Si je vous dis « fraude au président » à quoi pensez-vous ? François Hollande se serait-il fait escroquer ? Une célèbre marque de beurre aurait-elle été contrefaite ? Point de duperie fromagère cachée sous cette expression sibylline mais une arnaque en vogue bien rodée qui vise les entreprises de tous secteurs d’activité et de toutes tailles. L’escroquerie consiste à se faire passer pour le PDG de la société et à demander un virement urgent de fonds. En France, depuis 2010, le montant du préjudice global est estimé à plus de 300 millions d’euros ! Se prémunir de ce fléau économique tient en trois préceptes : connaître les méthodes de l’ennemi ; savoir les contrer ; être vigilant à tous les niveaux de l’entreprise.
Des pirates du XXIe siècle, invisibles et bien armés
Ces pirates d’un genre nouveau, qui s’abritent derrière l’anonymat offert par les méandres de la toile, ne s’attaquent pas seulement aux gros paquebots du CAC40 (Vinci, Michelin…) mais aussi aux petits barques voguant sous la bannière PME. Le mode opératoire reste sensiblement identique et se construit autour de cinq principes forts :
– Un travail préparatoire digne des RG : les escrocs vont se donner le temps de connaître à fond les rouages de l’entreprise, son organigramme, le nom des décideurs, mais aussi le jargon professionnel qu’ils vont s’approprier. Durant des mois, ils passent au peigne fin les réseaux sociaux de la société et de ses salariés et épluchent les publications officielles (statuts, comptes rendus, courriers internes, comptes annuels…) et les communiqués de presse.
– Le moment opportun pour attaquer : il s’agit pour les pirates d’agir vite afin de ne pas être démasqués avant d’avoir finalisé le transfert d’argent sur un compte offshore. Les veilles de ponts ou les périodes de congés sont logiquement privilégiées.
– L’usurpation d’identité : les voleurs se font généralement passer, par téléphone ou par courriel, pour l’un des décideurs de la société. Ils ne lésinent pas sur les moyens pour arriver à leurs fins : un synthétiseur de voix leur permet de tromper les plus proches collaborateurs du chef d’entreprise ; la boîte de courrier électronique du PDG peut être piratée, à moins que les escrocs se contentent d’en créer une qui fasse illusion.
– Le choix méticuleux de l’interlocuteur : afin d’agir vite et sans être soupçonnés, les escrocs doivent absolument connaître le nom et les coordonnées directes d’un salarié ayant accès aux comptes de l’entreprise, généralement le comptable ou le directeur financier.
– L’art de la persuasion : les pirates doivent convaincre l’interlocuteur ciblé de procéder au virement de toute urgence et de le faire confidentiellement. Pour cela, ils usent de toutes sortes de subterfuges, évoquant un redressement fiscal ou une opportunité de rachat à saisir, usant de la flatterie pour endormir la méfiance du comptable et le mener par le bout du nez.
Comment se prémunir de telles attaques ?
Faites tout d’abord un premier état des lieux général :
- Jaugez le niveau de vulnérabilité de votre entreprise ;
- Repérez ses failles ;
- Recensez les différentes procédures.
Puis, suivez les quatre préconisations suivantes :
1/ Attachez-vous à sécuriser vos procédures de virements :
- En confiant la préparation du virement et sa mise en œuvre à deux employés différents.
- En travaillant main dans la main avec votre banquier : systématisation du contre-appel en cas de dépassement d’un certain seuil pour les virements manuels ou en cas de virements manuels fractionnés.
- En limitant au maximum le recours à ce mode de paiement.
2/ Contrôlez la diffusion des informations relatives à la société et l’accès à vos données internes :
- En suivant les dernières règles en matière de cybersécurité: sécurisation de l’accès à l’intranet, protection optimale et à jour des systèmes informatiques ;
- En concevant vos supports de communication internes et externes sans jamais divulguer d’informations sensibles ;
- En ne diffusant sur les sites spécialisés (infogreffe, société.com, verif.com) que les documents dont la publication est imposée par le législateur ;
- En délivrant aux investisseurs potentiels assez d’informations pour qu’ils ne vous reprochent pas un manque de transparence tout en les choisissant minutieusement pour éviter que des personnes mal intentionnées en fassent un usage malveillant.
3/ Éduquez vos salariés et vos prestataires :
- En les informant, à tous les niveaux et tous les postes de l’entreprise, de l’existence de ce type de fraude : exposez les modes opératoires des escrocs, puis présentez en assemblée générale ou réunions de service les salariés et dirigeants de la société qui sont susceptibles d’être des cibles privilégiées.
- En insistant sur une notion élémentaire de base : parce qu’ils sont garants du respect des procédures de virement, le PDG et le DG ne demanderont jamais à un salarié de l’entreprise de passer outre.
- En formant plus particulièrement un « référent fraude » qui sera le premier avisé dès qu’une tentative de fraude est détectée.
- En mettant régulièrement à l’épreuve vos procédures par des simulations grandeur nature, qui peuvent être confiées à un cabinet extérieur.
4 / Souscrivez un contrat d’assurance spécifique :
Les assureurs proposent plusieurs types de contrats contre le risque de fraude en entreprise et notamment contre la fraude au président. Les montants moyens des primes demandées par les assureurs avoisinent 1 % de la garantie achetée. Les sinistres étant spectaculaires et les pirates s’acharnant parfois plusieurs fois par an sur la même société, les compagnies d’assurances spécialisées dans ce secteur pointu n’hésitent pas à durcir les conditions d’indemnisation et/ou de souscription, et à augmenter le montant des franchises.
En conclusion, nous pouvons dire que la mise en œuvre de ces mesures au sein d’une PME n’est pas toujours évidente. Il s’agit alors d’adapter ces préconisations aux spécificités de la structure et de son secteur d’activité.