Fraude bancaire. Les escroqueries aux entreprises en plein boom
Fraude bancaire. Patrons usurpés, faux ordres… Les escroqueries aux entreprises en plein boom – Apparu dans l’Hexagone en 2010, le phénomène des faux ordres de virements connaît une recrudescence depuis l’apparition du Covid-19 et la généralisation du télétravail. Les escroqueries, de plusieurs millions d’euros, n’épargnent pas les entreprises bretonnes. Les chiffres font froid dans le dos. Tout comme la manière dont ils sont détournés. Apparues dans l’Hexagone en 2010, les escroqueries de type FOVI, pour faux ordres de virements internationaux, sont en pleine recrudescence depuis le début de la pandémie de Covid-19, en mars 2020. Deux ans après, alors que le télétravail n’est plus généralisé dans les entreprises, les arnaques se poursuivent. « Nous avons eu deux signalements ces dix derniers jours », confirme Nathalie Potin, du Medef 35. À l’image de ce patron qui préfère rester anonyme, plusieurs sociétés du bassin rennais ont fait les frais d’une arnaque bien rodée et redoutable. Apparue en 2010 dans l’Hexagone, la fraude dite « au président » continue de faire de nombreuses victimes dans les entreprises françaises. | INFOGRAPHIE OUEST-FRANCE « Il existe plusieurs types de modes opératoires » , explique le commandant de police Thierry Pezennec, chef du Service d’information, de renseignement et d’analyse stratégique sur la criminalité organisée (Sirasco) financier, rattaché à la sous-direction de la lutte contre la criminalité financière. Manipulation psychologique Le plus répandu, « dans deux-tiers des cas », se produit quand les escrocs se font passer pour un fournisseur qui prétend avoir changé d’IBAN (relevé bancaire). « Ils prétendent être dans l’attente du règlement de factures. » Autre scénario, celui dit de l’escroquerie « au faux président ». « Les personnes se font passer pour le PDG ou le gérant, et évoquent un projet de fusion/acquisition à l’étranger, par exemple, en demandant au comptable d’effectuer un virement », précise Thierry Pezennec. Un troisième scénario consiste à se faire passer pour un technicien de banque, pour obtenir les codes de la victime, ou l’inciter à virer des sommes sur un compte fourni par l’escroc. Dans tous les cas, les escroqueries sont mises en place grâce à des techniques de manipulation psychologique. « Par la persuasion et l’empathie, les escrocs arrivent à toucher les victimes. » Sur lesquelles ils sont très bien renseignés : avant même la mise en œuvre de l’escroquerie, les entreprises ciblées sont passées au crible dans les moindres détails par les malfaiteurs le plus souvent franco-israéliens. « Psychologiquement, c’est très difficile » « La phase d’observation peut durer plusieurs semaines à plusieurs mois : ils recueillent un maximum d’informations pour connaître le rôle de chacun dans la société. » Jusqu’à obtenir le précieux virement, de quelques dizaines à plusieurs centaines de milliers d’euros. « Les escrocs s’adaptent toujours au chiffre d’affaires et à la trésorerie de l’entreprise » , poursuit le commandant. Et tout va très vite. « Si on ne réagit pas dans les 24 heures, c’est fichu. » Envolé vers des pays qui ne coopèrent pas avec la France (au Moyen-Orient et en Asie, notamment), l’argent n’est que très rarement récupéré. « Outre le préjudice économique, les conséquences peuvent être dramatiques, insiste le policier. Psychologiquement, être victime de ce type d’arnaque est très difficile. » Culpabilité, honte… Un homme serait même allé jusqu’à se donner la mort. D’où la nécessité de mener des actions de sensibilisation et de prévention auprès des entreprises, de toutes tailles et de tous secteurs d’activité. « Malheureusement, nos adhérents ne se sentent pas trop concernés, ils pensent que ça arrive aux autres », regrette Nathalie Potin, du Medef 35. L’organisation a envoyé un mail à ses 3 500 adhérents, les invitant à la plus grande vigilance. Depuis 2010, 4 350 entreprises en France, victimes de fraudes type FOVI ont subi un préjudice d’1 milliard d’euros. Source : Ouest France
La fraude : un fléau aux mille visages
