Lexique de la sécurité bancaire des entreprises

Découvrez notre glossaire sur le sujet de la cybersécurité bancaire et de la lutte contre la fraude. Maîtrisez le vocabulaire clé pour comprendre les menaces en ligne, déjouer les arnaques et sécuriser vos données.

Si, dans les scénarios cités de ce lexique, vous vous reconnaissez victime d’une escroquerie, alertez votre banque et déposez plainte.

Généralités

Cybercriminalité

On appelle cybercriminalité toute attaque via des moyens informatiques ou téléphoniques dont le but est d’obtenir frauduleusement de l’argent ou des informations, visant un particulier ou une entreprise. Les cybercrimes les plus courants sont la fraude par email (phishing), les attaques par ransomware, le vol de coordonnées bancaires, l’intrusion dans les messageries ou dans un système informatique, l’espionnage ou le harcèlement en ligne…

Cybersécurité

C’est l’ensemble des moyens mis en œuvre pour prévenir, se protéger et réagir face aux attaques qui se déroulent avec le concours des outils informatiques et dans l’univers numérique : le cyberespace. Ces attaques sont alors communément appelées cyberattaques. Pour mieux y faire face, il est alors préconisé d’évaluer ces risques d’attaques, que l’on appelle alors cybermenaces.

Visiter le Hub Sécurité des entreprises SG

Termes bancaires

3D Secure

C’est un protocole visant à sécuriser certains paiements par carte sur Internet. Pour les clients SG, si votre achat est éligible au protocole 3Dsecure, vous devrez vous authentifier soit avec Secure Access(1), soit avec un Code Sécurité que votre recevrez par SMS.

Bank Identifier Code (BIC)

Code SWIFT

Le BIC, également appelé « code SWIFT », est l’identifiant international d‘une banque. Il est composé d’au moins 8 caractères, il figure sur votre Relevé d'Identité Bancaire (RIB). Le code BIC doit toujours être indiqué lorsque vous effectuez des virements internationaux. Par exemple, le code BIC de SG en France est SOGEFRPP.

Code secret de la carte bancaire

Personal Identification Number (PIN) ou numéro d'identification personnel (NIP)

Ce code est le numéro à quatre chiffres associés à votre carte bancaire que vous seul connaissez (même votre banque ne le connaît pas) et que vous devez impérativement garder confidentiel. En France, vous devrez composer ce code pour retirer de l’argent ou effectuer des achats chez un commerçant. Pour un achat inférieur ou égal à 50 €, chez certains commerçant vous pouvez choisir d’utiliser le paiement sans contact qui ne nécessite pas de composer le code secret.
Il est à différencier du Code Secret qui permet d’accéder à votre Espace Client SG.

Découvrez l’ensemble de nos cartes SG destinées aux Entreprises(2)

Cryptogramme

Card Validation Value, Card Validation Code

Le cryptogramme visuel des cartes bancaires (appelé aussi CVV2 ou CVC2) est le code de sécurité à 3 chiffres imprimés ou dynamiques(3) au verso de la carte de paiement. Il est généralement demandé pour effectuer des paiements en ligne.

Toutes nos cartes SG paiements en ligne pour les entreprises

International Bank Account Number (IBAN)

L'IBAN (International Bank Account Number) est l'identifiant international unique et personnalisé d’un compte bancaire, obligatoire dans la zone SEPA. Il est composé en France de 27 caractères et commence par FR. Tout comme le BIC, il figure sur votre Relevé d'Identité Bancaire (RIB). Communiquer votre numéro IBAN peut être nécessaire pour pouvoir bénéficier d’un virement bancaire. Pour SG en France, il débute par FR76.

Opposition carte bancaire

L’opposition carte consiste à bloquer votre carte bancaire en cas de perte, de vol ou d’utilisation frauduleuse. Vous pouvez faire opposition sur votre carte 24h/24 et 7j/7 depuis votre Espace Client Sogecash Net en ligne ou depuis l’application Sogecash Net SG(4) ou en appelant le centre d’opposition : 09 69 39 77 77 (appel non surtaxé hors éventuel surcoût opérateur). Votre carte sera alors bloquée immédiatement et remplacée(5).

Single Euro Payments Area (SEPA)

Le SEPA est l’espace unique de paiement en euros. Il permet d’effectuer des paiements dans les mêmes conditions dans tous les pays européens de la zone SEPA. Cette zone comprend les pays de l’Espace Économique Européen, Monaco, Saint-Marin, Suisse, Royaume-Uni, les Îles Jersey, Guernesey et de Man, l’Andorre, Le Vatican.

