Fraudes : comment s'en prémunir, comment réagir ?

Découvrez la marche à suivre

En matière de fraudes, personne n’est à l’abri - 46% des organisations déclarent en avoir été victimes au cours des 24 derniers mois (Global Economic Crime and Fraud Survey 2022, PwC). Cybercriminalité, détournement d’actifs et fraude comptable constituent le trio principal des sources de fraude, alors que la crise a créé de nouvelles brèches exploitées par les fraudeurs. En 2021, pour 1 entreprise victime sur 3 le préjudice subi était supérieur à 10 000€ (Étude Euler Hermès 2021, DFCG).

Dans ce contexte, comment doit réagir l'entreprise ?

 

Les différents types de fraude

On retrouve en premier lieu les fraudes externes, et parmi elles, celles liées à la cybercriminalité. Alors que la crise Covid a permis un développement sans précédent du télétravail, ce phénomène est allé de pair avec une vulnérabilité accrue des entreprises, particulièrement sur le volet des fraudes externes.

Avec l’usurpation d’identité comme technique plébiscitée par les cybercriminels, la fraude au Président ou encore la fraude fournisseur restent des sources majeures. Les fraudes liées aux paiements en urgence pour rapatriement de collaborateurs ou pour la disponibilité de matériels ont été largement utilisées durant la crise Covid 19. En effet, la survenance d’une crise est sans contexte un accélérateur de fraudes - à titre d’exemple, plus de 70 sites portant sur les masques chirurgicaux ont depuis été fermés par la gendarmerie nationale française.

Citons enfin, les ransomwares (demandes de rançon, +41% en 2021 d’après cybermalveillance.gouv.fr) ou phishing (hameçonnage, +86% par rapport à 2020) qui gagnent en intensité d’années en années et se complexifient.

Le deuxième type de fraudes est celui lié aux fraudes internes, plus précisément celles liées aux détournements d’actifs.

  • La première typologie de détournement d’actifs concerne la sortie d’argent liquide. La sortie de cash est synonyme de factures, via l’émission de fausses factures ou de surfacturation (lorsqu’il existe une collusion entre acheteurs et fournisseurs). Alors qu’il est plus naturel d’appliquer une vigilance particulière dans la revue du processus de validation de factures à montants importants via notamment des circuits d’approbations multiples, les factures aux montants plus modérés sont souvent moins contrôlées. Or les fraudeurs l’ont bien compris et c’est bien sur ce volet que doit plus particulièrement porter une vigilance accrue de la part des équipes comptables. Même si les montants sont faibles, les actes sont nombreux et le montant in fine risque d’être important.
  • Les paiements liés à des commandes anciennes mais toujours ouvertes dans les systèmes et pas totalement utilisées : prenons l’exemple d’une commande de 100 000€, facturée 95 000€ par le fournisseur. Le fraudeur va utiliser ce delta pour facturer à hauteur de 5 000€ via un RIB frauduleux.
  • Les poches de profit latent, sur des opérations anciennes : il s’agit par exemple d’un client qui demanderait soudainement, quelques années après, l’émission d’un avoir. La vigilance doit être particulière sur ces éléments.

Le troisième type de fraude concerne la fraude comptable.

Jusqu’à présent, la fraude comptable consistait en l’embellissement des états financiers. Ce type de fraude peut s’appliquer sur les entreprises en difficultés qui cherchent à améliorer via la fraude leur état financier et échapper ainsi au dépôt de bilan. L’autre aspect de la fraude comptable peut à l’inverse chercher à volontairement alourdir le bilan (notamment lors de l’exercice perturbé en 2020 -2021) pour s’assurer de facto de meilleurs résultats l’année suivante.

En période de crise, d’activités intenses, ou d’événements structurants de type fusion ou restructuration, la menace interne a tendance à croître. Les Insider threats constituent un risque important qu’il convient de piloter et mesurer avec une vigilance toute particulière.

