Comment faciliter et sécuriser l’onboarding fournisseur (KYS) avec le wallet d’identité ?

En 2023, près de 37% des entreprises françaises ont été ciblées par la fraude au faux fournisseur, selon une étude Trustpair.

Avec 64% des sociétés ayant déjà subi au moins une tentative de fraude en 2023, le constat est simple : le phénomène ne cesse de s'intensifier. Les fraudeurs utilisent des techniques de plus en plus sophistiquées notamment grâce à l'IA, entraînant de lourdes conséquences financières et perturbant l'ensemble de la chaîne d'approvisionnement.

Les enjeux sont multiples : éviter les paiements fournisseurs aux usurpateurs, protéger le système d’information de l’entreprise, anticiper et se prémunir contre les attaques et maintenir la confiance de toutes les parties prenantes (clients, partenaires et fournisseurs). Une entreprise ne se limite pas à son réseau interne de collaborateurs ; les conséquences d’une telle menace peuvent impacter toute l’entreprise étendue : partenaires, clients, sous-traitants et bien évidemment, les fournisseurs.

Face à la sophistication croissante des techniques de fraude et d'usurpation d'identité, de nouvelles solutions voient le jour, telles que l’IA, ou notamment le wallet d’identité européen, qui s’impose comme réponse pérenne pour les entreprises de tous secteurs.

I - Défis et opportunités du wallet d’identité dans un contexte de KYS

Le KYS (Know Your Supplier) ou principe de connaissance fournisseur, se réfère au processus de collecte des informations d’une entreprise sur ses fournisseurs potentiels ou existants (identité, pratiques commerciales, fiabilité financière…) et tout autre élément pertinent pour évaluer les risques associés à la relation commerciale.

Il est aujourd’hui encadré par la loi Sapin II de 2016 et la loi du devoir de vigilance de 2017 : deux lois visant à améliorer la gestion des risques de corruption, de fraude et la responsabilité sociétale des entreprises (RSE).

Défis associés au KYS : l'onboarding fournisseur

Le processus de Know Your Supplier présente plusieurs défis que les entreprises doivent surmonter pour garantir des relations fournisseurs fiables et conformes.

  1. Nécessité de vérifier l'identité des interlocuteurs lors des échanges entre entreprises.
  2. Collecte et gestion de la documentation : vérifier l'identité des entreprises, des ses mandataires et dirigeants implique de traiter de nombreux documents, rendant le processus complexe et chronophage.
  3. Délais de traitement : les délais pour récupérer et vérifier les informations des fournisseurs peuvent être longs, retardant la validation et impactant les opérations.
  4. Mises à jour régulières : tout au long du cycle de vie du fournisseur, des mises à jour fréquentes sont nécessaires pour maintenir des informations véridiques.
  5. Conformité légale : les entreprises doivent respecter une législation de plus en plus stricte concernant la vérification des fournisseurs.
  6. Simplification de l'onboarding : le processus d'entrée en relation fournisseur doit être rapide et fiable pour ne pas décourager les partenaires potentiels, tout en garantissant une vérification exhaustive.

Ces problématiques nécessitent une approche stratégique et l'utilisation de solutions technologiques afin d’assurer une gestion simple et sécurisée des relations fournisseurs.

Solutions existantes pour la vérification des fournisseurs

De nombreuses solutions existent aujourd’hui pour aider les entreprises dans leur processus de KYS, tout en respectant la législation en vigueur. Elles facilitent notamment la vérification des documents et informations des fournisseurs pour limiter les fraudes. Parmi elles, des techniques avancées, telles que l'intelligence artificielle, contribuent à réduire la fraude sans l'éliminer. Elles offrent un premier niveau de sécurité.

Ces solutions n'abordent pas spécialement la sécurité couplée à la simplification des processus d'onboarding : les documents demandés pour les vérifications sont souvent à usage unique. Aussi, il est de plus en plus facile de copier à la perfection un document. C’est là que l’IA trouve parfois ses limites : la difficulté réside moins dans l'analyse du document en lui-même que dans la certitude de son authenticité et de sa source.

