Fraude aux ordres de virements : retours d'expériences

350 millions d'euros : c'est le préjudice total que représentent les cas avérés et déclarés de fraude aux ordres de virement sur les trois dernières années en France selon les chiffres de la police. Un chiffre largement en dessous de la réalité selon l'Afte (association des trésoriers d'entreprise) puisque seule une fraction des entreprises touchées décide de porter plainte, souvent de peur de voir l'affaire rendue publique et de perdre en crédibilité. Les grands classiques de ce type d'arnaque sont désormais connus : un appel du PDG de la société qui réclame un important virement sur un compte à l'étranger pour sécuriser une acquisition " ultra-secrète " au bout du monde ou pour éviter un contrôle fiscal... mais avec la médiatisation grandissante des scénarios les plus classiques, les méthodes des malfaiteurs ont évolué, et ceux-ci déclinent l'arnaque connue sur différents thèmes. Ils ne se font plus passer pour le PDG mais pour des policiers , ou pour la société d'affacturage qui traite avec l'entreprise.

Légèreté d'un côté...

L'affaire qui suit se déroule à la fin 2013, alors que toutes les entreprises de France se préparent fébrilement au passage imminent aux normes SEPA. Une assistante de trésorerie de cette société de 200 millions d'euros de chiffre d'affaires reçoit un coup de téléphone de la banque : celle-ci réclame un nouveau test. Au bout du fil, une voix rassurante demande à l'assistante d'effectuer un virement test pour s'assurer que tout se passe bien. " Il a eu une approche très relationnelle, en la mettant en confiance, en lui disant par exemple qu'elle devait avoir énormément de travail avec les tests ", raconte le Daf de l'entreprise. Une stratégie efficace : quelques minutes plus tard, la demande de virement part à la banque. Montant : 300 000 euros. Cette entreprise disposait bien d'un filet de sécurité puisque, pour les virements dépassant un certain montant, une procédure supplémentaire était prévue : un coup de téléphone de la banque, avec vérification du montant et du nom du bénéficiaire. " L'escroc a réussi à contourner cette sécurité car il connaissait parfaitement la procédure. Il a pris soin de préciser à l'assistante qu'elle recevrait ce coup de fil, et a fait passer le nom du bénéficiaire pour un code à valider. Elle a donc bien confirmé ces informations lorsque la banque a appelé ", se souvient-il... Ironie du sort : c'est au cours d'une réunion de prévention sur ce type de fraude, qui avait lieu une semaine après les faits, que l'assistante s'est aperçue de son erreur. " De fait, elle avait fait preuve de légèreté, ainsi que le responsable de trésorerie qui lui avait confié toute la partie des tests SEPA. " Trop tard évidemment pour espérer récupérer les fonds.

Et grande agilité de l'autre

A la suite de cette mésaventure, le Daf a mis en place une nouvelle organisation pour redoubler de prudence : multiplication des opérations de prévention organisées régulièrement pour sensibiliser les équipes et renforcement des procédures en interne. Des mesures nécessaires, puisque l'entreprise continue à faire l'objet d'attaques. " Nous continuons à recevoir régulièrement des e-mails de gens qui se font passer pour nos fournisseurs par exemple, en prétendant que leurs coordonnées bancaires ont changé et en nous fournissant des RIB... " poursuit le Daf.

Contrairement à une idée reçue, aucune entreprise n'est à l'abri : les escrocs font feu de tout bois. " Toutes les entreprises sont ciblées, des grandes entreprises du CAC 40 aux PME ", avertit Jean-Marc Souvira, commissaire divisionnaire et chef de l'office central pour la répression de la grande délinquance financière. " Les escrocs qui pratiquent ce type d'opération ne sont pas forcément des experts du monde de l'entreprise à la base, mais ils passent des semaines à étudier le sujet ", explique-t-il.

ean-Marc Souvira, commissaire divisionnaire et chef de l'office central pour la répression de la grande délinquance financière

