Fraude au président : vous êtes une cible, ne devenez pas une victime

Vous êtes contrôleur dans une PME ou dans une filiale d’une grande entreprise. Il est vendredi, 16 h, vous recevez un courriel de la part de votre président. Il vous explique avoir choisi de vous confier une tâche importante et confidentielle : procéder en toute urgence à un virement de fonds vers un compte bancaire à l’étranger pour boucler une transaction. Il vous a choisi spécifiquement, car vous êtes quelqu’un en qui il peut avoir confiance et il s’agit d’une transaction d’une importance capitale pour l’entreprise. Bien sûr, il compte sur votre discrétion puisque la transaction est confidentielle. Tout de suite après ce courriel, un avocat vous appelle pour vous donner tous les détails nécessaires et toutes les instructions relativement au transfert de fonds. Flatté que le président vous ait choisi pour procéder à cette mission cruciale, vous suivez les instructions et procédez au virement.

Votre vie vient de basculer : vous avez été victime d’une fraude au président.

Les fraudes par faux ordre de virement international

La fraude au président est l’un des types de fraude dont l’objectif est de provoquer un transfert de fonds non autorisé. Un faux dirigeant exige de sa victime qu’elle effectue un virement international urgent. Un soi-disant avocat, identifié dans le courriel frauduleux, prend ensuite le relais pour donner des instructions supplémentaires à sa victime.

Les fraudeurs ne se limitent pas à cette seule stratégie. D’autres escroqueries sont commises pour provoquer des virements internationaux non autorisés.

Le technicien bancaire

Le fraudeur se présente comme un technicien bancaire qui doit procéder à un test de virement. Il assure sa victime que les transactions réalisées sont entièrement fictives et lui donne des consignes précises. Guidée par le fraudeur, la victime déclenche, à son insu, un véritable transfert de fonds ou donne accès à des renseignements qui seront utilisés par les malfaiteurs pour voler l’entreprise.

Le changement de compte du fournisseur

L’escroc prétend être le nouveau comptable d’un fournisseur de votre entreprise et demande à sa victime de modifier ses coordonnées bancaires. Les sommes transférées aux nouvelles coordonnées ne se rendront jamais au fournisseur, mais finiront dans les poches des fraudeurs.

Ces fraudes sont le plus souvent perpétrées au moyen d’un courriel ciblé envoyé à la victime, suivi par un appel visant à exercer une pression psychologique intense sur la personne. Avant de lancer ces offensives, les fraudeurs étudient leur cible, parfois pendant plusieurs mois. Recherche dans les réseaux sociaux, appels, demandes de sondages et courriels ciblés sont les techniques utilisées pour recueillir le plus de renseignements possible sur l’entreprise, ses dirigeants et leurs habitudes.

Des fraudes en plein essor

Les fraudes par faux ordre de virement international touchent des entreprises partout dans le monde. En France, plus de 700 entreprises de toutes tailles ont été victimes de ce type de fraude et plus de 300 millions d’euros ont été volés de cette manière depuis 2010.

Selon le FBI, le phénomène serait en hausse aux États-Unis. D’octobre 2013 à décembre 2014, l’agence américaine estimait les dommages causés par ces fraudes à 180 millions de dollars, et le nombre d’entreprises victimes à environ 1 200. De janvier à août 2015, ce sont plus de 5 800 entreprises qui ont rapporté avoir été victimes de ces escroqueries, pour un total de pertes d’environ 570 millions de dollars.

Au Québec, la Sûreté du Québec affirme avoir examiné une soixantaine de plaintes concernant des fraudes par faux ordre de virement international depuis 2014. Environ 16 millions de dollars auraient ainsi été volés dans de grandes et de petites organisations, et tout indique que ces chiffres ne représentent que la pointe de l’iceberg. En effet, le Centre antifraude de la Gendarmerie royale du Canada estime que seulement cinq pour cent des fraudes ou des tentatives de fraude sont dénoncées.