Face à certaines de ces contraintes, le wallet d'identité pour personnes physiques et morales a fait son apparition et s'impose peu à peu sur le marché de la vérification.

Les fournisseurs de wallet d’identité, telles qu’Archipels, se distinguent en sécurisant et en fluidifiant les échanges de données numériques entre entreprises et individus, grâce à une solution décentralisée permettant la vérification d’identité et l’émission d’attestations. Ainsi, elles optimisent la gestion des identités et les entrées en relation, tout en s’alignant avec les standards stricts des réglementations européennes, telles qu’eIDAS 2.0.

Essor du wallet et de la réglementation eIDAS 2.0

C’est au printemps 2024 qu’est entré en vigueur la nouvelle réglementation eIDAS 2.0, établissant un cadre unique pour l’identité numérique en Europe avec notamment l’introduction du wallet européen (EUDI wallet). Son but, permettre l’identification et l’authentification électroniques des personnes physiques ou morales, de manière sécurisée et fiable dans toute l’Europe. Les citoyens européens pourront ainsi prouver leur identité, demander et présenter des attestations telles qu’un justificatif de domicile, un diplôme ou encore un IBAN.

Les entreprises, quant à elles, s’intéressent fortement au wallet puisqu’il facilitera nettement les entrées en relation de manière générale, comme les onboarding clients ou fournisseurs. Elles pourront interagir avec les wallets des personnes physiques ou morales pour vérifier ou délivrer des attestations.

Il ne s'agit donc pas seulement d'un outil permettant de prouver son identité, mais plutôt d’une véritable solution sécurisée de fluidification des échanges entre les parties prenantes, soulignant la synergie indéniable entre les identités numériques des individus et des entreprises.

Il est donc important de souligner qu’eIDAS 2.0 et le wallet offrent de nouvelles opportunités pour toutes les entreprises souhaitant sécuriser leur processus KYS et limiter les fraudes. Par exemple, si une entreprise souhaite vérifier l’identité de ses fournisseurs, elle pourra demander la présentation du Kbis qui lui, aura été émis par une source authentique, telle qu’Infogreffe.

II - Avantages et bénéfices du wallet d’identité pour une gestion optimale du KYS

Le wallet d'identité numérique est une solution innovante permettant de fluidifier et sécuriser les échanges d’informations d'identité des personnes physiques et morales. Dans le contexte du processus KYS, il s’impose comme solution de choix, en facilitant la vérification de l'authenticité des fournisseurs.

Vérifications automatiques et mise à jour des données fournisseurs

Echanges, workflows et vérifications automatisées

Traditionnellement, le Know Your Supplier implique la collecte et la validation de divers documents, pour s'assurer de l'identité et de la légitimité des différentes parties prenantes (entreprises, mandataires, dirigeants…). Grâce au wallet d'identité  pour personne morale, une entreprise peut créer son workflow personnalisé pour définir les attestations qu'elle souhaite recevoir et y connecter ses différents outils métier. Ainsi, la demande de présentation des attestations et la vérification sont automatisées.

Par exemple, Archipels Business permet déjà la présentation d'attestations nécessaires à un processus fournisseur telles que le Kbis, la liste des bénéficiaires effectifs et l'IBAN. Dans un avenir proche, de nombreuses autres attestations seront disponibles à l'image de l'attestation de vigilance, de régularité fiscale (liasse fiscale), ou encore la Liste Nominative Travailleurs Etrangers (LNTE).

Gestion des risques et cycle de vie des fournisseurs

Le wallet d'identité assure la gestion des risques liés à l’identité de vos fournisseurs, tout au long du cycle de vie de la relation commerciale. L’avantage des attestations est qu’elles sont réutilisables dans le temps. Si besoin de mettre à jour certaines informations, il est possible de programmer la demande de présentation d'une ou plusieurs attestations dans des intervalles définis : par exemple, demander à ses fournisseurs tous les 6 mois la présentation de l'attestation Kbis.

Sécurité & confiance numérique

Le but premier du processus KYS pour une entreprise est de s’assurer de l'identité et de la crédibilité de ses fournisseurs.