Infogreffe, entreprise.com, dirigeant.com : ils épluchent les sources d'information payantes pour grappiller les informations qui leur permettront de passer à l'acte. Ils n'ont parfois même pas besoin de recourir à ces méthodes : certains sites d'entreprises regorgent d'informations sur les entreprises, notamment l'organigramme de la société. D'autres n'hésitent pas à pirater la boîte mail de dirigeants de l'entreprise pour récupérer les données convoitées. " Il leur suffit de quelques informations essentielles pour développer un scénario d'attaque, comme un organigramme détaillé par exemple, le nom d'un fournisseur important ou d'une société d'affacturage avec laquelle traite l'entreprise ", explique Jean-Marc Souvira qui précise que les escrocs n'opèrent jamais depuis la France. Généralement basés en Israël, les malfaiteurs font transiter les fonds par des plate-formes en Bulgarie, République tchèque ou Chypre avant de les rapatrier en Chine.

Verrouiller... sa communication et celle des cadres

S'il est impossible de verrouiller toutes les informations - tout particulier peut accéder aux données d'Infogreffe moyennant quelques euros-, il est cependant possible de limiter les risques en contrôlant la communication de l'entreprise. " Les réseaux sociaux comme Facebook, Linkedin ou Viadeo ont un impact catastrophique : les escrocs peuvent y trouver toute la matière dont ils ont besoin en étudiant le profil des cadres. D'une manière générale, les entreprises communiquent beaucoup trop sur Internet, elles mettent à disposition des quantités d'information très importantes sans penser que celles-ci peuvent tomber entre des mauvaises mains ", ajoute le commissaire divisionnaire Souvira. La montée en puissance des réseaux sociaux coïncide d'ailleurs avec la multiplication des affaires de fraude aux ordres de virement, même si d'autres facteurs entrent en ligne de compte, comme la facilité d'accès des cartes prépayées intraçables. Celles-ci permettent d'acheter via Infogreffe des informations sur les sociétés en tout anonymat...

Pour Benoit Pachot, manager senior des projets SI chez Ileven, conseil SI, tous les collaborateurs qui ont la capacité de faire des virements importants doivent être formés et doivent être alertés sur les pressions psychologiques dont ils peuvent faire l'objet : compliments, menaces, promesse de promotion de la part du faux PDG... " Il est important de définir des procédures clairement identifiées en cas de situation d'urgence, et de changer ces procédures une à deux fois par an ", préconise-t-il. Selon lui, les risques sont multipliés à partir d'une certaine taille d'entreprises, celles où les équipes ne sont pas en contact direct avec le top management - d'où l'importance de mettre en place des systèmes de pare-feu. " Si un ordre de virement émane d'un top manager, son identité doit pouvoir être vérifiée avec un système de mot de passe ou par une série de questions dont les réponses sont consignées dans un document crypté informatiquement, ou conservé uniquement sur papier ", recommande-t-il.

Porter plainte : oui... mais pas tout de suite

Le premier réflexe à avoir n'est pas de porter plainte mais " d'appeler sa banque pour expliquer et demander le blocage du compte sur lequel ont été virés les fonds ", recommande Jean-Marc Souvira. Celle-ci peut se mettre en relation directement avec Tracfin, qui contactera à son tour les services spécialisés en répression des fraudes financières dans les pays où ont été virés les fonds. Le spécialiste donne l'exemple d'une entreprise française qui avait versé 4 millions d'euros à un compte à l'étranger à la suite d'une fraude. En suivant cette procédure, le Daf a réussi à obtenir le blocage du compte bénéficiaire en Bulgarie. L'entreprise a finalement pu récupérer la quasi-totalité des fonds : seulement 10 000 euros ont été définitivement perdus, conséquence d'une première décaisse. Une somme à laquelle il faut ajouter certains frais annexes, puisque la société a dû mandater un cabinet d'avocats sur place pour obtenir une plainte rédigée en bulgare pour valider les opérations auprès de la banque.

Le temps est un facteur décisif, et chaque heure compte. " C'est pour cette raison qu'il ne faut pas commencer par le dépôt de plainte, qui peut prendre plusieurs heures ", rappelle le commissaire divisionnaire. C'est aussi pour cette raison que les attaques sont plus nombreuses juste avant le week-end. Autre zone rouge : les périodes de vacances, où les responsables ont des chances d'être absents. " En s'attaquant aux N - 1 ou N - 2, l'escroc sait qu'il a davantage de chances de réussir son opération ".