Des conséquences qui vont au-delà des chiffres

Les conséquences de ces fraudes sont souvent importantes. Une PME française victime d’une fraude de 1,6 million d’euros a ainsi été acculée à la faillite. La trésorerie est à sec et l’entreprise a dû se placer en redressement judiciaire. Plus de quarante employés risquent de perdre leur emploi. Au Saguenay, début novembre 2015, une PME d’une centaine d’employés a révélé avoir été fraudée pour un montant d’environ un million de dollars en septembre. Les conséquences pour l’entreprise seront sans doute importantes.

Les répercussions des fraudes vont cependant bien au-delà des chiffres. Les employés directement victimes de ces escroqueries vivent fréquemment d’importantes séquelles psychologiques, en plus de subir de sérieux contrecoups professionnels : diminution des responsabilités, licenciement et période de chômage prolongée. Embaucheriez-vous un contrôleur responsable de la perte de sommes importantes aux mains de fraudeurs?

Peu de recours possibles

Dans de rares situations, l’argent a pu être récupéré. Il peut arriver que le nombre de virements, leur montant élevé ou leur destination inhabituelle éveille les soupçons du personnel de la banque, qui bloque alors l’opération. Des vérifications sommaires du comptable de l’entreprise peuvent également permettre de détecter rapidement la fraude. Si elle est signalée dans les 24 à 48 heures suivantes, il est possible que la banque puisse récupérer le virement.

S’il est trop tard pour empêcher la fraude, vous devez communiquer avec votre assureur, puisque la couverture générale sur la fraude pourrait s’appliquer. Vous pouvez aussi tenter de poursuivre votre institution financière si elle n’a pas mis en oeuvre les vérifications nécessaires. Deux banques françaises ont ainsi été condamnées pour manque de vigilance et contraintes à dédommager des entreprises victimes de fraude. Les entreprises ayant été dédommagées par leur banque ne représentent cependant qu’une faible minorité des victimes.

De plus, si vous représentez une société ouverte, il est fort probable que la fraude devra faire l’objet d’une divulgation publique, puisqu’il s’agit d’un signe que les mesures de contrôle interne ont failli. Aux États-Unis, des sociétés comme Ubiquiti Networks et Xoom Corp ont dû divulguer des faiblesses importantes de contrôle interne après avoir été victimes de fraudes pour des montants respectifs de 47 millions et de 31 millions de dollars.

Il est finalement impératif de porter plainte à la Sûreté du Québec ou à la Gendarmerie royale du Canada.

Une fraude facile à réaliser…

Tout indique que le phénomène de la fraude au président pourrait prendre de l’ampleur dans les prochaines années. Il s’agit en effet d’un moyen pour les fraudeurs de voler d’importantes sommes d’argent en prenant peu de risques : il est généralement très difficile de repérer les escrocs, et l’absence de violence physique lors de l’opération limite les peines imposées s’ils se font prendre.

De plus, les fraudes par faux ordre de virement international ne nécessitent que des moyens techniques à la portée de tous. En effet, pour commettre ce type de fraude il suffit d’avoir :

  • un numéro de téléphone local;
  • une adresse de courriel ressemblant à celle du président, du cabinet juridique, de la firme comptable, etc.;
  • de l’information sur l’organisation, les responsables, leurs déplacements,leurs amis, leurs champs d’intérêt, etc.;
  • un compte bancaire à l’étranger.

Tous ces éléments sont soit très courants, soit faciles à obtenir grâce aux technologies actuelles et aux réseaux sociaux, qui regorgent d’information que peuvent utiliser les fraudeurs.

… et qui exploite les failles dans la sécurité des entreprises

Si les fraudes par faux ordre de virement international se multiplient, c’est avant tout parce que de trop nombreuses entreprises souffrent d’importantes failles de sécurité. En effet, ces fraudes ne peuvent avoir lieu que dans un environnement où les systèmes de contrôle interne sont déficients. Bien souvent, les moyens technologiques déployés pour assurer la sécurité de l’entreprise sont insuffisants, ce qui ouvre la porte aux fraudeurs.

Le manque de sensibilisation aux risques de fraude et la méconnaissance des stratégies les plus courantes auxquelles les escrocs ont recours constituent également des failles majeures dans l’infrastructure de gestion de risques d’une entreprise. L’idée selon laquelle « la fraude, ça n’arrive qu’aux autres » est encore aujourd’hui malheureusement trop répandue dans les entreprises et explique le manque d’attention portée aux mesures de prévention de la fraude.

