Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Journal Spécial des Sociétés
Fraude : quand les arnaques mettent les entreprises à genoux
Publié le 02/06/2022 09:15
Fraude : quand les arnaques mettent les entreprises à genoux/><img src=

Depuis quelques années, les entreprises font l’objet d’un nombre croissant d’attaques aux coûts toujours plus élevés. En effet, les escrocs connaissent de mieux en mieux leurs cibles et exploitent leurs moindres failles, profitant d’un manque de moyens et de vigilance, nous apprend une table ronde organisée en avril dernier par la société Deveryware, spécialiste des questions de sécurité. 

 

  




C’est une nouvelle dont on se passerait bien : jamais la fraude ne s’est aussi bien portée. En 2021, un quart des entreprises en ont ainsi fait les frais, avec un manque à gagner de plusieurs centaines de millions d’euros. Les entités frauduleuses seraient quant à elles « en progression de 300 % en un an », assure, lors d’une table ronde organisée le 13 avril dernier, Alain Vernadat, directeur général de Deveryware, société spécialiste de la sécurité. Des chiffres officiels « largement sous-estimés », indique éric Vernier, directeur de l’ISCID-CO (école de commerce international) et spécialiste du blanchiment. La fraude serait en réalité bien plus importante, « car il y a tout un pan qu’on ne connaît pas et parce qu’on ne la détecte pas forcément ».

En cause, un accélérateur idéal : la transformation digitale, qui génère « de nouvelles failles à exploiter dans toutes les innovations », souligne la rédactrice en chef de Sécurité & Défense magazine, Mélanie Beynard-Crozat. La fraude et la cybercriminalité explosent donc, boostées par la crise du Covid et le développement du travail à distance, notamment du fait de l’utilisation de réseaux non sécurisés.








Une ingénierie sociale de plus en plus rodée 

Ce qui inquiète éric Vernier, c’est la persistance des attaques. « Auparavant, quand les criminels opéraient massivement par ransomware1, ils voyaient si cela marchait, et si ce n’était pas le cas, ils lâchaient l’affaire. Aujourd’hui, les escrocs vont jusqu’au bout. Ils peuvent envoyer un virus ou un cheval de Troie sur un système informatique et attendre six mois, un an. » Il y a là un véritable « danger mortel » pour l’économie, alerte-t-il.

L’officier de gendarmerie Marc Peter, qui est aussi docteur en droit privé et sciences criminelles, parle de « rationalisation » de la fraude. « On s’aperçoit que les fraudeurs – du secrétaire malintentionné en interne aux criminels organisés qui se livrent à une fraude massive – rationalisent : ils vont tester, chercher les points de faiblesse. D’abord ils testent un moyen : si cela fonctionne, ils continuent. Si cela ne fonctionne pas, ils testent autre chose. » 

En outre, en pénétrant dans le système informatique d’une entreprise, les pirates peuvent savoir tout ce qui s’y passe, et identifier les périodes les plus propices aux attaques. Une tactique consiste notamment à lancer l'offensive lorsque le chef comptable a pris sa retraite, au moment où son remplaçant « a pris ses marques mais n’a pas encore une totale connaissance de la structure, ni reçu de formation sur la lutte contre la fraude ».

Xavier Houillon, directeur fraude et criminalité financière chez Deverywhere, explique que les escrocs vont identifier tous les secteurs d’activité dans lesquels l’entreprise est susceptible d’avoir des failles – qu’elles soient réglementaires, technologiques, ou qu’elles portent sur les dispositifs de contrôle, sur les marchés nouveaux, etc. « Les criminels se livrent à un véritable audit de votre organisation », relève-t-il. « Aujourd’hui, on arrive à un perfectionnement assez pointu dans l'ingénierie sociale, c’est-à-dire la connaissance de l’entreprise attaquée », complète éric Vernier, qui rappelle que l’on est très loin de l’époque d’Al Capone, mais plutôt à l'ère des experts recrutés sur le darknet. « L’univers de la fraude semble sans limites, quant à la résilience des fraudeurs, elle est à toute épreuve », s’inquiète Mélanie Beynard-Crozat.

