Alors que de nombreuses entreprises françaises ont encore fait l’objet de tentatives de fraude en 2018, la période des vacances d’été est généralement prisée par les escrocs qui profitent de l’absence de certains responsables financiers. Afin de les contrer, une sensibilisation des équipes et un renforcement des procédures de paiement s’imposent.
«Je suis très inquiet !», le président de l’Association des directeurs financiers et de contrôle de gestion (DFCG), Bruno de Laigue, ne masque pas son inquiétude. «Les dirigeants d’entreprise sont conscients du risque de fraude mais ne font rien pour s’en prémunir. Comme si cela n’arrivait qu’aux autres.»Le 5e Baromètre réalisé par Euler Hermes pour la DFCG (voir encadré) fait, il est vrai, apparaître que 78 % des entreprises interrogées craignent une accentuation du risque de fraude et de cybercriminalité, mais 59 % n’ont débloqué aucun budget pour s’en prémunir.
Compte tenu de la période, il y a pourtant urgence : c’est en effet durant le week-end et pendant les vacances, quand le dirigeant ou le directeur financier sont absents, que les plus «belles» arnaques ont lieu. Le fraudeur – ou plutôt les fraudeurs puisqu’ils agissent généralement en bande organisée – ont alors toute latitude de se faire passer pour le manager absent et duper les collaborateurs encore en poste. «Les fraudeurs sont toujours très bien informés», confirme Bernard Gall, trésorier d’Eurazeo et président de la commission Lutte contre la fraude de l’Association française des trésoriers d’entreprise (AFTE). Si bien informés qu’ils sont capables de construire un scénario parfaitement crédible et d’agir au bon moment.
Ne pas hésiter à décrocher son téléphone
Avant de partir en vacances, mieux vaut donc pour les responsables financiers vérifier les procédures de prévention des risques. Tout en gardant à l’esprit que «la vigilance humaine reste le meilleur rempart contre ce type de fraude», estime Bernard Gall.
La vigilance, c’est d’abord apprendre à penser contre soi-même : «95 % des gens sont foncièrement honnêtes», poursuit le trésorier. Ils ont donc du mal à concevoir la perversité des escrocs. Or les escrocs les plus rusés peuvent être mis en échec par un simple coup de fil. Le directeur financier d’une grosse PME en témoigne : il n’est pas près d’oublier le jour où il a vu passer un ordre de virement de 150 000 euros à destination d’un nouveau fournisseur soi-disant «choisi personnellement par le directeur général.» Pas vraiment convaincu par les explications du comptable racontant avoir été appelé par le directeur général «en personne durant ses vacances», le directeur financier hésite toutefois à déranger son patron en l’appelant dans sa villégiature. Taraudé par le doute, il finit tout de même par décrocher son téléphone. Ces trois minutes de conversation suffiront à démonter la supercherie : non, le directeur général n’a jamais appelé le comptable qui, en réalité, s’est fait manipuler par un escroc. Résultat : l’ordre de virement n’a pas été déclenché.
Au-delà des conséquences financières, qui peuvent être dramatiques pour une entreprise, ce type d’arnaque peut aussi avoir un impact psychologique très lourd pour les personnes manipulées. Y compris quand l’arnaque a été déjouée.«Découvrir qu’un escroc a pénétré leur psyché a quelque chose de vertigineux», commente Bernard Gall. Dans le cas de la PME qui a déjoué la fraude au faux fournisseur, cette expérience a eu l’effet d’un électrochoc : le directeur financier a remis à plat l’ensemble des process de validation des engagements de paiement, des factures et des ordres de virement. Car c’est bien à ces trois niveaux qu’un double contrôle doit être effectué, afin que la personne «hameçonnée» par le fraudeur ne soit à aucune étape la seule décisionnaire. «Les ordres de virement doivent être intégrés au workflow financier, estime Bernard Gall. Certaines entreprises pensent que des validations en phase d’engagement de paiement et de facturation suffisent. Mais un virement ne devrait jamais être décidé par une seule personne.» De plus, tout changement de RIB doit être validé auprès du banquier ou du fournisseur. Y compris s’il survient un vendredi soir, à la veille d’un pont ou courant août : «Mieux vaut retarder un paiement de trois jours pour effectuer les contrôles indispensables qu’émettre un règlement indu», insiste Bruno de Laigue. Un rappel à la règle loin d’être inutile à la veille du départ…