La responsabilité du chef d’entreprise

Le dirigeant d’entreprise a la responsabilité de mettre en place les contrôles pour empêcher qu’une fraude par faux ordre de virement international survienne dans son organisation. Il est de son ressort de s’assurer personnellement que des mesures de prévention sont prévues et sont effectivement appliquées. Ces mesures comprennent une campagne de sensibilisation continue, des outils de sécurité technologiques et des contrôles internes robustes.

L’importance de la sensibilisation

Une campagne de sensibilisation adéquate et continue aux risques de fraude est la première mesure de prévention qui devrait être adoptée. Elle doit être dirigée personnellement par le président, afin de signaler clairement à tous les employés l’importance qu’accorde la haute direction de l’entreprise à ce problème. Elle doit également cibler particulièrement les personnes à risques, c’est-à-dire celles qui ont accès aux fonds de l’entreprise ou qui ont l’autorité nécessaire pour déclencher des virements.

Le président doit faire circuler son message : si vous recevez une demande urgente et confidentielle de ma part, faites-moi attendre et vérifiez la demande!

Le premier objectif d’une campagne de sensibilisation aux risques de fraude est de développer, à l’intérieur de l’organisation, la capacité de reconnaître les situations potentiellement problématiques. Ainsi, une telle campagne doit fournir des exemples de scénarios frauduleux et mettre l’accent sur les caractéristiques qui permettent de les reconnaître. Parmi celles-ci, notons les demandes urgentes (particulièrement lorsqu’elles émanent de la haute direction), les requêtes des dirigeants provenant de leurs comptes de courriel personnels et des adresses de courriel ou des noms de domaine qui présentent de légères différences par rapport à ceux de l’entreprise (l’ajout d’une lettre au nom du dirigeant, un nom de domaine « abe.com » au lieu de « abc.com »).

Le deuxième objectif d’une telle campagne est de développer chez les employés les bons réflexes en cas de situations suspectes. Le réflexe le plus important consiste à ne jamais accepter de procéder à un virement, de divulguer de l’information ou de modifier des coordonnées bancaires sans une deuxième vérification, en dehors du système de courriel. Un simple appel téléphonique suffit la plupart du temps, à condition de ne pas se fier aux numéros de téléphone contenus dans les courriels suspects et d’utiliser une source fiable pour valider les coordonnées des personnes responsables. Ce simple réflexe pourrait permettre à votre entreprise d’éviter une fraude.

Il est également d’une importance cruciale de sensibiliser tous les employés aux dangers que pose la diffusion d’informations confidentielles. Les voyages prévus par le président de l’entreprise, par exemple, ne devraient en aucun cas être rendus publics. Dans de nombreuses fraudes, les malfaiteurs se sont servis de renseignements de ce type pour perpétrer leur vol, sachant que le président ne serait pas joignable par les voies habituelles.

Des outils de sécurité technologiques efficaces

De nombreux outils de sécurité technologiques existent pour vous protéger des tentatives de fraude. Bien qu’aucun de ces outils ne soit en lui-même une garantie contre des attaques frauduleuses, leur utilisation combinée permet d’ériger des barrières difficiles à surmonter pour les fraudeurs.

Votre système de virement doit d’abord être protégé par une authentification à deux facteurs, qui consiste généralement à combiner un identifiant ou mot de passe détenu par une personne et un code temporaire géré par un objet physique (téléphone cellulaire, jeton d’authentification, clé USB, etc.) détenu par une deuxième personne. Ce type d’authentification réduit au minimum les risques qu’un pirate puisse déclencher un virement non autorisé.

Un outil de vérification et de filtrage des courriels contribue aussi à assurer la sécurité de votre système en désamorçant plusieurs menaces potentielles. Cet outil procède à une identification visuelle des courriels externes, signale les courriels utilisant des noms de domaine similaires à celui de votre entreprise et permet de générer des listes noires pour bloquer les courriels dangereux qui passent entre les mailles du filtre antipourriel.

