Fraude au faux président: bonnes pratiques pour protéger son entreprise

La fraude au président touche aussi bien les PME que les plus grandes entreprises. Ses conséquences peuvent mettre en péril les entreprises victimes. Pourtant, il est tout à fait possible de s’en protéger en mettant en place quelques bonnes pratiques.

Apparue il y a une dizaine d’années, l’arnaque dite « au président » a été largement médiatisée ces dernières années. Elle continue pourtant de sévir régulièrement auprès des entreprises, et touche aussi bien des PME que des très grandes entreprises. Faisant partie des « fraudes aux faux virements », elle est basée sur l’ingénierie sociale qui consiste à soutirer frauduleusement des informations à des fins d’escroquerie.

Les cas de fraude au président ont été nombreux en France ces dernières années. On peut par exemple citer une usine d’un grand groupe agroalimentaire victime d’une escroquerie de 17 millions d’euros en 2013, d’un fabricant reconnu de pneumatiques à hauteur de 1,6 millions d’euros en 2014, ou encore d’un cabinet d’audit du « Big Four », pourtant sensibilisé à ce type de risques, escroqué de 8 millions d’euros en 2012. Mais cela touche aussi des petites et moyennes entreprises, pour lesquelles les conséquences mettent directement en péril leur avenir : une entreprise de transport pour 150 K€ en 2019, une PME spécialisée dans l’agencement de bibliothèques pour plus d’un million d’euros en 2015. Dans la région des Hauts-de-France, un célèbre musée aquatique a aussi fait les frais de la fraude au président il y a quelques années pour un demi-million d’euros.

La fraude au président est une attaque ciblée visant les entreprises et fait généralement l’objet d’un mécanisme bien huilé :

• Phase préparatoire : l’ingénierie sociale. Les délinquants préparent leur attaque en obtenant des informations clés sur l’organisation de l’entreprise. Cela inclut l’organigramme de l’encadrement de l’entreprise, l’identité des dirigeants, leurs adresses email et numéros de téléphone, la liste des filiales en France comme à l’étranger, ou encore le nom des banques utilisées par la société. Ces informations peuvent être récupérées par une approche directe « sous prétexte » auprès du personnel de réception de l’entreprise, en se faisant passer pour un client potentiel par exemple. Ces informations sont même parfois directement accessibles sur internet, ce qui facilite la tâche des délinquants.
• Approche directe d’un collaborateur de la société, par téléphone ou email. Le personnel des services comptables au sens large est particulièrement ciblé puisqu’il exécute les paiements. Le délinquant usurpe l’identité d’un supérieur hiérarchique reconnu dans l’organisation de l’entreprise, par exemple avec une adresse email favorisant la confusion du collaborateur. Il demande au collaborateur ciblé d’exécuter un virement de fonds urgent en prétextant un projet confidentiel et très important.
• Une fois le virement exécuté, les fonds transitent rapidement entre différents comptes bancaires et se retrouvent très vite à l’étranger. Les conséquences peuvent être désastreuses pour l’entreprise comme pour le collaborateur.

L’escroquerie aux faux virements s’appuie sur des ingrédients bien identifiés : la connaissance de l’entreprise, le caractère urgent et confidentiel de la prétendue opération (souvent une acquisition), la mise en confiance du collaborateur qui se sent « spécial », la période ciblée (congés, ou période de très forte activité), et parfois la menace psychologique.

Lorsque les médias relatent des cas réels de fraude au président, le public est souvent surpris qu’une entreprise ait pu se faire escroquée de la sorte. En effet, quand on connait les procédés des délinquants, l’arnaque peut paraître évidente. Pourtant chaque année des dizaines d’entreprises continuent à en subir les préjudices.

Cela démontre l’importance de sensibiliser en permanence les entreprises et leurs salariés. Si ce sont souvent les services comptables et financiers qui sont la cible des attaques, les risques doivent être rappelés fréquemment à l’ensemble des collaborateurs. Il est important de communiquer sur les techniques utilisées par les escrocs, et de rappeler les précautions à prendre face à des sollicitations de paiements. La sensibilisation doit être récurrente: les attaques peuvent aussi toucher des salariés temporaires en périodes de congés, particulièrement prisées par les escrocs.

