LA FRAUDE INTERNE
Insidieuse et discrète, la fraude interne peut s’installer au sein des processus de manière absolument invisible et durable. Selon Euler Hermès, elle touche 18% des entreprises françaises et plus d’un tiers dépassent les 100.000 euros de pertes. Sylvain KAM, expert en sécurisation des flux financiers chez MATA, nous rappelle ce qu’est la fraude interne et comment elle peut s’insinuer dans les processus de toutes les entreprises. Qu’est-ce que la fraude interne ? Vos collaborateurs ont souvent l’intuition adéquate, ils font preuve d’initiatives personnelles qui permettent d’éviter de nombreuses fraudes. Pourtant, certains d’entre eux vont dévisser et profiter d’une faille dans votre organisation pour détourner des fonds. Cette fraude, mise en place à l’initiative d’un ou plusieurs collaborateur(s) de l’entreprise peut prendre une multitude de formes, mais en règle générale, le fraudeur est plutôt solitaire, une situation qui lui permet de détourner les fonds de l’entreprise en diminuant les risques. La fraude interne touche toutes les sociétés, quels que soient leur taille et leur secteur d’activité. Dans tous les cas la fraude apparaît quand une personne a trop de pouvoir et qu’elle peut agir sans contrôle. La fraude dure souvent depuis plusieurs mois et même plusieurs années… A quel type de fraude interne une entreprise peut-elle devoir faire face ? (fraude documentaire, fraude chronologique, excès de frais…) Tous les services de l’entreprise peuvent être touchés par la fraude. Fausses notes de frais à tous les niveaux de responsabilité, détournements de paiements, fraude informatique… le collaborateur fraudeur est souvent au-dessus de tout soupçon ! Ressources humaines – La fraude sur salaire Les services RH fonctionnent souvent en circuit fermé. Peu de personnes peuvent contrôler les salaires considérés comme données confidentielles sensibles. Les équipes en responsabilité sont donc fréquemment relativement resserrées, il devient dès lors relativement complexe de voir venir la fraude sur paie. Pourtant, il est bel et bien possible de détourner une partie des salaires des autres salariés, soit en prélevant des sommes insignifiantes sur les salaires de nombreux collaborateurs, soit par exemple en créant un faux salarié qui perçoit des émoluments que le fraudeur rapatrie sur un compte dédié… Des risques, des tentations, bien réels si le DRH ou gestionnaire RH a trop de pouvoirs : créer des salariés, générer les salaires et activer le payement des salaires par exemple. Veillez à éviter absolument ces situations quel que soit le moment de l’années (congés), et à mettre en place des contrôles systématiques, comme distinguer celui qui ordonne le paiement de celui qui l’effectue. Informatique – La fraude de détournement Les services IT peuvent avoir accès à la totalité des données de l’entreprise. Les collaborateurs sont notamment habilités à attribuer les droits, écrire, crypter et sauvegarder les données. Ils maîtrisent tout ou partie de la chaîne et peuvent être tentés d’en abuser. Il est facile de créer ou modifier un fichier de règlement sur un serveur avant paiement par exemple. Le fraudeur modifie un numéro de compte entre l’ordre de paiement et le passage du règlement et ainsi peut encaisser des montants indus sur un compte qu’il aura créé au préalable. Le contrôle humain dans ce cas peut être utile mais il a aussi ses limites. Il est préférable d’être appuyé par une solution informatique automatisée. Comptabilité – La fraude au fournisseur Dans le volume des frais d’une entreprise, le suivi comptable peut parfois être flou ou soumis à des urgences et à des délais incompressibles. Le fraudeur peut alors changer le compte de destination d’un ou plusieurs règlement(s), ou encore régler involontairement la facture d’un faux fournisseur dans la masse. Le risque est accru lorsque l’on traite avec des fournisseurs à l’étranger. Le fraudeur peut remplacer le compte d’un fournisseur hors Europe par un compte dédié à la fraude, ouvert sous un prête-nom, qui sera clôturé immédiatement après l’opération. Cette fraude est fréquemment rencontrée lorsqu’une seule et même personne peut générer une facture et la payer elle-même sans contrôle. Il faut absolument déployer le double