La fraude : un fléau aux mille visages

"Imaginez-vous un Daf qui reçoit le coup de fil très angoissé de la mère âgée de son Pdg partie en vacances aux Maldives et qui demande de l'argent car elle ne peut plus payer l'hôtel et est sur le point d'être embarquée par la police. Le Daf appelle alors l'hôtel qui confirme la version des faits de la veille dame. Il fait alors un virement de 100 000 euros. Et c'était une arnaque ! Tout était fait pour qu'il tombe dans le piège : même intonation de voix, ligne de l'hôtel piratée et reroutée vers les criminels,...", explique Eric Vernier, directeur général de l'ISCID-CO, spécialiste du blanchiment et des paradis fiscaux et contributeur du livre blanc "Fraude : le fléau aux mille visages - états de lieux et moyens d'actions" publié par Deveryware, expert européen des technologies d'investigation et des services numériques pour la sécurité globale, à l'occasion de la présentation de l'ouvrage. Cette histoire vécue par l'expert au sein d'une ETI française illustre l'ingéniosité des fraudeurs. Les scénarios de fraudes sont multiples et de plus en plus sophistiqués. "On trouve même des kits pour la fraude au président à 200 dollars sur le darknet", souligne-t-il.

Des attaques qui peuvent durer 2 ans

Selon le dernier baromètre Allianz Trade (ex-Euler Hermès) sur la fraude, une entreprise française sur quatre a été victime de fraude en 2021. "Les attaques sont persistantes et profondes. C'est ce qu'on observe dès 2019. Si avant on parlait d'attaques de masse, désormais les criminels n'hésitent pas à attaquer pendant deux ans une même entreprise. Et les criminels font de l'ingénierie sociale en accumulant le maximum d'informations via les réseaux sociaux (facebook, linkedin, ...) afin d'avoir une connaissance très fine de la vie des chefs d'entreprises qui ont le sentiment d'avoir été violés dans leur vie privée", souligne Eric Vernier.

Le mail d'absence : une erreur classique

Si le risque zéro n'existe pas, il existe des solutions pour se prémunir de la fraude. "Avant, les entreprises n'étaient pas dans la prévention mais plutôt dans l'attente que la fraude soit averée pour y remédier. Sans compter qu'il existe une sorte de tabou autour du sujet", confirme Xavier Houillon, directeur fraud & financial crime au sein de Deveryware. Pour cela, les entreprises doivent faire de l'acculturation. "L'être humain est le meilleur rempart. Il faut former, sensibiliser et informer les salariés, ajoute Eric Vernier. Une des premières erreurs est le mail automatique d'absence. Savoir que le Daf est absent et/ou en congés c'est tout à l'avantage des fraudeurs. Cela peut également passer par le fait d'instaurer davantage d'empathie auprès de ses salariés car chacun est corruptible ou encore donner de l'intéressement au capital à ses collaborateurs comme a pu le faire la Société Générale pour éviter la trahison". Ainsi, certaines entreprises n'hésitent pas à donner à leurs salariés des primes en cas de baisse de la fraude.

Une question de gouvernance

Si le livre blanc fait un état des lieux alarmant, des pistes de rélfexion sont envisagées. Les incontournables d'un dispositif de gestion du risque de fraude efficace sont selon le livre blanc : un processus de gouvernance rigoureux et visible, une culture de transparence et d'intransigeance contre la fraude, une évaluation périodique approfondie du risque de fraude, la conception, l'application et l'actualisation de processus et procédures de contrôle préventif et détectif de la fraude, la mise en oeuvre rapide d'actions en réponse à des allégations de fraudes y compris le cas échéant envers les personnes suspectées d'y avoir contribué, un plan de remédiation et enfin un plan de continuité d'activité.

La lutte contre la fraude passe par une meilleure gouvernance sur le sujet. Il s'agit de définir et de rédiger dans un premier temps des procédures claires et des mesures d'urgence en cas de fraude, de s'assurer que la politique de sécurité soit connue et appliquée par tous, de sensibiliser les salariés et enfin de sécuriser ses processus et transactions avec des outils technologiques adaptés. De même la confiance n'exclut pas le contrôle. Ainsi, la séparation des tâches et un circuit de double validation dans la chaîne financière, comptable, de facturation et de trésorerie est indispensable.

Allier l'humain et l'IT

Enfin, l'IA, les solutions en Saas, le machine learning, le data mining, ... toutes ces solutions d'automatisation sont décryptées au regard des risques de fraude. Si elles apparaissent comme des portes d'entrées aux faudeurs, utilisées à bon escient elles sont aussi un moyen de lutter efficacement contre.

"La fraude a encore de très beaux jours devant elle, estime Eric Vernier. Les criminels ont un train d'avance et n'hésitent pas à attaquer via les objets connectés, le cloud. Même la biométrie peut se dupliquer. Imaginons ces applis qui permettent de se vieillir sur une photo sur son smartphone. Certaines de ces applis sont détenues par des russes. Qu'est-ce qui les empêche de revendre les données aux chinois? De même, les tests ADN qui se multiplient notamment aux USA pour connaître ses origines, que se passerait-il si ces données ADN étaient récupérées par des mafias?", conclut Eric Vernier. Autant de scénarios qui font froid dans le dos.