La fraude en entreprise peut revêtir des formes diverses et variées. Parmi les menaces les plus sérieuses, on trouve les usurpations d’identité et notamment la désormais célèbre fraude au président. Fraude, qui selon le dernier baromètre de Grant Thornton sur la lutte contre la fraude et la corruption en entreprise, concerne 18 % des fraudes constatées en 2016.
Comment un pirate opère
Le principe ? « Un pirate muni d’un téléphone et d’un accès internet va d’abord commencer par se renseigner sur une entreprise. Il va recueillir des informations sur les personnes clés qui travaillent à la trésorerie et aux finances. Une fois ces éléments récupérés, il va se renseigner sur le P-dg de l’entreprise et profiter du départ de ce dernier à l’étranger pour rentrer en contact avec une des personnes de la comptabilité et, via un mail ou par téléphone, pousser ce dernier à réaliser une transaction financière non requise », explique Michaël Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte. « En général, le pirate se fait passer pour un conseil du président, son avocat par exemple, et prétexte une opération de croissance externe confidentielle pour demander à son interlocuteur de faire un virement d’un montant généralement significatif. Quand cette opération est bien faite, elle n’est pas déclenchée par hasard et auprès de n’importe qui. Il y a tout un travail en amont d’ingénierie sociale, c’est-à-dire de surveillance sur les réseaux sociaux et internet pour reconstituer l’organigramme de la société et repérer la personne vulnérable : un intérimaire qui remplace la comptable partie en congés maternité par exemple », précise Nicolas Guillaume, associé et directeur de la ligne de services risk management de Grant Thornton.
Variante de la fraude au président : la fraude aux faux virements. « C’est le même principe sauf que là, le pirate se fait passer pour un fournisseur. Il appelle l’entreprise, explique que la sienne change de système de paiement, va désormais passer par une société d’affacturage par exemple et transmet le nouveau RIB. L’encaissement des factures allant ainsi directement dans les poches du pirate », explique Nicolas Guillaume.
La parade : sensibiliser, vérifier et simuler
Pour éviter de tomber dans le panneau de ces fraudes basées sur des usurpations d’identité, la seule solution est de sensibiliser en amont ses collaborateurs. « Il faut expliquer à ses équipes ce qu’est une fraude au président ou une fraude aux faux virements. Et surtout leur rappeler que jamais au grand jamais, il ne faut faire un virement sans respecter la procédure. En général, cela suffit à éliminer ce genre de scénario », explique Nicolas Guillaume. « Il ne faut jamais croire ce que l’on vous dit et toujours vérifier non pas en appelant le numéro indiqué dans le mail mais en allant chercher dans votre système d’information le contact de l’entreprise et de la personne avec qui vous pensez être au bout du fil », ajoute Michaël Bittan.
La riposte du fraudeur
Attention toutefois à ce que le pirate n’ai pas pris le soin de vous avoir fait changer les coordonnées de votre contact (fournisseur, banque, éditeur de logiciel, etc.) en amont. « C’est malheureusement fréquent. Le fraudeur vous appelle pour changer son numéro de téléphone et son adresse quelques semaines ou mois avant. Tant et si bien que lorsque vous respectez la procédure pour le rappeler, vous tomber sur lui », prévient Nicolas Guillaume. Même si le changement de coordonnées n’apparaît pas comme une donnée sensible, il peut donc s’avérer quand même utile de prévoir une procédure de confirmation.