Description de la zone SEPA par la Banque Centrale Européenne

Terminal de Paiement Electronique (TPE)

Le Terminal de Paiement Electronique (TPE) est le lecteur de carte bancaire qui permet d’effectuer ses paiements par carte bancaire auprès des commerçants. Il peut être utilisé en insérant sa carte bancaire puis en tapant son code secret, ou bien sans contact en posant tout simplement sa carte bancaire ou pour les particuliers en posant son téléphone sur le TPE via Apple Pay(6) ou Paylib(7).

Techniques de piratage

Cheval de Troie

Troyen, Trojan, Trojan Horse

Un cheval de Troie est un logiciel malveillant conçu pour prendre le contrôle de votre ordinateur ou votre mobile et qui peut voler vos données personnelles et bancaires. Le cheval de Troie peut prendre une apparence inoffensive, par exemple une application mobile disponible sur différents smartphones en dehors des apps stores officiels (Apple Store, Play Store, Huawei Store, etc.), pour vous inciter à le télécharger.

Cybersquatting

C’est l’action de parasiter une marque sur Internet. Pour ce faire, le fraudeur enregistre un nom de domaine / un lien Internet pratiquement identique à une marque légitime et réelle, dans le but d’attirer des victimes sur un site frauduleux. Le fraudeur peut alors dérober vos informations personnelles et/ou bancaires ou vous escroquez en vous incitant à faire des achats.

Malvertising

Publicité malveillante en ligne

Le malvertising est l’exploitation de publicités en ligne pour diffuser des logiciels malveillants ou des attaques informatiques. Les réseaux publicitaires légitimes sur des sites de confiance peuvent être utilisés pour diffuser des publicités infectées, qui peuvent rediriger les utilisateurs vers des sites web malveillants. Parfois, le chargement du code malveillant peut se faire sans avoir à cliquer. Les éditeurs de sites restent vigilants mais il est toujours utile de maintenir ses systèmes à jour et d’avoir un outil de protection.

Malware

Logiciel malveillant

Un malware, ou logiciel malveillant, et est un terme générique désignant tous les logiciels ou virus susceptibles d’infecter votre ordinateur/ tablette. C’est un logiciel hostile qui s’installe sur votre appareil à votre insu. Il permet au fraudeur d’en prendre le contrôle à distance et d’effectuer à votre insu des opérations malveillantes. Il en existe plusieurs types ransomware, spyware, cheval de Troie.

Phishing

Hameçonnage par e-mail, fraude par courriel

Le phishing est une technique d’escroquerie par Internet très répandue. Elle consiste, la plupart du temps, à envoyer un mail frauduleux en se faisant passer pour un organisme reconnu (banque, impôts, sécurité sociale, opérateurs télécoms, services de streaming, services de livraison…) dans le but d’obtenir des informations confidentielles (coordonnées bancaires le plus souvent). Elle est donc souvent la porte d’entrée à une fraude aux moyens de paiement ou à usurpation d’identité.

En savoir plus sur le phishing avec SG

Ransomware

Rançongiciel, rançon par logiciel

Un rançongiciel est un logiciel malveillant qui bloque l’ordinateur (crypto verrouilleur) et/ou rend les données inaccessibles (crypto rançongiciel). Le fraudeur demande ensuite à l’utilisateur le paiement d’une somme censée lui permettre de débloquer l’ordinateur et/ou les données. Souvent, le fraudeur menace de diffuser les informations récupérées ou de ne pas débloquer l’ordinateur, afin de contraindre la victime à payer. Même en cas de paiement de la rançon, l’utilisateur n’est pas certain de retrouver ses données ou l’usage de son ordinateur.

Smishing

Hameçonnage par SMS, fraude par texto

Le smishing est une technique d’arnaque par SMS : un SMS d’apparence légitime, mais en réalité frauduleux, contenant un lien à cliquer vous dirige vers une fausse page Web dans le but de vous soutirer des informations bancaires ou confidentielles. Ce SMS peut également conduire au téléchargement d’un malware visant à infecter votre téléphone. Il s’agit d’une variante du phishing par SMS.

