LE RISQUE, VARIABLE STRATEGIQUE DE LA REFLEXION DES ENTREPRISES (3)  UN NOUVEAU RISQUE : LA FRAUDE AU PRESIDENT (SUITE) – UN EXEMPLE DE PLAN D’ACTIONS

Je vous propose :

Fraude au président : la crise sanitaire a déclenché une nouvelle vague d’attaques

La fraude au président (ou FOVI, faux ordre de virement international) est une escroquerie frappant les entreprises depuis les années 2000. Selon les autorités françaises, ce risque « concerne les entreprises de toute taille et de tous les secteurs ».

Après une prise de conscience mondiale du risque, les affaires se sont à nouveau multipliées depuis fin 2017. Et surtout, elles ont explosé dans le cadre de la pandémie de la Covid-19.

Comment se déroule une attaque ? De manière schématique, le fraudeur téléphone ou envoie un mail au comptable de l’entreprise en se faisant passer pour le PDG, lui-même en déplacement. Prétextant la signature urgente d’un contrat stratégique, le criminel demande d’effectuer rapidement un virement bancaire. L’attaque a lieu en général lorsque le responsable financier est en congé afin d’échanger avec l’adjoint, plus vulnérable.

En France, une étude du cabinet Euler Hermes indiquait que, avant 2017, 20 % des attaques avaient réussi. De grandes entreprises comme le fabricant de tubes en acier Vallourec avait perdu plus de 20 millions d’euros en 2013 et le spécialiste du pneumatique Michelin 1,6 millions d’euros l’année suivante.

Un retour en force

Face à cette marée irrésistible, des mesures avaient été prises : spécialistes accompagnant les entreprises, banques intégrant des procédures de sécurité renforcée pour les virements internationaux, experts-comptables sensibilisés… Mais après une brève accalmie, le phénomène est réapparu ces dernières années et la crise sanitaire a écarté encore un peu plus les mailles du filet.

Quelles sont les raisons qui peuvent expliquer cette résurgence ? En menant une étude exploratoire auprès de chefs d’entreprise de l’hexagone et de quelques pays étrangers (dont la Belgique et Madagascar), trois raisons principales ont émergé : la faible sensibilisation (notamment au sein des petites et moyennes entreprises, désormais principales victimes), la routine et la surconfiance.

À chaque fois, la formation des salariés s’avère insuffisante. Les plus anciens ne bénéficient que très rarement de mises à jour de leurs connaissances et ne sont pas toujours informés des cyberattaques. Les nouveaux salariés, quant à eux, ne sont ni formés ni même sensibilisés au risque. Par exemple, le PDG d’une PME victime à plusieurs reprises le reconnaît :

« Nous n’avions pas indiqué au nouveau comptable que nous avions déjà fait l’objet d’une attaque par le passé. »

L’ensemble du personnel tombe ainsi dans la routine, oubliant de rester en veille et de cultiver le doute. Il est pourtant nécessaire de stimuler régulièrement l’attention sur ces risques en cassant l’habitude qui s’installe inévitablement. La dimension psychologique reste donc au cœur de la prévention. Chaque salarié doit s’imprégner des procédures et ces dernières doivent être régulièrement remises en cause. Le PDG d’une PME attaquée en novembre 2020 l’admet :

« Nos procédures n’avaient pas été vérifiées et mises à jour depuis plus de deux ans. »

Enfin, le biais de surconfiance, autrement dit « la propension d’un individu à surestimer ses probabilités de succès ou la véracité de ses jugements » se retrouve souvent la cause de nombreuses erreurs. Le directeur général d’une entreprise de taille intermédiaire approchée en 2018, reproche l’absence « de regard humain » :

« On se défausse trop sur la machine, réputée infaillible avec ses process automatiques. Les salariés, trop confiants dans les systèmes et procédures, vont laisser la machine gérer le risque et se mettre eux-mêmes “en veille”. »

En tout état de cause, c’est quasiment systématiquement l’erreur humaine qui prévaut chez les victimes de ces attaques. Et le récent ciblage des PME, plus vulnérables car moins protégées et formées, est inquiétante. D’après une étude d’Euler Hermes en 2020, « plus de 6 répondants sur 10 n’ont toujours pas alloué de budget spécifique à la lutte contre la fraude et la cybersécurité en 2019 ».

Les fraudeurs profitent de la crise

En effet, la crise sanitaire actuelle n’a fait qu’aggraver la situation, comme nous avons pu le constater dans nos recherches. Dès le début de la pandémie, on a assisté au pillage de réserves sanitaires, à des arnaques en tout genre sur Internet, à la vente de contrefaçons de produits sanitaires ou de médicaments, à l’explosion des cyberattaques pour pirater les données, etc.

Tracfin, l’organisme anti-blanchiment français, indique dans un rapport de mai 2020 les arnaques exacerbées par la crise et détectées par ses enquêteurs. On y trouve notamment les détournements d’ordres de virement. Le développement du télétravail et des réunions en visioconférence entraîne une situation propice à la fraude au président puisque les échanges à distance se justifient pleinement.

Ailleurs dans le monde, le Bureau canadien du crédit évoquait même l’existence d’une « corona-fraude » ! Cette nouvelle dénomination reflète la professionnalisation de la fraude. Elle témoigne d’un nouveau paradigme de la fraude où les escrocs construisent des montages, tous plus sophistiqués les uns que les autres. L’appui des nouvelles technologies rend la délinquance de plus en plus astucieuse. Les cyberarnaques sont de plus en plus nombreuses et surtout de moins en moins perceptibles.