contrôle, même dans les petites structures, car dans le domaine comptable, les fraudes peuvent être nombreuses : détournement des avoirs clients, réalisation de faux avoir et virement sur un compte personnel… Comment éviter les fraudes & quelle solution MATA propose ? Nous l’avons vu précédemment avec Sylvain, il est fortement recommandé d’instaurer un dispositif de double contrôle systématique et de dissocier les rôles dans la chaîne de paiement. Malgré tout, la fraude interne reste toujours possible, « Mata IO Sécurité » est une solution globale qui s’intercale entre tous vos logiciels (ERP, outils comptables, paie) et les banques, et contrôle toutes les coordonnées payées. Une personne doit valider les comptes systématiquement et une séparation des taches est mise en place par l’outil. Une même personne ne peut donc plus avoir tous les pouvoirs ! Dans le cas de la création d’un nouveau salarié, le nouveau compte doit être validé par une personne différente de celle qui l’a créé. Les comptes sont catégorisés, reliés à certains fichiers de règlements et on vérifie les correspondances entre la raison sociale et le numéro de compte pour bloquer les cas de fraude au faux fournisseur. Toutes les anomalies identifiées par « Mata IO Sécurité » provoquent un blocage automatique et une analyse humaine qui doit valider l’action. La chaîne définie à la mise en place de la solution est non dérogatoire et la cryptographie permet d’éviter les fraudes informatiques. De plus, il existe des contrôles supplémentaires comme la mise en place d’indicateurs sur la chaîne de règlement, qui analysent les dépassements sur plafonds définis à l’installation, sur une période ou sur un même compte bancaire, ou si le même compte existe sur plusieurs règlements (paiement de deux salariés sur un même compte). Un bon processus de contrôle appuyé de la solution Mata I/O garantit un niveau de protection optimal contre la fraude.
LES FRAUDES FINANCIÈRES LES PLUS FRÉQUENTES DANS LES TPE, PME ET GRANDES ENTREPRISES
Les 3 moyens de fraudes financières les plus répandus en France et en Europe Les entreprises, quelle que soit leur taille, sont fréquemment vulnérables dans leurs processus de paiement par ignorance ou par excès de confiance. Les fraudeurs s’appuient sur ces faiblesses pour répéter leurs actions. L’information reste le seul moyen de protéger votre talon d’Achille et de mettre en place des solutions durables qui permettent d’éviter les fraudes. Sylvain KAM, expert en sécurisation des flux financiers chez MATA, nous rappelle quelles sont les fraudes les plus fréquemment rencontrées dans nos entreprises. Quels sont les moyens de fraudes les plus fréquents ? La fraude au président, les faux ordres de virement, la fraude aux coordonnées bancaires, le pishing ? Les fraudes les plus courantes sont autant humaines qu’informatiques. Les premières sont généralement le fait d’une personne qui, par opportunisme, détourne en toute discrétion pendant des mois ou des années, des sommes relativement raisonnables, dont le cumul peut représenter des montants absolument significatifs. Les secondes sont plutôt des actions préparées et construites pendant des semaines, voire des mois, en amont par des équipes expertes en fraude. Elles sont mises en place de manière invisible et lorsqu’elles impactent la société, ce sont des montants réellement astronomiques qui sont détournés des fonds de l’entreprise. Les fraudes au faux fournisseur Selon EULER HERMES, la fraude au faux fournisseur est la plus répandue puisqu’elle représente plus de 54% des tentatives de fraude selon leur étude de 2018. Le principe est simple, un faux fournisseur ou une fausse société d’affacturage met en place les éléments nécessaires pour se faire payer le montant d’une ou plusieurs véritable(s) facture(s), émise(s) par un véritable fournisseur. Le fonctionnement est simple pour réaliser ce détournement : une personne de la comptabilité reçoit un courrier à en-tête d’un fournisseur l’informant d’un changement de coordonnées bancaires. Ce courrier porte tous les détails qui le rendent crédible : coordonnées, logos, numéros et signature manuscrite du Directeur. La personne de la comptabilité procède alors à la modification des coordonnées bancaires et la fraude se