Spear Phishing

Hameçonnage par e-mail ciblé, harponnage

Cette technique est utilisée pour atteindre une victime choisie en utilisant des informations que les fraudeurs détiennent déjà (souvent par l’intermédiaire d’un phishing précédent). Un message frauduleux est envoyé mais il sera personnalisé pour la victime ciblée avec des éléments connus (fournisseur, contact, etc.). Ainsi la victime est mise en confiance et va plus facilement fournir d’autres informations ou procéder à une action. Vous pouvez être ciblé aussi bien pour vous soutirer des informations personnelles, bancaires ou professionnelles.

Vishing

Hameçonnage par appel téléphonique

Le vishing, ou faux appel téléphonique, est une technique d’arnaque vocale qui consiste à usurper une identité pour obtenir des informations confidentielles (identifiants bancaires, mots de passe…) le plus souvent en demandant à la victime d’agir dans l’urgence. Il s’agit d’une variante du phishing par appel téléphonique. Par ailleurs, le numéro de téléphone peut paraitre légitime alors qu’il est usurpé (spoofing).

Scénarios de fraude

Fraude à la fausse assistance

Faux conseiller bancaire, faux support fraude, faux support technique

En fonction du scénario, le fraudeur se fera passer pour un conseiller bancaire, un service anti-fraude, un support technique ou un service client et prétextera vouloir vous aider. Cette fraude, comprenant usurpation d’identité et manipulation, est en principe réalisée via des appels frauduleux (vishing). Le numéro de téléphone peut vous paraitre légitime mais il peut être usurpé. Le but est de vous pousser à réaliser une action ou à divulguer des informations utiles au fraudeur afin de détourner des transactions à votre détriment.

Fraude au changement de coordonnées bancaires

Fraude faux fournisseurs, fraude au faux RIB

Technique de fraude par usurpation d’identité dans laquelle le fraudeur se fait passer pour un fournisseur (ex : eaux, gaz, électricité) ou un tiers avec lequel vous avez en principe une relation (ex : un notaire, un avocat…). Le contact présumé indique alors que ses coordonnées bancaires (RIB) ont changé et que vous devez effectuer un paiement avec ces nouvelles coordonnées. Votre paiement arrive alors sur le compte bancaire du fraudeur.

Fraude au chèque à l’encaissement

Cette fraude consiste à vous escroquez en vous remettant un chèque en paiement d’une marchandise ou d’un service, et que vous déposerez à l’encaissement sur votre compte bancaire. Le chèque est en réalité un chèque faux, volé ou falsifié.
Le chèque aura fait l’objet d’une opposition par le titulaire du compte tiré, entrainant ici un rejet du chèque et une reprise des fonds crédités sur votre compte. Cette fraude affecte alors le solde de votre compte et vous n’aurez donc pas obtenu paiement de votre marchandise ou service remis à l’escroc.

En savoir plus sur la fraude au chèque sur ABE Info Service

Fraude au chèque au paiement

Cette fraude consiste à voler vos formules de chèques, à utiliser des chèques que vous auriez perdus ou à falsifier un chèque légitime que vous avez émis au profit d’un autre bénéficiaire ou pour un autre montant. Pour s’en prémunir, il convient d’être vigilant notamment en conservant ses formules de chèque dans un lieu sûr, en complétant le chèque avec un stylo indélébile, en renseignant tous les champs, en rayant les espaces vides… En cas de perte, vol, fraude de votre chéquier, informer immédiatement votre banque et faites opposition.

En savoir plus sur la fraude au chèque sur ABE Info Service

Fraude au président

Arnaque au président

Cette technique consiste à usurper l’identité d’un dirigeant, ou d'un cabinet mandaté par le dirigeant, pour faire réaliser dans l’urgence une action sensible. L’objectif est souvent d’obtenir une somme conséquente par le biais d’un intermédiaire habilité à réaliser des transactions. Vrai exercice d’ingénierie sociale, le fraudeur peut utiliser tout un panel de techniques : manipulation psychologique comprenant pression, urgence, flatterie, menace, promesses et recueil d’information en amont afin d’être le plus crédible le jour de l’attaque finale.

Spoofing

Usurpation d’identité

Le spoofing consiste à se faire passer pour un représentant d’une entreprise ou d’une marque, voire d’une personne, afin de tromper son interlocuteur. Les fraudeurs exploitent les technologies numériques pour afficher un numéro de téléphone, un e-mail, etc. légitimes, ce qui induit en erreur la victime qui pense alors que le moyen de contact est fiable. Ainsi, les fraudeurs gagnent votre confiance, et vous soutirent des informations utiles à la réalisation d’une fraude. Ils peuvent par exemple afficher un numéro SG pour faire valider des opérations frauduleuses !