 

Comment s'en prémunir ? Le triptyque sensibiliser, contrôler, auditer

 

1- Sensibiliser

La sensibilisation des personnes susceptibles d'être les cibles de ces attaques, c'est-à-dire le personnel en capacité d’agir sur les transactions financières, est indispensable pour limiter les risques de fraude.

 

2- Être en mesure de contrôler, ou conserver son sens critique

L’initiative humaine personnelle (doute, suspicion) est citée à 80% comme dispositif ayant permis de déjouer une tentative de fraude, devant les procédures de contrôle interne (48%) ou la sécurité IT (41%) (Baromètre Euler Hermès - DFCG, 2021), preuve s’il en est que l’humain reste au coeur de la lutte contre les fraudes. Toutefois l’analyse de données est essentielle pour alimenter le dispositif de contrôle interne. Tout l’enjeu réside en la récupération de la donnée pertinente, pour l’analyser dans le détail et identifier les fraudes. L’intelligence artificielle peut constituer un atout important du contrôle interne dans la détection des fraudes. Mais en matière de fraude, il n’existe d’intelligence artificielle que si l’intelligence humaine passe avant.

 

3- Auditer

Par ce terme, on entend regarder dans le détail les états financiers de l’entreprise, et faire une revue critique de ce qu'il s'est passé à travers une analyse en profondeur de ces données.

La lutte contre la fraude soulève l’enjeu de la traçabilité, impliquant une capacité à remonter le temps pour identifier les points critiques, leurs sources, et les raisons ayant permis l'occurrence de la fraude.

En dehors de ces recommandations essentielles, voici quelques réflexes importants à appliquer pour se prémunir contre les fraudes :

  1. Respecter les circuits de validation et les principes de séparation des tâches. Il s’agit d’éviter la situation dans laquelle une personne doit prendre une décision de paiement sans pouvoir en parler à un tiers responsable. Le respect des règles et des procédures applicables, y compris durant les périodes "anormales", est un rempart indispensable dans la lutte contre la fraude.
  2. Un changement de RIB doit impérativement impliquer une procédure de contre-appel. Il s’agit alors de s’assurer directement auprès du fournisseur, via son contact privilégié et connu, du changement effectif du RIB et non diligenté par un fraudeur.
  3. Garder un œil quotidiennement sur sa trésorerie pour identifier au plus tôt une sortie de liquidités non prévue et suspecte.
  4. Assurer une veille précise et quotidienne sur les menaces, qui sont par nature protéiformes et évolutives. Dans ce cadre, il peut être nécessaire de s’équiper d’outils de veille, notamment sur la dimension cyber ou encore d’outils d’investigation pour équiper son contrôle interne. L’outil Threat Watch de PwC opère une collecte, une sélection et analyse d’informations qualifiées, vous permettant de garder un œil attentif sur les menaces et de s’en prémunir. En effet, il est essentiel de se tenir informé des pratiques des fraudeurs et il est fortement recommandé de s'entraîner, notamment pour observer comment le contrôle interne s'applique lors de l'occurrence d’une fraude.

 

Comment réagir ? Dénoncer, porter plainte, sanctionner

Malgré votre vigilance, vous êtes victime de fraude. Que faire quand la fraude est constatée et avérée ? La première étape doit être de porter plainte très rapidement, en apportant aux autorités un maximum d’éléments de preuve. En cas de tentative de fraude, des plateformes permettent d’émettre des signalements comme cybermalveillance.gouv.fr ou internet-signalement.gouv.fr. Pour que les fraudes soient punies, elles doivent être dénoncées.

En parallèle au dépôt de plainte, il est primordial de réagir vite, pour limiter l’impact. En effet, plus une fraude dure dans le temps, plus elle coûte cher.

En matière de fraude, personne n’est épargné, ces mésaventures n’arrivent pas qu’aux autres. L’humilité est donc de mise. Pas de secteur privilégié ni de taille d’entreprise cible : le risque de fraude s’applique à tous sans exception. Dans ce contexte, la lutte contre la fraude doit s’opérer en continu. Il s’agit d’un sujet ancien et mouvant, qui s’adapte très vite et qui nécessite une vigilance et des connaissances accrues de tous.