Directeur de la sûreté, responsable de la lutte contre la fraude, comité d’éthique, contrôle interne : les entreprises prennent la mesure des risques et renforcent leurs capacités internes d’enquête. Elles sont de plus en plus à la recherche de fins limiers affûtés en finance, droit et réglementation.
Ce 1er juin, Veolia s’est doté d’une direction compliance, sûreté et cybersécurité confiée à Fabrice Gardon, ancien directeur de la Police judiciaire de Paris. EDF, France Télévision ou LVMH : d’autres grands groupes comptent dans leurs rangs des figures influentes de la police ou de la gendarmerie. Mais les enquêtes en entreprise ne sont toutefois ni réservées aux anciens membres des forces de l’ordre, ni uniquement axées sur le cyberterrorisme et la géopolitique. Elles constituent aussi une piste de reconversion pour des fonctions finance, susceptibles de traiter, détecter et prévenir un grand nombre de risques.
« Fraude au président, usurpation d’identité, détournement de fonds ou de données, enrichissement personnel ou encore vols, notamment dans la grande distribution, illustrent la diversité des risques, qui peuvent concerner de nombreux domaines », constate Frédéric de Serpos, directeur des risques, des assurances et du contrôle interne du groupe Casino. Les entreprises s’adaptent. Depuis dix ans, celles de plus de 500 salariés et 100 millions d’euros de chiffre d’affaires se conforment aussi à la loi Sapin 2 et à ses dispositifs anticorruption : cartographie des risques, procédures d’alerte, contrôles comptables, évaluation des tiers, formation des collaborateurs et sanctions disciplinaires. « Sapin 2 régit l’éthique des affaires et nos référentiels. Ce texte nous fournit les orientations pour les process internes », confirme Camel Sekkai, directeur des assurances du groupe Petit Forestier.
En 2023, l’Agence française anticorruption (AFA) a publié un guide méthodologique sur les enquêtes internes. Un détective d’entreprise intervient donc dans un cadre précis, et les dispositifs de prévention sont tout aussi concrets que rodés. Concernant les virements frauduleux, par exemple, « ils reposent sur des méthodes robustes et éprouvées où l’enjeu est de contrôler de leur bonne application », précise Frédéric de Serpos, également déontologue et membre du comité d’éthique du groupe Casino.
Des enquêtes portant surtout sur des zones grises
Certaines grandes affaires ont illustré l’importance de ces mécanismes. Chez Renault, l’AFA avait ainsi engagé en 2020 un contrôle des dispositifs Sapin 2 dans un contexte marqué par les controverses. Chez Kiabi, des malversations financières ont également dévoilé des failles de contrôle interne en 2024. Ces grands dossiers sont médiatisés, de même qu’une attaque de cyberterrorisme d’ampleur fait l’objet d’une information aux marchés, mais la plupart des investigations internes portent sur des zones grises. Un conflit d’intérêts, qui peut altérer l’objectivité des décisions prises lors d’appels d’offres ou dans le cadre d’un contrat, est de cet ordre. « Un tiers voire un quart des cas s’apparentent à des problématiques de relations humaines (RH), comme un management toxique, souligne Camel Sekkai. Environ 20-30 % des suspicions portent sur des appels d’offres ou des achats “de complaisance” faits par des collaborateurs qui n’ont pas forcément l’impression d’avoir fraudé. La fraude lourde est très rare. »
Manipulations comptables, détournements de fonds, fraudes aux achats, concurrence déloyale, etc. Outre les cyberfraudes ou les problématiques des RH, la typologie des risques les plus courants donne toute leur légitimité aux cadres des fonctions financières pour s’orienter vers un poste de lutte contre la fraude, de sûreté ou de gestion des risques, rattaché à une direction éthique ou conformité notamment. Si leurs intitulés varient, les départements auxquels les détectives d’entreprise appartiennent sont de plus en plus étoffés. Chez ADP, le département éthique regroupe ainsi dix-huit collaborateurs. Une reconversion dans ce domaine offre donc des perspectives.
«En amont, nous définissons ce qu’est la fraude dans le cadre de l’entreprise afin de suivre les bons indicateurs qui permettent de déterminer des faisceaux d’indices.»