Insister sur le caractère non urgent des virements
Pour Bernard Gall, la gestion du temps et primordiale : «Contrairement à ce que tentent de faire croire les fraudeurs, un virement n’est jamais urgent. Jamais ! C’est un message qu’il ne faut pas hésiter à marteler.» Au contraire, toute forme d’empressement doit être considérée comme suspecte. La pédagogie et la sensibilisation des collaborateurs jouent donc un rôle clé dans la prévention de la fraude. Les équipes comptables, la finance, la gestion et le contrôle interne sont naturellement en première ligne. Mais l’ensemble des collaborateurs doit a minima être informé du risque de fraude. A commencer par les dirigeants qui sont invités à donner l’exemple. Ils peuvent le faire de deux manières. En partageant leurs expériences, comme le fait régulièrement Bruno de Laigue : «Quand je reçois un mail suspect, je le diffuse à tous mes collaborateurs pour les sensibiliser (après en avoir désactivé les liens, bien entendu !).» Et en accueillant toute demande de vérification avec bienveillance : il est inutile d’espérer qu’un comptable vérifie un ordre de virement qui lui semble suspect s’il pense que ses interrogations seront mal reçues ou mal interprétées par son manager ou son directeur financier. Ainsi, les dirigeants doivent s’astreindre à prendre le temps d’écouter et d’analyser toutes les alertes. Car quand un virement est parti, il est quasi impossible de le rattraper : «Les procédures de rattrapage des fonds proposées par les banques ne fonctionnent que quelques minutes ou, au mieux, quelques heures, explique Bernard Gall. Entre-temps, les fonds peuvent avoir été transférés vers quelque destination exotique sans le moindre espoir de retour.»
Ces bonnes pratiques valent pour l’ensemble des entreprises, quelle que soit leur taille. On croit souvent les grandes entreprises mieux protégées que les PME du fait de leur organisation très structurée, de leur pratique éprouvée du contrôle interne et de leurs investissements dans la sécurité informatique. C’est faux, comme le démontre l’énorme arnaque dont a été victime le groupe cinématographique Pathé en mars 2018 : un groupe de fraudeurs professionnels lui a alors extorqué 19 millions d’euros en se faisant passer pour des dirigeants de la filiale néerlandaise. La fausse adresse électronique qu’ils ont utilisée aurait pourtant dû éveiller des soupçons. Moralité : «Aujourd’hui, toutes les entreprises peuvent être la cible des voleurs, quelles que soient leur taille et leur activité», estime Bruno de Laigue. Mieux vaut en être conscient avant de partir en vacances.
Des techniques de plus en plus sophistiquées
Les fraudes reposent sur des scénarios de plus en plus sophistiqués que les escrocs peuvent préparer dans les moindres détails en piratant les systèmes d’informations de l’entreprise : «En accointance avec la cybercriminalité, ils ont ainsi accès à l’ensemble des messageries», explique Bernard Gall, trésorier d’Eurazeo.
Mais dans certains cas, la consultation des réseaux sociaux permet déjà d’en savoir beaucoup : «Il suffit que le dirigeant poste des photos d’un congrès à Marseille ou d’un voyage d’étude en Allemagne pour que les fraudeurs se disent que le champ est libre», explique Bruno de Laigue, directeur administratif et financier de Business Partners et président de la DFCG.
Les scénarios de fraude tournent en effet souvent autour de l’usurpation d’identité : l’arnaqueur se fait passer pour le dirigeant de l’entreprise (29 % des cas de fraudes), un client (25 %), un banquier ou un avocat (30 %) et, de plus en plus souvent, un fournisseur (47 %). «En visionnant des vidéos et en consultant leurs écrits, ils peuvent se glisser dans la peau d’un dirigeant, repérer ses tics de langage, intégrer sa psychologie, imiter sa voix», explique Bruno de Laigue. Ils peuvent aussi rendre leur scénario plus crédible en faisant référence à des événements très récents : «Le lendemain d’une réunion importante dont ils ont découvert les conclusions en interceptant des e-mails, ils peuvent facilement se faire passer pour l’un des participants», ajoute Bernard Gall. Et berner les collaborateurs les plus consciencieux…