Fraud techniques are becoming more sophisticated and no company is immune. And for the dafs, it’s constant pressure. How to guard against it? Experts provide food for thought in a white paper entitled « Fraud: the scourge with a thousand faces ». Imagine a Daf who receives a very anxious phone call from the elderly mother of his CEO who has gone on vacation to the Maldives and who asks for money because she can no longer pay for the hotel and is about to be boarded by the police. The Daf then calls the hotel which confirms the version of the facts of the old lady. He then makes a transfer of 100,000 euros. And it was a scam! Everything was done for him to fall into the trap: same tone of voice, hotel line hacked and rerouted to the criminals,… », explains Eric Vernier, Managing Director of ISCID-CO, specialist in money laundering and tax havens and contributor to the white paper « Fraud: the scourge with a thousand faces – status reports and means of action » published by Deveryware, European expert in investigative technologies and digital services for global security, on the occasion of the presentation of the book. This story experienced by the expert within a French ETI illustrates the ingenuity of fraudsters. Fraud scenarios are multiple and increasingly sophisticated. « There are even $200 president fraud kits on the darknet, » he said. Fraud: Attacks that can last 2 years According to the latest Allianz Trade (ex-Euler Hermès) barometer on fraud, one in four French companies was the victim of fraud in 2021. “The attacks are persistent and deep. we were talking about mass attacks, now criminals do not hesitate to attack the same company for two years. And criminals do social engineering by accumulating as much information as possible via social networks (facebook, linkedin, . ..) in order to have a very detailed knowledge of the lives of business leaders who feel that their private life has been violated », underlines Eric Vernier. The absence email: a classic mistake If zero risk does not exist, there are solutions to protect against fraud. « Before, companies were not in the prevention but rather waiting for the fraud to be proven to remedy it. Not to mention that there is a kind of taboo around the subject », confirms Xavier Houillon, director fraud & financial crime within Deveryware. For this, companies must practice acculturation. » The human being is the best defense. We must train, raise awareness and inform employees , adds Eric Vernier. One of the first mistakes is the automatic email of absence. Knowing that the Daf is absent and / or on leave is all to the advantage of fraudsters. This can also go through the fact of establishing more empathy with its employees because everyone is corruptible or even giving profit-sharing to its employees as Société Générale was able to do to avoid betrayal . some companies do not hesitate to give their employees bonuses in the event of a drop in fraud . A matter of governance If the white paper makes an alarming inventory, avenues for reflection are considered. The essentials of an effective fraud risk management system are, according to the white paper: a rigorous and visible governance process, a culture of transparency and intransigence against fraud, an in-depth periodic assessment of the risk of fraud, the design , the application and updating of processes and procedures for preventive and detective control of fraud, the rapid implementation of actions in response to allegations of fraud including, where applicable, against persons suspected of having contributed to it , a remediation plan and finally a business continuity plan. The fight against fraud requires better governance on the subject. This involves first defining and drafting clear procedures and emergency measures in the event of fraud, ensuring that the security policy is known and applied by all, raising employee awareness and finally secure its processes and transactions with appropriate technological tools. Similarly, trust does not exclude control. Thus, the separation of tasks and a double validation circuit in the financial, accounting, invoicing and cash flow chain is essential. Combine human and IT Finally, AI, Saas solutions, machine learning, data mining, … all these automation solutions are deciphered with regard to the risk of fraud. If they appear as gateways to fraudsters, used wisely they are also a way to fight effectively against. « Fraud still has a very bright future ahead of it, believes Eric Vernier. Criminals are a step ahead and do not hesitate to attack via connected objects, the cloud. Even biometrics can be duplicated. Imagine these apps that allow you to age yourself in a photo on your smartphone. Some of these apps are owned by Russians. What prevents them from reselling the data to the Chinese? Similarly, DNA tests which are multiplying, particularly in the USA to know its origins, what would happen if this DNA data were collected by mafias? » , concludes Eric Vernier. So many scenarios that send shivers down your spine. Source: DAF-MAG
LA FRAUDE UN ENJEU MAJEUR ! FRAUDE AUX RÈGLEMENTS : POURQUOI EST-IL IMPORTANT DE SE PROTÉGER ?