 



L’arnaque au président a la cote

Exemple « symptomatique » de l’ingénierie sociale à l'œuvre, illustre éric Vernier : l’arnaque au président, entre autres types de stratagèmes. Via ce procédé bien huilé, le fraudeur se fait passer pour le donneur d’ordre d’une entreprise (président, directeur…) afin d’exiger d’un collaborateur un virement international en urgence. Si dès les années 2000, les sociétés ont été appelées à se prémunir via des workflows et des doubles signatures, ce type de fraude est revenu en force il y a cinq ans, et la France, dont le tissu de PME est considérable, fait figure de cible idéale.

Même les entreprises les plus avisées ne sont pas à l’abri face à l’ingéniosité de certains pirates et aux technologies redoutables dont ils s’arment, à l’instar de l’intelligence artificielle. éric Vernier évoque à ce titre une affaire dont il a eu à connaître. Il s'agit du directeur financier d’une PME qui reçoit un appel : au téléphone, visiblement paniquée, une dame d’un certain âge qui n’est autre que la femme du fondateur et la mère du président actuel, « vénérée par toute l’entreprise ». Alors qu’elle se trouve en vacances aux Maldives depuis un mois, on vient de lui voler son sac, et l’hôtel dans lequel elle réside lui demande de régler sa note de 100 000 euros, sans quoi elle sera amenée au poste de police, assure-t-elle. Le directeur financier, affolé, appelle l’hôtel : le receptionniste confirme toute l’histoire et demande le paiement de la somme due. L’homme réalise donc le virement en catastrophe sur le compte indiqué. Il s’avérera par la suite qu’il s’agissait d’une arnaque, puisque ses interlocuteurs n’étaient en réalité ni la mère du PDG ni le personnel de l’hôtel, mais des escrocs très bien informés, au scénario redoutable. « Ici, la mère du président était la seule faille pour attaquer une entreprise parfaitement préparée contre les risques », note éric Vernier.

Certains pièges arrivent heureusement à être déjoués in extremis. Le spécialiste revient ainsi sur une tentative d’arnaque au président à l’encontre d’une société spécialisée dans la promotion immobilière internationale. Un jour, la PDG reçoit un appel de son frère, également à la tête de l'entreprise qui lui demande un virement rapide de 200 000 dollars pour finaliser un contrat. Ils en discutent plusieurs fois au téléphone, mais au bout de quelques jours, la dirigeante a des soupçons : pourquoi ne pas avoir parlé plus tôt de cette grosse affaire ? Elle a donc le réflexe d’appeler son frère sur son téléphone fixe. « Ahuri, il lui répond qu’il n’est au courant de rien. Là encore, des pirates avaient imité sa voix avec tous les tics verbaux possibles. Imaginez tout ce que ces escrocs ont dû connaître et mettre en place [pour tenter de duper l'entreprise !] » 

 


 

Quand la vigilance baisse, attention à l’impact !

Malgré leur vulnérabilité et en dépit des risques, les entreprises rechignent à se prémunir, remarque éric Vernier, souvent par manque de moyens. Parfois, elles investissent dans des dispositifs de protection et sont sensibilisées à la problématique, mais c’est la routine qui vient les trahir. « On fait attention au début, puis au bout d’un moment, la vigilance s’abaisse. On oublie par exemple qu’il faut former les nouveaux arrivants », pointe le spécialiste. Ce dernier mentionne également les biais de surconfiance qui peuvent intervenir. « Les salariés se disent que des procédures sont en place, qu’ils sont tranquilles », et là encore, la prudence décroît. 







Problème : quand l'arnaque se produit, elle fait mal, très mal. Fait marquant, l’impact financier s’avère de plus en plus élevé, puisque selon le dernier baromètre Euler Hermès de 2021, 14 % des entreprises interrogées déclarent un préjudice supérieur à 100 000?euros, en augmentation de 4?points par rapport à l’année précédente, et 1/5e déclarent avoir subi des dommages supérieurs à près d’1 million de dollars. « Les escrocs tapent beaucoup plus fort », observe Mélanie Beynard-Crozat. Parallèlement, le coût de la fraude est bien souvent sous-estimé, signale Xavier Houillon. « Financièrement, il ne faut pas oublier que si une entreprise est victime de 5 millions d’euros de fraude sur un faux virement prestataire, par exemple, le vrai prestataire lui aussi va réclamer les 5 millions. Cela signifie 10 millions de trésorerie qui sortent : or, toutes les entreprises n’ont pas la solidité financière pour pouvoir absorber ce double règlement, ni d’assurance qui va payer sous 24h. » 