déroule en toute discrétion, pendant des semaines, jusqu’à ce que le véritable fournisseur impayé se manifeste. A ce moment, les deux sociétés découvrent qu’elles sont victimes d’une fraude au faux fournisseur… et le montant global escroqué. Ces sont fréquemment des actions « one shot », très difficiles à tracer et les montants peuvent être spectaculaires. Souvent les opérations se font de l’étranger, il est impossible de récupérer les fonds car juridiquement l’entreprise n’est pas couverte puisqu’elle a validé le paiement. La banque n’est pas tenue de rembourser. Les cibles privilégiées sont les entreprises qui ont des activités avec des fournisseurs situés géographiquement à l’étranger. La cybercriminalité – Les ransomware La cybercriminalité, c’est 50% des tentatives de fraudes avec une part de 20% pour les ransomware. Cette menace est à prendre au sérieux à tous les niveaux de l’entreprise car c’est le réseau entier qui doit être sécurisé afin de protéger toutes les données, y compris financières, comptables ou humaines. La menace vient de logiciels programmés pour crypter vos outils jusqu’au paiement d’une rançon pour débloquer la situation et relancer votre production. Dans le secteur bancaire, la fraude peut permettre de détourner des transactions financières. Il y a mille façons pour les professionnels de la fraude informatique de mettre en place ces logiciels espions qui ouvrent les portes de votre réseau et le rendent vulnérable : contrôle des postes à distance, modification de fichiers informatiques de règlement, mise en place de fichiers qui récupèrent les mots de passe nécessaires au règlement… leur créativité n’a pas de limite. Les protections informatiques à mettre en place sont nombreuses : firewall, antivirus et surveillance des utilisateurs sont obligatoires. Il est possible de les appuyer par des leviers sur la partie contrôle de logiciel bancaire, notamment avec la mise en place de la cryptographie et d’une chaîne de règlement automatisée pour être inattaquable. La fraude de manipulation – fraude au faux président, au faux banquier Ces escroqueries font de nombreuses victimes, en 2016 leur montant en France avoisinait les 500 millions d’euros*. Leur principe est simple et connu mais fonctionne toujours : une personne se fait passer pour un dirigeant ou un décideur de l’entreprise pour passer un virement exceptionnel dans l’urgence. Même si le compte n’existe pas, l’interlocuteur est mis sous pression et dans une situation d’urgence non négociable pour qu’il/elle effectue l’opération demandée de bout en bout. Le manipulateur ne lâche pas sont interlocuteur jusqu’à ce que l’opération soit terminée et le prive de tout échange avec une autre personne sous couvert de confidentialité absolue. Concernant la fraude au faux banquier, il s’agit d’une personne qui se fait passer pour un banquier qui souhaite ou doit vérifier le bon fonctionnement des opérations entre la banque et la société. Il demande un virement test qu’il va bloquer en théorie, mais en réalité à ce moment précis, il passe via un autre canal qui vient d’autoriser les échanges entre votre entreprise et une structure qui va récupérer vos fonds. Le fraudeur connait parfaitement les noms des acteurs clés de l’entreprise : l’interlocuteur qui va agir, ses collègues, le chargé de clientèle de la véritable banque, les numéros de codes etc. et tous ces détails vont tromper le salarié qui agira sans avoir de doute. Ces situations sont évitables, il faut instaurer des procédures de vérification, crypter les documents bancaires et instaurer un système de signatures multiples, notamment pour les paiements internationaux. Quelles solutions MATA propose pour protéger contre ces fraudes et comment fonctionnent-elles ? La mission de « Mata I/O Sécurité » est de s’intercaler dans la chaîne de règlements client de manière non dérogatoire. Tous les règlements subissent des contrôles de sécurité stricts et toutes les coordonnées payées sont contrôlées. Un système d’alerte spécifique à votre métier est mis en place et si une alerte survient, c’est un contrôle humain qui est effectué, par une personne différente de l’émetteur du règlement. Les valideurs sont toujours et systématiquement des personnes stratégiquement « éloignées » de