Sylvain, chef de produit chez MATA, nous expose le développement de la fraude en France et ses dangers. Il nous expose aussi tous les avantages des logiciels contre la fraude Fraude aux règlements : pourquoi est-il important de se protéger ? Selon Euler Hermes France, 28% des entreprises interrogées déclarent avoir subi au moins une fraude avérée cette année : en d’autres termes, les fraudeurs parviennent à leurs fins environ toutes les 4 tentatives. Le risque de fraude et de cybercriminalité pèse lourdement sur la trésorerie des entreprises ». Ces fraudes aux entreprise coûtent de plus en plus cher : 33% des victimes déclarent un préjudice supérieur à 10K€ (+3 points par rapport à l’année dernière ), 14% des entreprises interrogées déplorent un préjudice supérieur à 100K€ (+4 points). Comment les fraudeurs s’y prennent-ils ? Près d’une entreprise sur deux a remarqué une recrudescence particulière du nombre d’attaques suite à la généralisation du télétravail et près de 2 entreprises sur 3 (64%) ont constaté une accentuation du phénomène en 2020. Pour attaquer une entreprise, la technique plébiscitée par les fraudeurs reste, comme l’année dernière, l’usurpation d’identité. Mais changement important, c’est la fraude au faux-président qui devient, cette année, la plus subie par les entreprises (citée par 47% des répondants, +9 points). Elle est suivie par la fraude au faux fournisseur (46%, -2 points), les autres usurpations d’identité (banques, avocats, commissaires au compte, 38%, +7 points) et la fraude au faux client (25%, +1 point). Parmi les cyberattaques, qui sont toujours très complémentaires avec l’usurpation d’identité, l’intrusion dans les systèmes informatiques est la plus citée (32%, +3 points), devant les rançongiciels / cyber-extorsion (21%, +6 points) et le vol ou destruction de données (8%, +2 points). Soyez donc vigilants ! Et si vous souhaitez en savoir plus sur nos outils contre la fraude en entreprise, découvrez notre solution Mata io ————————————————————–
DETOURNEMENT DE FONDS, LES BONNES PRATIQUES
Un détournement de fonds, ça n’arrive pas qu’aux autres, la preuve en chiffres 55 % des entreprises françaises ont été victimes d’une fraude au cours des vingt-quatre derniers mois et 44 % craignent un acte de cybercriminalité*. Tous types d’organisations et de secteurs d’activités sont touchés par les trois domaines phares de la fraude financière : le détournement d’actifs pour 56%, la falsification d’états financiers et la corruption. Dans 70% des cas, le fraudeur est un homme âgé de 36 à 55 ans, occupant un poste de manager, le plus souvent dans le département finance ou les opérations. Plus de 60 % des fraudeurs exercent dans l’entreprise victime depuis longtemps (+ de 5 ans) et dans 54 % des cas, les fraudes sont commises par des collaborateurs ayant des fonctions d’encadrement ou de direction. Cerise sur le gâteau, le fraudeur est souvent récidiviste : dans 93 % des situations analysées, il a commis plusieurs infractions avant d’être découvert. Les organisations qui présentent le plus de risques de détournements de fonds ? Les entreprises à points de vente multiples présentes dans les secteurs d’activités de la grande distribution, la distribution, l’hôtellerie, la restauration, mais aussi les groupes opérant sur des marchés à forte implantation internationale. Détection, prévention et investigation contre la fraude La prévention passe par la surveillance régulière, par l’analyse des données comptables et financières de la société et de toutes celles qui constituent un groupe s’il y a lieu. Le but de ces investigations récurrentes est de mettre en évidence des transactions frauduleuses. L’installation d’outils et de logiciels dédiés est forcément une des clés de voute de la détection des tentatives de détournements. Ces analyses ne dispensent pas de mettre en place des process supplémentaires comme par exemple, la recherche d’informations publiques sur des sociétés ou des personnes et l’analyse des données électroniques (whistleblowing & data-mining). Gardons à l’esprit que 43 % des fraudes reportées ont été détectées grâce à l’analyse informatique. Autres idées anti-détournement de fonds : nommer un « fraud officer » créer un code éthique & cartographie des risques sensibilisation et formation des salariés Action de sensibilisation La communication est un élément clef dans la prévention contre les détournements de fonds. Sans craindre de donner des idées aux collaborateurs, les personnes en responsabilité doivent s’emparer de la question et sensibiliser tous les collaborateurs de l’organisation. Au sein de l’entreprise, les alliés de l’honnêteté sont plus nombreux que les fraudeurs. De plus dès lors qu’une fraude est signalée, l’entreprise se doit de réagir avec diligence, car, au-delà du préjudice financier direct, l’absence de réaction pourrait susciter l’incompréhension et un sentiment d’impunité.