Lors d’une tentative d’attaque au sein d’une entreprise, il est important que l’encadrement communique en interne pour renforcer la sensibilisation des collaborateurs et rappeler que personne n’est à l’abri.

Une fois un virement exécuté, qui plus est à l’international, les chances de récupérer les fonds sont minimes. La sensibilisation est donc le bouclier le plus efficace face à la fraude au président.

La première phase de l’attaque consiste pour les escrocs à collecter des informations sur l’entreprise et son management. Ils vont ensuite utiliser ces informations pour usurper l’identité des dirigeants et cibler les collaborateurs susceptibles d’exécuter des virements.

Il est alors recommandé, dans la mesure du possible, de restreindre la publication d’informations concernant l’organigramme de l’entreprise et ses dirigeants. De nombreuses entreprises communiquent ces informations sur leur site internet, avec parfois même les adresses email et numéros de ligne directe des dirigeants. L’accès est immédiat pour les escrocs qui ne doivent alors même pas utiliser l’ingénierie sociale.

Lorsque ces informations ne sont pas publiques, les délinquants n’hésitent pas à contacter directement les entreprises et leur secrétariat ou standard pour les obtenir. Ils peuvent utiliser un scénario pour obtenir les noms et coordonnées des managers de l’entreprise, se faisant passer pour un client potentiel, un ancien collègue de travail ou même un fonctionnaire.

Il faut alors sensibiliser le personnel susceptible de répondre à ces sollicitations (standard, assistants, secrétariat). Il est recommandé de ne pas révéler les informations demandées à la première prise de contact, mais plutôt de noter les coordonnées du requérant, vérifier auprès de sa hiérarchie et recontacter la personne si la demande est jugée légitime.

Il s’agit là de précautions indispensables mais pas toujours suffisantes pour empêcher les escrocs de récupérer les informations. Ceux-ci peuvent en effet aussi utiliser les réseaux sociaux professionnels comme Linkedin pour obtenir l’identité du Directeur financier par exemple. Dans les grandes entreprises, le format des adresses email est souvent bien structuré (par exemple: prenom.nom@entreprise.com) et les délinquants pourront aisément deviner l’adresse email une fois l’identité connue.

Quand bien même les escrocs parviendraient à obtenir des informations en vue d’usurper l’identité d’un dirigeant de l’entreprise, la mise en place de procédures rigoureuses empêchera ces derniers de parvenir à leurs fins. Parmi ces procédures, on distingue:

• Le processus d’achat. Cela doit suivre un cheminement bien défini dans l’organisation de l’entreprise. Les paiements doivent être initiés sur la base d’une pièce justificative, idéalement d’une facture. Le demandeur doit être clairement identifié dans l’organisation. Enfin, le canal de communication et de suivi doit être structuré et sécurisé. Dans l’idéal, la demande de mise en règlement doit être réalisée dans le logiciel de gestion de l’entreprise, ou “ERP”, et suivre un processus d’achat complet: demande d’achat, commande, réception, facture. Dans tous les cas, la demande d’un virement urgent par email, sans pièce justificative, et vers un compte bancaire inconnu doit systématiquement attirer l’attention du destinataire.
• L’exécution des paiements. Il est fortement recommandé de mettre en place une procédure de double signature pour l’exécution de règlements à partir d’un certain montant, par exemple par le responsable comptable et le directeur de l’entité. Le risque de manipulation en sera fortement réduit. De même, l’exécution de virements internationaux doit aussi faire l’objet d’une procédure de vérification supplémentaire.

Ces procédures, une fois en place, doivent être respectées quel que soit le contexte, résistant ainsi aux pressions des escrocs et à la vulnérabilité subie lors des périodes de congés.

