Gare aux fraudes externes !

Comment déjouer les tentatives de fraude dont les PME sont de plus en plus l’objet ?

153
Hacker using the Internet hacked abstract computer server, database, network storage, firewall, social network account, theft of data

Les fraudes externes continuent de frapper les entreprises ; elles se sont même développées pendant la période de confinement. Pour les contrer, tous les collaborateurs de l’entreprise  doivent être mobilisés. Voici une présentation des trois types de fraudes les plus utilisées pour vous permettre de mieux vous préparer, vous et votre équipe, ainsi que pour être à même de mieux vous défendre !

La fraude au faux fournisseur : 48 % des tentatives

Se faire passer pour un fournisseur pour demander à « son » client un changement de coordonnées bancaires est la fraude externe la plus répandue. Illustration avec Jean-Pierre qui travaille au service comptable d’une centrale d’achat alimentaire. Un jour, il reçoit un courriel d’un gros fournisseur, une coopérative agricole, qui lui indique un changement de coordonnées bancaires et un changement de numéro de téléphone. Le courriel est signé par son interlocuteur habituel, M. Jean, le directeur administratif de la coopérative. Jean-Pierre compose le nouveau numéro. On lui indique que M. Jean est en déplacement et on lui confirme le changement de numéro de compte. Au cours des 6 mois suivants, Jean-Pierre met en paiement trois factures pour un total de 230 000 €.

Un jour, M. Jean appelle Jean-Pierre car il n’a pas été payé. Ensemble, ils découvrent la fraude.

Comment se protéger ?

En cas de demande de changement de coordonnées bancaires d’un fournisseur, il faut, surtout si le nouveau compte est à l’étranger :

– contacter directement le fournisseur en question sans utiliser les coordonnées présentées dans le courriel ou le courrier papier ;

– mettre en place un système de double validation pour tout changement de ce type.

La fraude au président : 38 % des tentatives

Même si elle émane de sa hiérarchie, une demande de paiement pressante et inhabituelle doit éveiller l’attention. Comme en témoigne la terrible mésaventure vécue par le Directeur financier de la filiale néerlandaise d’un groupe français de cinéma, Edwin, qui reçoit, un jour de mars 2018, un courriel venant de la direction générale française. Dans ce courriel, il est question de l’acquisition d’une société à Dubaï. Une opération qui doit être menée avec discrétion et rapidité au risque d’être compromise et qui nécessite que la filiale néerlandaise procède à une avance de fonds. Par prudence, Edwin en informe Derje, sa directrice. Puis, tous deux persuadés du caractère légitime de la demande, ils ordonnent plusieurs virements. La fraude ne sera détectée que quelques semaines plus tard. Au total, 19,2 M€ auront été détournés.

Comment se protéger ?

La fraude au président est un cas typique d’abus de confiance. Elle s’appuie sur la connaissance que les fraudeurs ont de l’entreprise cible, sur la mise en place d’un scénario crédible et sur leur capacité à contrôler psychologiquement la personne qui, malgré elle, va devenir leur complice. Pour limiter ce risque de fraude, il faut :

– assurer la confidentialité des organigrammes (au moins en extraire le nom et les coordonnées des responsables financiers et comptables) ;

– limiter la communication de l’entreprise autour de ses partenariats et de ses grands projets ;

– sensibiliser les salariés en leur présentant la mécanique de cette fraude ;

– rappeler aux salariés qu’ils doivent systématiquement mettre en place une procédure de validation permettant de s’assurer de l’identité du demandeur et du caractère légitime de la demande (par exemple, contacter directement le chef d’entreprise, un cadre, le cabinet d’expertise comptable, même s’ils sont en vacances) quand la demande est insolite et/ou formulée par un interlocuteur inconnu faisant preuve d’insistance (flatterie, intimidation) ;

– mettre en place un protocole de double signature ou un principe de supervision pour tout virement supérieur à 1 000 €.

Les cyber-fraudes : 29 % des tentatives

Les courriels inhabituels invitant à télécharger des pièces jointes ou à renseigner des mots de passe doivent finir dans la corbeille. C’est ce qu’aurait dû savoir ce cadre administratif d’une société de transport de marchandises, Gilles, qui est à l’époque en télétravail an raison du confinement. Comme tous ses collègues dans le même cas, il passe plusieurs heures par jour à participer à des visioconférences. Et d’ailleurs, il vient de recevoir un courriel aux couleurs de Zoom. L’outil de visioconférence lui indique qu’il peut, pendant 48 heures, visionner l’enregistrement de la dernière réunion de direction. Une réunion à laquelle il n’a pas pu assister. Il se connecte, via ce courriel, sur une page d’accueil où ses code et mot de passe Microsoft lui sont demandés. Il ne s’en étonne pas et les renseigne. Or il n’accédera jamais à l’enregistrement de la conférence mais apprendra, quelques jours plus tard, que le serveur de son entreprise a été victime d’une attaque de rançongiciel qui a bloqué son fonctionnement pendant une semaine.

Comment se protéger ?

Le phishing (tentative d’extorsion de mots de passe ou de coordonnées bancaires via des mails ou des interfaces Web imitant ceux d’une entreprise ou d’une administration) et les rançongiciels (logiciels cryptant les données et réclamant une rançon pour les libérer) se répandent comme tous les logiciels malveillants. Dès lors, il convient :

– de mettre à jour les antivirus et systèmes d’exploitation ;

– de ne jamais ouvrir les pièces jointes des courriels douteux (inhabituels, expéditeurs inconnus, style impersonnel, texte mal traduit…) ;

– d’effectuer une sauvegarde quotidienne des données stockées sur des supports déconnectés du réseau.

surtout ne pas rester seul à être vigilent !

Vous le constatez, les fraudes sont non seulement de plus en plus nombreuses mais aussi de plus en plus sophistiquées. Elles émanent d’organisations extrêmement professionnelles, souvent de dimension internationale. C’est pourquoi vous ne devez pas rester seul à être à l’aguet. N’hésitez-pas à en parler avec vos conseils. La pédagogie auprès de vos collaborateurs est indispensable mais il pourrait s’avérer utile aussi de renforcer les procédures de contrôle interne dans votre entreprise pour limiter les risques. Votre commissaire aux comptes, si vous en disposez, ou votre expert-comptable pourront vous conseiller utilement.