Moyens de protection

Authentification forte

L’authentification forte est la vérification de l’identité d’une personne qui repose sur l’utilisation d’au moins 2 des 3 facteurs suivants :

  • Un élément que vous seul connaissez : mot de passe, code, etc.
  • Un élément que vous seul possédez : téléphone mobile, carte à puce, etc.
  • Un élément inhérent à vous-même : empreinte digitale, reconnaissance vocale, etc.

Elle sert à renforcer l’accès des systèmes d’informations. Ce dispositif est utilisé par les banques pour authentifier la connexion et valider certaines opérations sensibles.

Accéder à son Espace Client SG en sécurité

Certificat de sécurité SSL (https)

Technologie de chiffrement qui permet de créer un canal sécurisé entre un site internet et le navigateur de l’utilisateur. Les sites utilisant le chiffrement SSL se reconnaissent par la présence le plus souvent d’un petit cadenas sur la barre d’adresse du navigateur et l’affichage de l’extension « https ». A l’inverse, l’affichage de l’extension « http » sans le chiffrement SSL ne vous garantit aucune protection. Toutefois, les fraudeurs créent désormais des sites de phishing avec un certificat SSL pour tromper la vigilance des internautes.

Secure Access

La solution Secure Access(8) permet de renforcer la sécurité de l’accès à votre Espace Client Sogecash Net et de certaines de vos opérations en ligne. Il s’agit d’un dispositif d’authentification sécurisé. Secure Access permet de valider depuis votre ordinateur ou votre smartphone vos opérations sensibles Banque à Distance ou encore la gestion de vos accès, nécessitant une authentification forte.

Découvrez en détails Secure Access, la sécurité de votre entreprise

(1) Nécessite la souscription préalable à l’abonnement à des services de banque à distance (Internet, téléphone, SMS, etc.) et l’activation préalable au service depuis votre Espace Client SG.

(2) Option soumise à conditions, voir la Documentation contractuelle et les tarifs des Entreprises disponible en agence et sur entreprises.sg.fr

(3) Le cryptogramme dynamique est une option soumise à tarification et sur carte éligible.

(4) L’accès à Sogecash Net SG (disponible sur mobiles et tablettes) nécessite l’abonnement au service de banque à distance Sogecash Net SG. Les fonctionnalités disponibles peuvent varier selon le système d’exploitation du terminal de l’utilisateur. Les services fournis via l’application Sogecash Net SG sont fournis dans les conditions et limites prévues au contrat qui ne couvre pas la connexion à Internet. Conditions tarifaires indiquées dans la Brochure « Conditions et tarifs appliqués aux opérations bancaires-Entreprises, Associations, Institutions et Acteurs de l’économie Publique » disponible sur entreprises.sg.fr et auprès de votre Chargé d’affaires.

(5) Option soumise à conditions, voir la brochure « Conditions et tarifs appliqués aux opérations bancaires – Entreprises, Associations, Institutions et Acteurs de l’économie Publique » disponible sur entreprises.sg.fr et auprès de votre Chargé d’affaires

(6) Apple Pay est une marque déposée d'Apple Inc. Apple Pay fonctionne avec l’iPhone 6 (ou modèle ultérieur) en magasin, au sein des apps et sur les sites web dans Safari ; avec l’Apple Watch en magasin et au sein des apps (nécessite l’iPhone 6 ou ultérieur) ; avec l’iPad mini 3/Air 2/5ème génération/Pro (ou modèle ultérieur) au sein des apps et sur les sites web dans Safari ; avec un ordinateur Mac équipé de Touch ID ou un ordinateur Mac mis en vente en 2012 (ou ultérieurement) avec un iPhone ou une Apple Watch compatible avec Apple Pay au sein des apps et sur les sites web dans Safari. Pour obtenir la liste des appareils compatibles avec Apple Pay,consultez support.apple.com/km207105
Les cartes de paiement SG éligibles à Apple Pay sont les CB V PAY, CB Visa Evolution, CB Visa Kapsul, CB Visa, CB Visa Alterna, CB Visa Premier, CB Visa Infinite, CB Mastercard ou CB Gold Mastercard.

(7) Paylib est une solution de paiement mobile en proximité avec la technologie sans contact, en ligne avec validation par mobile et entre particuliers depuis l’Appli SG. (Paylib n’est pas proposé aux clients Entreprises).

(8) Nécessite la souscription préalable à l’abonnement à des services de banque à distance (Internet, téléphone, SMS, etc.) et l’activation préalable au service depuis votre Espace Client.