LA FRAUDE INTERNE
Insidieuse et discrète, la fraude interne peut s’installer au sein des processus de manière absolument invisible et durable. Selon Euler Hermès, elle touche 18% des entreprises françaises et plus d’un tiers dépassent les 100.000 euros de pertes. Sylvain KAM, expert en sécurisation des flux financiers chez MATA, nous rappelle ce qu’est la fraude interne et comment elle peut s’insinuer dans les processus de toutes les entreprises. Qu’est-ce que la fraude interne ? Vos collaborateurs ont souvent l’intuition adéquate, ils font preuve d’initiatives personnelles qui permettent d’éviter de nombreuses fraudes. Pourtant, certains d’entre eux vont dévisser et profiter d’une faille dans votre organisation pour détourner des fonds. Cette fraude, mise en place à l’initiative d’un ou plusieurs collaborateur(s) de l’entreprise peut prendre une multitude de formes, mais en règle générale, le fraudeur est plutôt solitaire, une situation qui lui permet de détourner les fonds de l’entreprise en diminuant les risques. La fraude interne touche toutes les sociétés, quels que soient leur taille et leur secteur d’activité. Dans tous les cas la fraude apparaît quand une personne a trop de pouvoir et qu’elle peut agir sans contrôle. La fraude dure souvent depuis plusieurs mois et même plusieurs années… A quel type de fraude interne une entreprise peut-elle devoir faire face ? (fraude documentaire, fraude chronologique, excès de frais…) Tous les services de l’entreprise peuvent être touchés par la fraude. Fausses notes de frais à tous les niveaux de responsabilité, détournements de paiements, fraude informatique… le collaborateur fraudeur est souvent au-dessus de tout soupçon ! Ressources humaines – La fraude sur salaire Les services RH fonctionnent souvent en circuit fermé. Peu de personnes peuvent contrôler les salaires considérés comme données confidentielles sensibles. Les équipes en responsabilité sont donc fréquemment relativement resserrées, il devient dès lors relativement complexe de voir venir la fraude sur paie. Pourtant, il est bel et bien possible de détourner une partie des salaires des autres salariés, soit en prélevant des sommes insignifiantes sur les salaires de nombreux collaborateurs, soit par exemple en créant un faux salarié qui perçoit des émoluments que le fraudeur rapatrie sur un compte dédié… Des risques, des tentations, bien réels si le DRH ou gestionnaire RH a trop de pouvoirs : créer des salariés, générer les salaires et activer le payement des salaires par exemple. Veillez à éviter absolument ces situations quel que soit le moment de l’années (congés), et à mettre en place des contrôles systématiques, comme distinguer celui qui ordonne le paiement de celui qui l’effectue. Informatique – La fraude de détournement Les services IT peuvent avoir accès à la totalité des données de l’entreprise. Les collaborateurs sont notamment habilités à attribuer les droits, écrire, crypter et sauvegarder les données. Ils maîtrisent tout ou partie de la chaîne et peuvent être tentés d’en abuser. Il est facile de créer ou modifier un fichier de règlement sur un serveur avant paiement par exemple. Le fraudeur modifie un numéro de compte entre l’ordre de paiement et le passage du règlement et ainsi peut encaisser des montants indus sur un compte qu’il aura créé au préalable. Le contrôle humain dans ce cas peut être utile mais il a aussi ses limites. Il est préférable d’être appuyé par une solution informatique automatisée. Comptabilité – La fraude au fournisseur Dans le volume des frais d’une entreprise, le suivi comptable peut parfois être flou ou soumis à des urgences et à des délais incompressibles. Le fraudeur peut alors changer le compte de destination d’un ou plusieurs règlement(s), ou encore régler involontairement la facture d’un faux fournisseur dans la masse. Le risque est accru lorsque l’on traite avec des fournisseurs à l’étranger. Le fraudeur peut remplacer le compte d’un fournisseur hors Europe par un compte dédié à la fraude, ouvert sous un prête-nom, qui sera clôturé immédiatement après l’opération. Cette fraude est fréquemment rencontrée lorsqu’une seule et même personne peut générer une facture et la payer elle-même sans contrôle. Il faut absolument déployer le double contrôle, même dans les petites structures, car dans le domaine comptable, les fraudes peuvent être nombreuses : détournement des avoirs clients, réalisation de faux avoir et virement sur un compte personnel… Comment éviter les fraudes & quelle solution MATA propose ? Nous l’avons vu précédemment avec Sylvain, il est fortement recommandé d’instaurer un dispositif de double contrôle systématique et de dissocier les rôles dans la chaîne de paiement. Malgré tout, la fraude interne reste toujours possible, « Mata IO Sécurité » est une solution globale qui s’intercale entre tous vos logiciels (ERP, outils comptables, paie) et les banques, et contrôle toutes les coordonnées payées. Une personne doit valider les comptes systématiquement et une séparation des taches est mise en place par l’outil. Une même personne ne peut donc plus avoir tous les pouvoirs ! Dans le cas de la création d’un nouveau salarié, le nouveau compte doit être validé par une personne différente de celle qui l’a créé. Les comptes sont catégorisés, reliés à certains fichiers de règlements et on vérifie les correspondances entre la raison sociale et le numéro de compte pour bloquer les cas de fraude au faux fournisseur. Toutes les anomalies identifiées par « Mata IO Sécurité » provoquent un blocage automatique et une analyse humaine qui doit valider l’action. La chaîne définie à la mise en place de la solution est non dérogatoire et la cryptographie permet d’éviter les fraudes informatiques. De plus, il existe des contrôles supplémentaires comme la mise en place d’indicateurs sur la chaîne de règlement, qui analysent les dépassements sur plafonds définis à l’installation, sur une période ou sur un même compte bancaire, ou si le même compte existe sur plusieurs règlements (paiement de deux salariés sur un même compte). Un bon processus de contrôle appuyé de la solution Mata I/O garantit un niveau de protection optimal contre la fraude.