Ces fraudes qui font trembler les entreprises...

En France, 68% des entreprises déclarent avoir été victimes d’une fraude ces deux dernières années. Focus sur les techniques les plus courantes, notamment la fraude aux faux virements, et surtout sur les solutions pour contrer ces escrocs des temps modernes.

Avec Thierry Pezennec, Chef de la section de lutte contre les escroqueries, Direction Centrale de la Police Judiciaire / O.C.R.G.D.F. et Yves Destrebecq, Responsable Prévention contre la Fraude, HSBC France.

La fraude a toujours existé, mais avec les nouvelles technologies et l’accélération des transactions, le phénomène s’accentue à mesure que les pratiques, toujours plus élaborées, se diversifient.

« En 2016, constate Yves Destrebecq, le nombre de fraudes a augmenté de plus de 13 points par rapport à 2014⁽¹⁾. Il s’agit en partie, poursuit-il, de fraudes par ingénierie sociale. Les instigateurs de ce type de fraudes vont cibler un salarié de l’entreprise et tenter de le manipuler jusqu’à l’amener à effectuer une opération bancaire au crédit d’un compte, le plus souvent basé à l’étranger. »

Les chiffres-clés depuis 2010 en France des fraudes aux faux virements

• 650 millions d’euros de pertes cumulées
• Plus de 1 milliard d’euros de tentatives de fraude
• 1 800 sociétés victimes

À la Direction Centrale de la Police Judiciaire, Thierry Pezennec est plus particulièrement en charge des transferts de fonds frauduleux. Difficile d’en faire un panorama exhaustif, car les fraudeurs souvent organisés en véritables sociétés, redoublent d’inventivité. On peut toutefois décrire trois scénarii principaux :

La fraude au Président.

Après avoir défrayé les médias, celle-ci a même inspiré un film au titre expressif : « Je compte sur vous » avec Vincent Elbaz. Le fraudeur se fait passer pour une personne haut placée dans l’entreprise ou intervenant pour un cabinet d’audit mandaté, et adresse par e-mail ou par téléphone, une demande urgente et confidentielle de virement auprès d’un salarié du service comptable (le plus souvent) de l’entreprise. L’un des prétextes invoqués : réaliser une OPA sur une société étrangère. Tout est fictif dans l’histoire sauf le salarié qui s’exécute sous la pression… et l’argent qui s’évade bel et bien vers un compte à l’étranger !

La fraude au changement de coordonnées bancaires.

Le principe est simple, mais l’exécution très élaborée. Le fraudeur se fait passer pour l’un des fournisseurs ou le bailleur de l’entreprise et adresse au service comptable de l’entreprise une demande de changement des coordonnées bancaires du fournisseur ou du bailleur. Le fraudeur détourne ainsi à son profit les paiements des prestations dues au fournisseur ou au bailleur dont il a usurpé l’identité. « Pour réussir une telle opération, confie Yves Destrebecq, les escrocs deviennent des experts en veille économique. Ils se renseignent sur les organigrammes des sociétés, leurs activités, leurs contacts, captent des informations sur les réseaux sociaux... Ils peuvent ainsi envoyer des e-mails ou courriers parfaitement crédibles à leurs destinataires. » Les motifs de contact sont variés mais certains reviennent fréquemment. « Un bien immobilier qui a été racheté par un nouveau bailleur, le service comptabilité du fournisseur ou du bailleur qui a été externalisé à l’étranger, les paiements des futures factures qui sont désormais à adresser à une société d’affacturage… sont particulièrement plébiscités par les escrocs », ajoute Thierry Pezennec.

La fraude informatique.

L’escroc se fait passer pour un prestataire de l’entreprise, voire de la banque, et demande l’exécution d’un « virement test » vers un compte étranger. La mise en œuvre des normes SEPA a d’ailleurs créé pour les fraudeurs de nouvelles opportunités d’intervention.

Il peut aussi solliciter l’installation de logiciels, par téléphone ou par e-mail (phishing), qui permettront de récupérer des informations de sécurité tels que les identifiants de connexion à la banque à distance ou de pirater le système informatique de l’entreprise.

L’un des logiciels malveillants (malwares) les plus dangereux est le Dridex, identifié dès juillet 2014 et repéré dans au moins 26 pays, qui a infecté un nombre important de postes de travail.

Selon Thierry Pezennec, « si les fraudes au Président, du fait de leur médiatisation, sont en perte de vitesse dans les grandes entreprises, elles restent une réelle menace pour les PME moins averties ». Les fraudes aux coordonnées bancaires sont, quant à elles, en forte progression. « C’est d’autant plus préoccupant, souligne Yves Destrebecq, que l’entreprise victime ne réalise qu’un ou deux mois plus tard qu’elle a été dupée, quand son vrai fournisseur ou bailleur vient la relancer sur une facture dont elle croyait de bonne foi s’être déjà acquittée ! »

Comment se prémunir contre les fraudeurs ?

Pour Thierry Pezennec, les techniques d’ingénierie sociale utilisées par les fraudeurs s’appuient toutes sur les fragilités internes de l’entreprise, en faisant pression sur un salarié insuffisamment formé et sensibilisé à ce type d’escroqueries. 5 types de mesures, assez simples à mettre en place, vous permettent de contrer ces attaques.

Maîtrisez les informations sensibles.

Ayez en tête que toute information sensible publiée sur votre site ou sur les réseaux sociaux peut être utilisée à des fins frauduleuses. Dressez une liste de ce qui doit rester confidentiel, ne pas être divulgué même oralement, ou être communiqué de façon sélective.

Sensibilisez vos collaborateurs.

Un collaborateur sensibilisé et averti aura le réflexe de se poser les bonnes questions : « Est-ce bien mon fournisseur qui m’adresse ses nouvelles coordonnées bancaires domiciliées à l’étranger ? Cette demande de virement me parait-elle légitime ? » Au moindre doute, le collaborateur en réfèrera à sa hiérarchie et refusera la transaction.

Définissez et respectez des procédures internes adaptées.

Désignez clairement les personnes habilitées à effectuer des virements et répartissez les responsabilités : évitez que l’un des utilisateurs au sein de votre entreprise puisse tout faire : ajouter un compte bénéficiaire, saisir une opération, la valider.

Procédez aux vérifications nécessaires.

Dans le cas d’un changement de domiciliation bancaire, un contre-appel auprès du contact habituel de votre entreprise s’impose en utilisant les coordonnées téléphoniques déjà en votre possession, d’autant que l’opération ne représente pas d’urgence particulière.

Protégez-vous des logiciels malveillants (malwares).

Pour contrer l’action des malwares, HSBC met à votre disposition deux logiciels gratuits en complément de votre antivirus : Trusteer (pour les clients Elys PC) et Webroot (pour les clients HSBCnet).

Pour en savoir plus et bien vous préparer en cas de fraude,téléchargez notre brochure (PDF, 3.28MB).Vous pouvez également consulter notre espace dédié à la sécurité & la fraude, accessible à l’adresse suivante: www.hsbc.fr/securite

Des conférences sont organisées régulièrement à Paris et en Province en présence d’intervenants de l’O.C.R.G.D.F. sur Paris, et la Direction Interrégionale de la Police Judiciaire (DIPJ) en Province.

Enfin, les chargés d’affaires HSBC, formés sur ces sujets, se tiennent à votre disposition pour vous informer et vous accompagner dans vos démarches de sécurisation de vos transactions financières.

Le point sur les principales menaces et les parades à mettre en œuvre.

Lire l'article >