Une capacité à détecter les signaux faibles
Tandis que la loi a contribué à structurer et à formaliser l’organisation et la collaboration en matière d’enquêtes internes, reconnaît Frédéric de Serpos, c’est plus souvent une violation de la charte éthique ou des processus de l’entreprise qui engendre le soupçon. « En amont, nous définissons ce qu’est la fraude dans le cadre de l’entreprise afin de suivre les bons indicateurs qui permettent de déterminer des faisceaux d’indices », précise Camel Sekkai. Ces indicateurs varient selon les secteurs, mais portent souvent sur les anomalies de délégation de signature, les transactions inhabituelles ou les incidents cybersécurité, et les alertes éthiques internes. En fin limier, le détective d’entreprise doit donc savoir déceler des signaux faibles. « En général, dans le retail, on vérifie les éléments de stock, les caisses, les process de paiement et les pouvoirs d’engagement financier, de dépense », indique le directeur des assurances du Petit Forestier. Toutefois, les entreprises restent discrètes sur leurs méthodes. « On ne divulgue pas la manière d’aller chercher les faisceaux d’indices, ce sont nos secrets de fabrique. On le comprend aisément en cybersécurité », plaide Camel Sekkai.
Mener l’enquête en entreprise requiert ainsi discrétion, confidentialité et secret professionnel. La gestion des alertes constitue l’un des volets les plus sensibles. La confidentialité des signalements est impérative et leur traitement exige une évaluation rigoureuse de leur matérialité avant toute investigation. A cette fin, le détective doit travailler en équipe et même avec différentes équipes. « Certaines entreprises ont un “Monsieur Fraude”, mais ce dernier doit s’appuyer sur un réseau interne. L’information doit circuler. Il n’y a pas de détective d’affaires solitaire, mais une mécanique collective », insiste l’expert du groupe Casino. La diversité des fraudes justifie « l’intervention de plusieurs fonctions et appelle une organisation de prévention et de gestion fondée sur une approche collective et collaborative », ajoute-t-il. Le management, la DSI, le contrôle interne, la conformité, les RH, l’audit et la sécurité travaillent de concert. « Il y a toujours trois lignes de contrôle. Les managers constituent la première. La deuxième ligne réside dans le risk management et le contrôle interne. La troisième est celle de l’audit interne, avec parfois des missions d’investigation susceptibles d’apporter de l’information à une suspicion de fraude », détaille-t-il. Une expérience dans ces deuxième et troisième lignes constitue un tremplin pour devenir un bon détective d’entreprise.
Des profils expérimentés
Le contrôle interne joue un rôle-clé. Par exemple, il s’assure que « les délégations de pouvoir sont correctes et que les personnes qui signent un bon de commande sont bien autorisées à le faire », cite Camel Sekkai. Une fois les faisceaux d’indices identifiés, son rôle est d’enquêter et comprendre : « Soit l’enquête ne révèle rien de probant, soit il faut davantage investiguer, en s’appuyant sur l’expertise métier. » A partir du moment où des éléments fondent le soupçon, la méthodologie est constante. L’enquête suit généralement trois étapes : collecte des faits, auditions des parties concernées puis examen du dossier par les instances compétentes avant décision. Chez Casino, des reportings trimestriels et annuels sont enfin transmis au comité d’audit et des risques. Vient alors une préconisation. « Dans les cas graves, il faut prendre une mesure disciplinaire pouvant aller jusqu’à un licenciement, poursuit l’expert du Petit Forestier. Le plus fréquent tient d’un collaborateur qui a franchi la ligne rouge, ce qui nécessite un recadrage par le patron de business unit. Celui-ci doit aussi retravailler ses process, puisqu’ils ont révélé une faille. »
Si une part importante des professionnels de l’audit interne provient de cabinets d’audit, les reconversions internes se développent. Le fait de connaître les processus opérationnels de l’entreprise permet d’identifier plus facilement les failles exploitées par les fraudeurs : c’est un atout. Le métier attire des profils variés, mais toujours expérimentés. « Un double profil juridique et financier est intéressant pour le contrôle aussi bien que pour l’audit », souligne Fréderic de Serpos.
Des masters et certificats spécialisés
Plusieurs masters et certificats spécialisés existent. L’Université Paris Dauphine propose notamment des formations de fraud manager et de fraud risk management. Le métier exige à la fois maîtrise réglementaire et compréhension financière, mais aussi une rigueur analytique ainsi que des capacités d’enquête, de rédaction de rapports exploitables juridiquement, de discrétion et de confidentialité.
Au-delà de la lutte antifraude, la sûreté couvre désormais la cybersécurité, la gestion de crise et l’intelligence économique. Elle requiert des profils aiguisés, ce qui ouvre d’autant plus de perspectives. Surtout que l’investigation, l’éthique et la sûreté, longtemps réservées aux grands groupes industriels ou bancaires, se diffusent désormais dans tous les secteurs. Les organisations professionnelles, telles que le Cercle des directions de la sécurité des entreprises (CDSE) ou de l’Association pour le management des risques et des assurances de l’entreprise (AMRAE), structurent également la filière.
« En amont, nous définissons ce qu’est la fraude dans le cadre de l’entreprise afin de suivre les bons indicateurs qui permettent de déterminer des faisceaux d’indices », précise Camel Sekkai.