La communication de l’entreprise auprès de ses salariés doit les sensibiliser aux caractéristiques de la fraude au président. En effet, les arguments et méthodes utilisés par les délinquants sont souvent similaires, et une fois identifiés il est aisé de les détecter et d’éviter l’escroquerie.

• La provenance de la demande de virement. Si elle est réalisée par téléphone, il convient bien sûr de vérifier le numéro utilisé et de s’assurer qu’il peut correspondre à celui d’un collaborateur de l’entreprise. Si le numéro est masqué, c’est un premier élément qui doit attirer l’attention. Lors d’une prise de contact par email, il faudra analyser attentivement l’adresse de l’expéditeur. Attention, celle-ci peut en apparence être strictement identique à celle du supérieur dont l’identité est usurpée. En simulant une réponse au message, on peut néanmoins voir que l’adresse de réponse est différente de celle indiquée comme expéditeur: méfiance.
• La destination du virement. Dans la majorité des cas, la fraude au président est matérialisée par un virement international. Attention toutefois, il ne s’agit pas forcément de pays lointains comme en Asie ou dans des paradis fiscaux: des cas réels font état de virement dans l’Union Européenne comme par exemple en Roumanie ou à Chypre. Les fonds sont ensuite rapidement virés par les délinquants vers d’autres comptes, dans d’autres pays.
• Le caractère confidentiel de la demande. Les escrocs jouent en effet sur cela pour mettre le destinataire en confiance. Ils peuvent utiliser le prétexte d’un projet d’investissement confidentiel dont seul la cible aura connaissance. Cela donne l’impression à la cible d’avoir un statut privilégié vis à vis de sa hiérarchie, et contribue à sa manipulation.
• L’urgence du paiement. Bien entendu, pour parvenir à leurs fins, les escrocs ont besoin que le virement soit exécuté au plus vite, afin d’éviter que la cible ait le temps de vérifier les éléments et d’informer sa hiérarchie. Pourtant dans le monde réel, un investissement de grande envergure sera souvent longtemps réfléchi au sein de l’entreprise et ne fera en aucun cas l’objet d’un paiement express comme demandé par les escrocs.
• La flatterie ou, à l’inverse, la menace. Ce sont uniquement des instruments de manipulation utilisés par les escrocs, et en aucun cas des techniques dont a besoin un manager pour demander l’exécution d’un paiement à un subordonné.

Si, malgré les précautions précédentes, un doute persiste pour le collaborateur ciblé par l’attaque de fraude au président, un dernier filtre se révèle hautement efficace pour éviter l’escroquerie. Il conviendra de vérifier la véracité de la demande directement auprès du prétendu demandeur. Quelle que soit la taille de l’entreprise, tous les salariés ont généralement la possibilité de contacter leurs managers, au moins par email ou par téléphone. Ceux-ci pourront alors rapidement confirmer s’ils sont bien les auteurs de la demande de virement. Quand bien même la demande serait légitime, nous n’imaginons pas une seconde un dirigeant reprocher à son collaborateur d’avoir fait preuve de prudence avant le virement d’un montant conséquent…

Dans le cas d’une tentative avérée de fraude, il est important de faire remonter l’information auprès de la hiérarchie, des services juridiques, financiers ou encore des ressources humaines de l’entreprise. Ceux-ci doivent se nourrir de ses événements pour renforcer la sensibilisation des salariés aux risques de fraude.

Si les conséquences d’une escroquerie subie sous la forme de “fraude au président” peuvent être terribles pour l’entreprise, il est néanmoins tout à fait possible de l’éviter. En premier lieu, une sensibilisation fréquente de tous les acteurs de l’entreprise réduira déjà fortement les risques. La mise en place de procédures de contrôle et de vérification et la détection des signes caractéristiques de ce type de fraude assureront l’hermétisme de l’entreprise face aux escrocs.

Solvest peut vous accompagner dans la mise en place de campagnes de prévention et la réalisation d’audit face au risque d’escroquerie, en procédant par exemple à des tests d’ingénierie social (collecte des données critiques sur l’organigramme de l’entreprise) et d’intrusion (tentative d’approche) dans un but d’amélioration de vos process.