Comme évoqué plus tôt, l'un des atouts majeurs du wallet est la sécurité renforcée qu'il procure grâce à la vérification des informations des fournisseurs. Là où traditionnellement, le processus KYS repose sur des vérifications manuelles ou même avec de l'IA sur des documents non authentiques, les entreprises peuvent désormais vérifier l'identité de leurs fournisseurs de manière rapide, automatique et sécurisée. Et surtout, les documents numériques présentés proviennent de sources authentiques et sont donc officiels. L’identité numérique des fournisseurs est donc vérifiée à chaque échange réduisant ainsi le risque d'usurpation d'identité et de fraude au faux fournisseur tout au long du cycle de vie fournisseur.

Plutôt que de se baser sur des informations potentiellement fausses ou de passer par une vérification manuelle ou via l’IA souvent couteuses et perfectibles, le wallet assure la véracité des données numériques. Ceci s’illustre par le triangle de confiance :

  1. Les tiers de confiance agissent en tant qu’émetteurs d’attestations infalsifiables. Ils sont garants de la date des attestations.Par exemple, une attestation d'identification d'entreprise doit être émis par le registre du commerce du pays (extrait Kbis en France).
  2. Les entreprises, en tant que vérificateurs de ces attestations, obtiennent la garantie que les données ne sont pas corrompues car provenant de sources authentiques.
  3. De leur côté, les fournisseurs, titulaires de ces attestations, peuvent les réutiliser à leur guise auprès d’autres entreprises.
Processus KYS et wallet d'identité
Illustration du processus KYS avec le wallet d'identité (schéma simplifié avec l'absence du registre de confiance)

Certains acteurs proposent un wallet d'identité décentralisé sur blockchain afin de renforcer la transparence, la sécurité et la privacy des données et informations d’identité. Contrairement aux systèmes centralisés, où un point de défaillance unique peut être une cible pour les cyberattaques, les données stockées de manière décentralisée sont réparties sur un réseau de nœuds. Cela réduit considérablement le risque de piratage et de corruption des informations. Aussi, cela permet d'éviter qu'une seule entité (Etat, entreprise...) possède les informations.

Conformité accélérée

Lors qu’une entreprise souhaite entreprendre une relation commerciale avec un fournisseur, elle doit d’abord investiguer selon le principe de due diligence sur son potentiel fournisseur. Cette investigation peut être lourde et fastidieuse car elle doit prendre en compte de nombreuses régulations et lois en vigueur selon le pays ou secteur d’activité, par exemple :

  • Lutte contre le blanchiment d'argent, financement du terrorisme (ALM)
  • Protection des données personnelles (RGPD)
  • Lois sur l'emploi des travailleurs étrangers
  • Normes éthiques couvrant des aspects tels que l'interdiction du travail des enfants, du travail forcé et de la discrimination

L’objectif étant d’obtenir une évaluation complète des risques associés aux fournisseurs, avec des audits réguliers et des inspections pour assurer la conformité. En général, une due diligence sur un fournisseur peut prendre entre quelques jours et plusieurs semaines. Pour une petite entreprise avec des opérations simples, l'enquête pourrait être réalisée en une semaine ou moins. Pour des entreprises plus grandes ou des situations plus complexes, le processus pourrait s'étendre sur 2 à 4 semaines, voire plus.

Cette analyse des fournisseurs est nettement simplifiée grâce à l’obtention d’attestations qualifiées de manière automatisée, comprenant des informations préalablement vérifiées par des prestataires de confiance : attestation de vigilance, attestation de régularité fiscale, Liste Nominative des Travailleurs Etrangers, justificatif d’immatriculation…

Cette automatisation permet de réaliser des économies significatives en réduisant les besoins en ressources pour les vérifications manuelles.

III - Limites du wallet d’identité

Disponibilité des attestations

L'origine de la fiabilité des composants du triangle de confiance repose sur le premier maillon : l'émetteur. Pour obtenir des données fiables, le wallet doit avoir pour émetteurs des acteurs de confiance, autrement appelés des sources authentiques et infalsifiables.