Par ailleurs, tout aussi dommageables sont les répercussions portant sur l’image de l’entreprise. Le directeur fraude et criminalité financière fait remarquer que traditionnellement, les entreprises associaient la fraude « à un risque économique », car ce phénomène a « longtemps été appréhendé comme un business model ». Les dirigeants chiffraient en amont la perte liée à la fraude et la réintégraient dans le système de prix global des ventes qu’ils souhaitaient réaliser. « Or, on s’aperçoit que la fraude a des incidences plus importantes : avec la digitalisation, les entreprises courent de nombreux risques sur le plan réputationnel. Aujourd’hui, la concurrence est indexée sur la bonne presse d’une entreprise », affirme Xavier Houillon. Lorsque les entreprises sont cotées sur les marchés, il y a ainsi une incidence directe de la cotation sur la valorisation. De façon encore plus palpable, la fraude peut avoir un impact sur l’attractivité, et décourager des talents à postuler ; freiner les recrutements ou accélérer les départs. « L’entreprise va donc avoir des difficultés à préserver ses ressources internes si elle est exposée fortement à la fraude, car cela crée une ambiance anxiogène, synthétise Xavier Houillon. D’autant qu’avec la crise sanitaire, le climat n’est pas toujours facile, beaucoup de contraintes sont venues altérer la vie de tout un chacun. » 

 

 


Une meilleure sensibilisation

Alors, quelles solutions pour protéger son entreprise ou pour éviter une récidive ?

En amont, Eric Vernier plaide pour la sensibilisation de tous dans l’entreprise, et la formation des services les plus sensibles à la question, le tout « avec des piqûres de rappel ». Les grandes campagnes de communication, le spécialiste y croit peu. Selon lui, si les formations juridiques sont importantes, « il faut d’abord expliquer aux gens pourquoi il est nécessaire de lutter contre la fraude, et utiliser des images fortes. Mettre en avant les risques pour l’entreprise ; faire comprendre que s’il n’y a pas de blanchiment, il n’y aura pratiquement plus de crime organisé. » Sans quoi, les gens « n’intégreront pas », assure-t-il. Le sujet de la lutte contre la fraude doit toutefois passer en premier lieu par la gouvernance, juge Xavier Houillon. « Dans un système pyramidal d’entreprise de gouvernance, il est difficile d’attendre de la base qu’elle soit acteur majeur si la gouvernance ne porte pas le discours et n’a pas organisé son entité pour pouvoir intégrer cette menace et y faire face. » 

Par ailleurs, lorsque l’entreprise est malgré tout victime d’une fraude, pas question de rester attentiste. Xavier Houillon utilise l « analogie de la fuite d’eau ». « Quand il y a une fuite d’eau dans une maison, généralement on se demande si l’on a assez de moyens pour l’éponger : est-ce que mon seau est assez gros, est-ce que j’ai assez de serpillières ? Mais surtout, on doit se poser la question de savoir par où est passée l’eau, comment elle s’est infiltrée, comment elle a ruisselé pour pouvoir arriver là. » S’attaquer à l’origine de l’infiltration, voilà donc la stratégie à adopter pour comprendre ses failles et éviter de faire l’objet du même type d’attaque à l’avenir.   

En parallèle, le directeur fraude et criminalité financière estime également qu’il faudrait que le législateur encadre davantage le sujet pour éviter que la croissance de la fraude ne se poursuive. Mais de l’avis d’Eric Vernier, « tout existe déjà » : des dispositions suffisantes, des services spécialisés… À son sens, « Il n’y a pas besoin de créer quoi que ce soit. Ce n’est pas une question de loi, mais de volonté sur le terrain. » Pour les dirigeants en quête d’accompagnement, Deveryware vient de publier un livre blanc consacré à ce « fléau aux mille visages », et propose une série de solutions pour anticiper et se protéger contre ce phénomène « qui touche tout le monde ».

 

1) Logiciel malveillant qui bloque l'accès à l'ordinateur ou à certains fichiers.

 

Bérengère Margaritelli


 

0 commentaire
  • 2 + 9 =

Journal Spécial des Sociétés - 8 rue Saint Augustin - 75002 Paris - Tél 01 47 03 10 10