ne va pas vous faciliter la tâche. Le traitement des chèques est long et couteux et ils ne seront sans doute pas gratuits très longtemps. Tous vos fournisseurs ne sont pas équipés pour gérer des prélèvements et vous ne souhaitez peut-être pas leur laisser l’initiative du règlement. La solution la mieux maîtrisée reste le virement.

Mais tous les virements ne se valent pas !

L’utilisation du site internet de la banque présente les risques et coûts liés à la ressaisie. D’autre part, il n’est pas possible de définir des rôles permettant au comptable de saisir et au dirigeant de valider, ce qui pose soit un problème d’efficacité, soit un problème de contrôle interne.

La génération automatique du fichier de virements à partir du logiciel de comptabilité évite la ressaisie. Le comptable ou le trésorier peut préparer ce fichier et le transmettre à la banque, c’est efficace ! Deux possibilités s’offrent à vous pour l’envoi :

EBICS T : Tant que la banque n’a pas reçu le fax de confirmation avec la signature d’une personne autorisée, elle ne l’exécute pas. Mais le signataire doit être présent physiquement pour signer le fax (à moins que le trésorier ne dispose d’un scan de la signature du dirigeant. Mais non, ça n’existe pas …). C’est d’ailleurs cette confirmation par fax qui constitue une faille exploitée pour les fraudes au président !

EBICS TS : Le signataire signe électroniquement ce fichier (y compris s’il est dans le hall d’un aéroport en Asie). Le fichier étant signé, il est immédiatement exécuté par la banque, à condition que le signataire dispose des autorisations adéquates sur le compte bancaire.

Le protocole EBICS TS apporte donc une solution :

  • Productive : les virements sont émis en masse (par le logiciel de compta) sans ressaisie.
  • Sécurisée coté entreprise : la séparation des fonctions entre la préparation des virements et la signature de l’ordre est respectée. La banque n’exécutera pas d’ordre de virement sans la signature électronique adéquate. Donc toute tentative de fraude au président échouera.
  • Sécurisé coté banque : la signature électronique permet le contrôle automatique et systématique des droits du signataire sur le compte, avec prise en compte de montants plafonds le cas échéant.
  • Souple : le signataire peut être à l’autre bout du monde, tant qu’il a avec lui sa clé sécurisée et sa tablette connectée à Internet, il peut signer.

EBICS TS : Comment ça marche ?

Le protocole EBICS TS implique une relation quadripartite entre

  • L’entreprise, qui émet un fichier de virement, signé par un signataire, à destination de la banque,
  • Un signataire, personne physique de l’entreprise habilitée à signer l’ordre de virements. Il utilise pour cela un token (clé usb de signature) délivrée par une autorité de certification
  • La banque, qui reçoit le fichier de virement émit par l’entreprise. Elle contrôle l’intégrité du fichier de virement, elle s’assure de l’identité du signataire auprès de l’autorité de certification et contrôle les autorisations du signataire sur le compte bancaire. Si tout est OK, elle exécute le virement.
  • Une autorité de certification, qui délivre au signataire un token et confirme l’identité du signataire à la banque.

Le principe est le suivant :

L’entreprise va acheter un token par signataire (dirigeant, Daf, Trésorier, …) à une autorité de certification (Par exemple, Swift pour les clé 3SKey). L’identification du signataire repose sur le fait qu’un élément matériel unique (le token, clé usb de signature) est associée à chaque signataire de l’entreprise. Lors de la réception du token, celui-ci doit être activé et un mot de passe défini par le signataire et connu de lui seul doit lui être associé. Ce mot de passe est demandé à chaque utilisation, comme le code de votre carte bleue.

Lorsque que le signataire « signe » électroniquement le fichier de virement, celui-ci n’est pas modifié, mais un second fichier est créé : le fichier de signature. Il est le résultat d’un calcul complexe entre les informations du fichier de virement et les éléments du token. Ce fichier de signature à deux objectifs :

  • D’une part, il va permettre à la banque de s’assurer que le fichier de virement qu’elle reçoit est bien conforme à celui qui a été validé par le signataire. En effet, si le fichier d’origine est modifié, en cas de changement du RIB d’un bénéficiaire par exemple, le fichier de signature n’est plus conforme et la banque n’exécutera pas le virement.
  • D’autre part, il contient les informations relatives au token qui a été utilisée pour signer le fichier. La banque va transmettre ces informations à l’autorité de certification. Celle-ci va lui confirmer en retour que le token est toujours valable et qu’il concerne bien le signataire attendu.

Si tout est OK : le signataire est le bon, le token est actif et le signataire dispose des autorisations adéquates sur le compte bancaire, le virement est exécuté. Tout ceci prend au maximum quelques minutes.

En cas de perte du token, le signataire doit bien évidement contacter l’autorité de certification pour que celui-ci soit désactivé, comme en cas de perte de carte bleue.

Passer à EBICS TS : L’occasion de faire le point sur ses pratiques de gestion de trésorerie

A delà de l’intérêt antifraude, la mise en place du protocole EBICS TS dans une entreprise est l’occasion de faire le point sur ses pratiques en matière de gestion de trésorerie et de paiements.

Par exemple, est-il indispensable de faire signer le dirigeant pour valider les virements de trésorerie dans le cadre de l’équilibrage quotidien des comptes de l’entreprise ? Pas sûr. En déclarant un périmètre de comptes bancaires éligible aux « virements de trésorerie » et en autorisant le trésorier à signer uniquement les virements de trésorerie entre ces comptes, le dirigeant sera affranchi de devoir signer ces virements sans impact externe. Le trésorier verra sa gestion quotidienne facilitée et pourra consacrer son énergie à l’optimisation des relations bancaires plutôt qu’à courir après un signataire disponible.

La banque effectuant un contrôle systématique des autorisations du signataire, l’entreprise à l’assurance que le trésorier ne pourra pas effectuer de virement vers un compte externe au groupe. Le dirigeant est rassuré. Car même s’il a pleine confiance en son trésorier, la confiance n’exclut pas le contrôle !

Cet article a été publié sur Vox-Fi le 23 mai 2016.