À cet égard, en Italie, le journaliste Roberto Saviano, auteur du célèbre livre sur la mafia napolitaine Gomorra, alertait sur l’intensification des activités mafieuses, dans une chronique du journal italien La Repubblica.

Globalement, la digitalisation des échanges ainsi que le contexte sanitaire ont fait entrer la fraude dans une nouvelle ère. Si la fraude au président s’appréhendait par une escroquerie au faux nom et/ou à la fausse qualité, il est loisible que celle-ci ait muté vers des manœuvres frauduleuses qu’on retrouve intégrées à un montage complexe. Ainsi, l’adaptabilité de la fraude et des fraudeurs n’est plus à démontrer. À plus forte raison, l’habileté des fraudeurs rend également le contrôle des opérations plus ardu et moins fiable puisque les salariés sont éparpillés sur le territoire et demeurent à leur domicile.

La mutation du procédé de tromperie de l’escroquerie associée à l’apport du digital, a rendu la fraude au président excessivement efficace. C’est donc le moment de redoubler d’attention et d’alerter toutes les entreprises, quelle que soit leur taille. La formation et la sensibilisation des salariés accompagnées par un renforcement des procédures permettront d’éviter une routine délétère en matière de prévention de la fraude.


Eric Vernier, Université de Lille. Vincent Le Trouher, Directeur juridique Investigations, Fraudes et Litiges chez Hexaforensics. Janvier 2021

 

Comment le groupe Pichet sécurise ses comptes fournisseurs

Face à l’accroissement du risque de fraude au faux virement, le groupe immobilier a externalisé et automatisé ses processus de vérification des coordonnées bancaires de ses fournisseurs.

Fraude au président , au « faux virement » ou au « faux fournisseur » , etc. Les tentatives d’arnaques fondées sur des numéros de comptes bancaires frauduleux se sont multipliées ces dernières années. Et ont de quoi inquiéter les entreprises. En particulier celles qui, par leur forte croissance, sont souvent appelées à travailler avec de nouveaux fournisseurs… C’est le cas du groupe Pichet, un groupe familial spécialisé dans l’immobilier et qui compte aujourd’hui quelque 1.300 collaborateurs, pour un chiffre d’affaires de l’ordre de 600 millions d’euros.

Lorsque Benoît Chardonnet rejoint les équipes en 2017 comme responsable du contrôle interne, il met tout d’abord en place un processus un peu « artisanal ». « A chaque nouveau fournisseur, nous avions des procédures de vérification oculaires des informations communiquées par les fournisseurs. Cela portait sur le titulaire du compte, son K-Bis, le RIB certifié conforme – tamponné ou signé -, la cohérence des adresses, etc. : une vraie check-list à respecter avant l’enregistrement du fournisseur, avec un double niveau de contrôle en interne », se souvient-il.

Quinze mille fournisseurs

Quelques années plus tard, ce process ne suffit plus face à la multiplication des tentatives de fraudes et à la professionnalisation des escrocs, qui élaborent des scénarios de plus en plus complexes et fondés sur de l’ingénierie sociale. En outre, la charge de travail est importante : le fort développement du groupe le conduit à créer ou modifier entre 10 et 15 comptes fournisseurs par jour, pour une base « fournisseurs » qui compte environ 15.000 lignes.

Paiement : les trois grandes fraudes d’une année 2020 atypique

Courant 2020, le groupe se met donc en quête d’une solution automatisée de sécurisation des relevés d’identité bancaire de ses fournisseurs. C’est la solution proposée par la start-up SIS-ID qui est choisie. « Il s’agit d’une externalisation complète du process de vérification : pour chaque RIB, nous avons un signal soit vert, totalement sécurisé, soit orange, pour davantage de vérifications, ou rouge, lorsqu’il y a une anomalie », explique le responsable.

Une brique parmi d’autres

Un process véritablement sécurisant grâce à la garantie financière donnée par SIS-ID en cas de problème sur un paiement à destination d’un compte « vert ». Son coût ? « Il est très relatif et doit être apprécié au regard de la réduction du risque : si nous pouvons éviter une fraude à plusieurs milliers d’euros, nous sommes clairement gagnants ! » estime Benoît Chardonnet.

Nous sensibilisons aussi très régulièrement nos collaborateurs sur le sujet, en particulier toutes les personnes en lien avec le traitement administratif des fournisseurs.

Mais, attention, ce n’est là qu’une des briques mises en place par le groupe Pichet dans le cadre de sa lutte contre la fraude. « Nous sensibilisons aussi très régulièrement nos collaborateurs sur le sujet, en particulier toutes les personnes en lien avec le traitement administratif des fournisseurs », précise Benoît Chardonnet.

Formations

Il y a aussi une attention beaucoup plus large aux enjeux de cybersécurité, car une intrusion directe dans les fichiers fournisseurs serait également très problématique. « Les deux axes ne peuvent plus être dissociés, aussi nos formations internes lient-elles systématiquement les deux notions », explique le responsable, qui travaille avec le RSSI (responsable de la sécurité des systèmes d’information) sur des sujets comme l’active directory, les habilitations, ou encore les liens entre les applications de comptabilité et de trésorerie.

De quoi gagner encore en sérénité sur la sécurisation des flux financiers, au moment où le groupe se structure et se digitalise de plus en plus…

Cécile Desjardins. Nov. 2021

Une réflexion sur « LE RISQUE, VARIABLE STRATEGIQUE DE LA REFLEXION DES ENTREPRISES (3)  UN NOUVEAU RISQUE : LA FRAUDE AU PRESIDENT (SUITE) – UN EXEMPLE DE PLAN D’ACTIONS »

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s