Ainsi, pour un acteur du wallet d'identité décentralisé, le déploiement des attestations disponibles se fait progressivement car cela exige des partenariats avec chaque acteur de confiance. Par exemple, pour proposer l'extrait Kbis en France, Archipels est fière d'avoir aujourd'hui pour partenaire de confiance Infogreffe.

La collaboration entre émetteurs et développeurs de wallets est donc essentielle pour progressivement alimenter la bibliothèque d'attestations disponibles pour les entreprises.

Adoption technologique & conduite du changement

L'introduction du wallet d'identité dans le processus KYS peut effectivement devenir un défi en termes d'adoption technologique et de conduite du changement. Les entreprises et les fournisseurs peuvent être réticents à abandonner leurs processus métiers existants, même s'ils sont moins efficaces et finalement souvent plus complexes. La familiarité avec les anciennes méthodes, peuvent créer une résistance à l'adoption d’un nouvel outil.

Paradoxalement, la technologie utilisée par le wallet d'identité décentralisé est assez complexe pour une sécurité renforcée, mais son usage et application au sein d'une société sont simples.

IV - Cas d'usage : processus KYS fournisseur avec le wallet Archipels Business

Dans le cadre de la nouvelle réglementation eIDAS 2.0 et afin d’obtenir le wallet européen la plus fiable, utile et sécurisée, quatre grands pilotes à l’échelle européenne (Large Scale Pilots) ont été entrepris. Archipels fait partie des entreprises contribuant à ces projets en testant notamment l’utilisation du wallet au processus de KYS dans le cadre de l'EWC.

Voici un exemple d'un parcours type d'un échange client-fournisseur avec Archipels Business :

L’entreprise TechInno SA souhaite établir un partenariat avec un nouveau fournisseur, InnoServ.

  1. TechInno SA avait déjà créé auparavant son workflow KYS. Ainsi, elle envoie automatiquement une demande de présentation d'attestations numériques à InnoServ.
  2. InnoServ reçoit la demande sur Archipels Business. Le représentant légal, mandataire ou délégataire d'InnoServ accepte la présentation des attestations suivantes : Kbis (justificatif d'immatriculation) ; IBAN ; Liste des bénéficiaires effectifs.
    Si InnoServ ne détient pas encore les attestations demandées, elle peut en faire la demande directement sur son espace Business
  3. TechInno SA reçoit et vérifie automatiquement l'authenticité des attestations. Selon le workflow préalablement créé, les informations sont transférés à ses différents outils métiers.

Si besoin, TechInno peut également présenter ses attestations. Ainsi, en 3 étapes, les entreprises sont entrées en relation en ayant les documents authentiques importants pour leur partenariat commercial.

Attestations processus KYS - Archipels Business

La société TechInno peut programmer des vérifications périodiques du Kbis, pour s'assurer que InnoServ reste conforme tout au long de leur relation commerciale.

Ainsi, le processus KYS complet - qui aurait pu prendre plusieurs semaines avec des échanges d'emails et des vérifications manuelles - est réalisé en seulement quelques heures.

Conclusion

L'intégration du wallet d'identité dans le processus KYS représente une avancée majeure dans la gestion des relations fournisseurs. Malgré les défis d'adoption et des maillons du triangle de confiance, les avantages en termes de sécurité, de conformité réglementaire et de simplification des entrées en relation sont indéniables. Cette technologie promet de transformer radicalement les pratiques commerciales, offrant un niveau de confiance numérique et de transparence sans précédent.

Le potentiel d'extension de cette solution à d'autres aspects des relations d'affaires, tels que les entrées en relation client (KYC), laisse entrevoir un écosystème commercial plus interconnecté, sécurisé et fluide.

Si vous souhaitez quitter le monde de la vérification de documents obsolètes et embrasser l'ère des données authentiques et infalsifiables, il est temps d'explorer les possibilités offertes par le wallet d'identité numérique.

En savoir plus sur la solution Archipels
Je veux en discuter !

6 derniers articles de blog