Implanter un système de détection des intrusions et activer les journaux de sécurité sur vos serveurs figurent parmi les meilleures pratiques. Vous serez mieux à même de repérer les activités suspectes sur votre réseau et de recueillir de l’information sur les tentatives de piratage dont votre entreprise fait l’objet. Si l’attaque réussit, les journaux de sécurité seront essentiels pour enquêter et notamment s’assurer que l’attaque n’a pas été perpétrée avec des complices au sein de l’organisation.

Des contrôles internes robustes

Le renforcement de vos contrôles internes est la composante la plus importante d’une stratégie de prévention de la fraude. Une réévaluation complète de votre programme antifraude pourrait être de mise afin d’évaluer les risques liés à la fraude au président et de mettre en oeuvre des contrôles appropriés.

Vos politiques de contrôle de virements doivent faire l’objet d’une attention particulière, tout comme la sécurité de votre système de virement. Vous devez impérativement examiner les questions suivantes :

  • Qui a accès au système permettant d’effectuer des virements?
  • Une seule personne peut-elle envoyer un virement?
  • Les limites de virement sont-elles trop élevées?
  • Les mots de passe du système de virement sont-ils sécuritaires (longueur, changement, complexité, désactivation automatique, etc.)?
  • L’authentification à deux facteurs est-elle utilisée?

La sécurité de tous vos systèmes doit également être évaluée de manière globale. Une telle analyse permettra de savoir si des pirates sont déjà installés dans votre environnement informatique, si vous êtes ou avez déjà été la cible d’attaques et si vous disposez de ressources humaines et matérielles suffisantes pour détecter et contrer une attaque.

Votre banque peut s’avérer un allié important dans votre stratégie antifraude. Il est important de vous assurer avec elle que les contrôles sont bien conçus pour prévenir ce type de fraude. De plus, il est fortement conseillé de demander que soient implantés des contrôles accrus sur les virements inhabituels, comme une vérification au téléphone avec confirmation de l’identité.

S’assurer de la sécurité à long terme

Une fois les contrôles internes renforcés, il est crucial de valider régulièrement vos procédures de contrôle. Cela permettra de vous assurer qu’elles sont bien mises en oeuvre et fonctionnent correctement. Une évaluation régulière de vos procédures de contrôle vous permettra également de les mettre à jour afin de faire face aux nouvelles menaces qui ne manqueront pas d’apparaître dans les prochaines années.

L’unique façon d’assurer la sécurité de votre entreprise à long terme est de miser sur une stratégie holistique de gestion des risques de fraude. Seule une telle stratégie permettra d’identifier les risques de fraude les plus importants, de mettre en place des contrôles appropriés à chaque scénario et d’évaluer les mesures en place.

Combattre à armes égales

Ne vous faites aucune illusion : les fraudeurs qui vous ciblent font partie d’organisations criminelles structurées. Pour parvenir à leurs fins, ils disposent d’un savoir-faire sophistiqué et d’outils informatiques à la fine pointe de la technologie. Votre organisation peut-elle en dire autant?

Peu d’entreprises peuvent prétendre être en mesure de combattre à armes égales avec des fraudeurs professionnels. Par conséquent, l’aide d’experts dans le domaine de la lutte contre la fraude est indispensable pour assurer la sécurité de vos activités. Vous êtes une cible. Ne prenez pas le risque de devenir une victime.

Inscrivez-vous à nos publications

À propos de Richter : Fondé à Montréal en 1926, Richter est un cabinet comptable autorisé qui offre des services de certification, de fiscalité et de gestion de patrimoine, ainsi que des services-conseils financiers dans les domaines de la restructuration organisationnelle et de l’insolvabilité, de l’évaluation et du financement d’entreprises, du soutien en matière de litiges financiers et de la juricomptabilité. Notre engagement envers l’excellence, notre compréhension approfondie des enjeux financiers et nos méthodes pratiques de résolution de problèmes nous ont permis de devenir l’un des plus importants cabinets indépendants d’expertise comptable, de services-conseils organisationnels et de consultation au pays. Richter a des bureaux à Toronto et à Montréal. Vous pouvez nous suivre sur LinkedIn, Facebook ou Twitter.

 

Experts