Hôpitaux, établissements médico-sociaux : faire barrage à la fraude

Article

  • fraude

Avec des techniques de plus en plus éprouvées, les faits et tentatives de fraude à l’encontre des établissements de santé et des établissements médico-sociaux ne cessent de se propager. Sophie Fina, en charge de la Prévention « Fraude » à La Banque Postale, partage son expertise sur les diverses techniques de fraude existantes et sur les précautions à prendre pour la détecter et la contrer.

Des faits de fraude en forte hausse

En 2023, 64 % des entreprises indiquaient avoir fait l’objet d’au moins une tentative de fraude au cours des 12 derniers mois. Soit 28 % de victimes de plus qu’en 2022*$. Pour Sophie Fina, responsable du département Prévention Formation Fraude à La Banque Postale, ce bond très significatif est lié à « des fraudes multifacteurs, de plus en plus sophistiquées, qui sont le fait de fraudeurs toujours mieux organisés. Les acteurs du champ de la santé et du médico-social sont, comme dans d’autres secteurs, de plus en plus souvent confrontés à des fraudes au virement ou au faux RIB. Mais aussi à des cyberfraudes, particulièrement complexes s à détecter, où la technologie joue un rôle clé. »

Ces dernières années, et particulièrement depuis la crise du Covid-19, les personnes mal intentionnées ciblant les établissements de soin et établissements médico-sociaux rivalisent d’inventivité pour tromper la vigilance des collaborateurs les plus avertis. Leur objectif : collecter un maximum de données pour réaliser des opérations financières frauduleuses.

  • Source : TrustPair (janvier 2024)

Un contexte favorable, avec la généralisation des usages digitaux

Prise de rendez-vous et transmission des résultats d’analyse en ligne, téléconsultations : la numérisation de la santé est récente, mais progresse de manière exponentielle. Avec la forte augmentation des procédures en ligne et la dématérialisation d’un nombre croissant de services, les paiements à distance deviennent la norme. Or si ces usages digitaux fluidifient les échanges et les sécurisent, ils sont également source d’opportunité pour les fraudeurs. « Là où l’échange physique permettait auparavant de s’assurer directement de l’identité d’un interlocuteur, le distanciel développe d’autres modalités de vérification. » explique Sophie Fina. « Il est ainsi possible d’usurper l’identité d’une personne avec une adresse mail comportant seulement un point ou un « s » en plus, ou même encore en réalisant une intrusion après avoir collecté les identifiants et mots de passe. Il faut savoir que dans une boîte mail professionnelle, on laisse une multitude de traces et d’informations. Non sécurisée, une messagerie est un véritable « self-service » pour les fraudeurs, qui n’ont qu’à se servir. »

À la pêche aux données : l’ingénierie sociale

L’ingénierie sociale précède généralement les escroqueries et constitue l’un des principaux  vecteurs de fraudes. Elle permet de maximiser les chances de réussite d’une opération de fraude au président consistant à faire réaliser un virement par le service comptabilité ou par un collaborateur habilité à valider cette opération.

La technique de l’ingénierie sociale est utilisée par les hackers pour recueillir, en amont d’une attaque, le maximum d’informations sensibles sur leur cible. Pour cela, des techniques pouvant aller jusqu’à de la manipulation psychologique sont utilisées pour inciter les individus à divulguer des informations sur l’organisation de l’établissement, le rôle de chacun dans l’organisation, mais aussi des identifiants de connexion, mots de passe et codes de sécurité professionnels, ou encore des documents internes confidentiels.

Faux dépanneur informatique, faux conseiller bancaire, appel téléphonique frauduleux, faux e-mails du représentant légal ou d’un fournisseur, usurpation de contacts sur les réseaux sociaux, faux sites Internet, courriers postaux etc. : tous les moyens sont bons pour gagner la confiance de la victime, pénétrer le système informatique et mettre en place la fraude

« Les ingrédients d’une fraude au président sont assez repérables. » explique Sophie Fina. « Il s’agit d’une prétendue « situation exceptionnelle » et de faire basculer la victime dans un univers clos, caractère impérieux et hors procédures, puis de demander un virement non planifié, urgent et confidentiel. »

L’IA de plus en plus souvent partie prenante

L’intelligence artificielle (IA) est à la fois une opportunité – un axe d’amélioration continue – pour les structures du secteur et une menace. En effet, il devient beaucoup plus facile de fabriquer des faux tout à fait convaincants, notamment à des fins de fraude au président, ou encore de fraude aux faux fournisseurs. Les faux emails ne sont ainsi plus truffés de fautes d’orthographe, les faux sites de plus en plus ressemblants. Avec le Deepfake, technique consistant à usurper l’identité d’une personne pouvant « faire autorité » par le biais d’enregistrements audio ou vidéo générés ou modifiés via l’IA, on a vu des millions de dollars transférés à des escrocs suite à un faux webinaire d’entreprise.

Le contrôle de cohérence : incontournable

L’observation des tentatives de fraude a convaincu Sophie Fina que « L’usurpation d’identité est à la source de nombreuses fraudes. Vérifier la véracité des contacts non-initiés est dès lors une précaution absolument incontournable. Pour cela, le contre-appel à l’interlocuteur habituel, au numéro enregistré dans le système d’information ou dans le contrat, est un réflexe à fort impact. Il s’agit de s’assurer que l’on est bien face à la bonne personne. »

Tout manque de cohérence et toute discontinuité (un changement de RIB, même pré-annoncé par courrier, un procédé inhabituel chez un fournisseur stratégique etc.) doivent appeler à la vigilance. Il faut s’interroger et ne pas hésiter à reporter l’action requise, même (et surtout) si l’interlocuteur insiste. Au moindre doute, un seul réflexe : solliciter votre contact habituel.

Gare aux points de fragilité

En interne au sein des établissements, quelques règles de fonctionnement s’imposent pour limiter les risques de fraude. « Il en est ainsi de la séparation des tâches : celui qui initie le virement ne le valide pas. » rappelle Sophie Fina. « De même, mieux vaut structurer l’organisation des tâches dans l’entreprise. Chacun doit avoir un rôle précis, mais pas de responsabilité bout en bout. »

Tout changement d’organisation, ou de collaborateur, doit être suivi d’une mise à jour scrupuleuse des accréditations et procédures internes. Les mots de passe d’accès aux outils sont personnels et non transmissibles, et au moindre doute, mieux vaut en changer.

Enfin, il est indispensable de sensibiliser aux risques de fraude tous les collaborateurs concernés (notamment les services financiers et comptables, acheteurs, standardistes, services RH, commerciaux etc).

« La fraude, cela n’arrive pas qu’aux autres » résume Sophie Fina. En 2023 le secteur de la santé était le troisième secteur le plus touché au monde par les cyberattaques, après l’éducation et la recherche, ainsi que les services publics*$.

  • Source : Check Point Software Technologies, 2023

Comment faire face aux fraudes bancaires ?

Nous vous informons pour reconnaître et déjouer les tentatives de fraude afin de protéger votre établissement. À La Banque Postale, notre priorité est de vous protéger.

Nos conseils

Les solutions de La Banque Postale

Scellius

Découvrez les solutions d'encaissement à distance dédiées aux hôpitaux et au secteur médico-social.

À la une

Voir toutes les actualités