« Escroqueries au Président », mieux vaut prévenir que subir !

Derrière cette appellation se cache un phénomène inquiétant et en expansion, dont sont victimes de très nombreuses entreprises françaises. Après avoir détourné des centaines de millions d’euros à de nombreuses société françaises cotées grâce à la technique des faux ordres de virements internationaux (« FOVI »), les réseaux de criminalité organisés s’attaquent désormais également à des entreprises de taille plus modeste.

Les conséquences en termes de préjudice économique et social pour les entreprises victimes et leurs salariés sont toutefois inversement proportionnel à la facilité sidérante avec laquelle ces opérations sont opérées.

Ces escroqueries en bande organisée mobilisent en effet peu de moyens logistiques (essentiellement des technologies informatiques et de dématérialisation qui permettent d’opérer depuis l’étranger), et reposent sur des « ficelles » basiques bien connues : collecte de renseignements sur l’entreprise et ses dirigeants, identification d’un collaborateur « cible », puis phase d’usurpation d’identité et de manipulation et enfin, la phase ultime de transaction financière vers l’étranger.

Une fois le dernier « clic » effectué, les fonds et les escrocs se volatilisent en temps réel.
L’impunité reste pour l’heure la règle, même si le système judiciaire tend à réagir notamment sur le terrain de la coopération internationale.
Pour les entreprises victimes (le risque pour une PME est de se retrouver en état de cessation des paiements), la réparation du préjudice reste virtuelle et celles-ci préfèreront généralement rester taisantes sur l’incident pour des raisons d’image.

En définitive, la seule sanction sera bien souvent pour le salarié imprudent qui aura permis la réalisation matérielle de l’infraction, et dont le licenciement pour faute grave s’imposera généralement comme une évidence au regard de la bévue commise et du préjudice financier subi (la cause réelle et sérieuse du licenciement restant toutefois à l’appréciation du Conseil de prud’hommes en cas de contentieux). A cela s’ajoute une charge morale que l’on imagine très lourde, et l’enquête pénale dont l’un des axes sera de déterminer son éventuelle implication en tant que coauteur ou complice de l’infraction.

On pourrait penser que « cela n’arrive qu’aux autres », mais force est de constater que cela se produit au sein de grandes entreprises, pourtant bien structurées.
Le facteur humain est ici directement en cause, et les fraudeurs n’hésitent pas à exploiter les points de vulnérabilité de l’entreprise :

• D’une part, le manque de prudence du collaborateur « piégé », ce qui fait appel à différents mécanismes psychologiques (crédulité, dévouement, soumission, flatterie, confiance, reconnaissance, etc.) ;
• D’autre part, un dysfonctionnement de l’organisation interne.

Dans toutes ces affaires, on ne peut manquer de se dire -vu de l’extérieur- que les choses auraient pu être évitées avec un minimum de bon sens et des réflexes de base (il semble surréaliste que des salariés expérimentés puissent accepter de transférer en urgence, sans poser de questions, plusieurs centaines de milliers d’euros vers un compte inconnu situé en Asie) …
En pratique toutefois, le jeu des apparences (usage d’un faux nom, d’une fausse qualité, usage de faux, etc.) et la particulière force de persuasion des fraudeurs peut certainement créer une croyance de réalité dans l’esprit du collaborateur.

Il en découle aussi que les moyens de prévention sont non seulement simples, mais peuvent être également très efficaces et dissuasifs, tels que :

• L’évaluation des procédures en vigueur et de leur vulnérabilité potentielle ;
• La mise en place d’une organisation avec des procédures de contrôle interne robustes, notamment pour tout ce qui touche aux procurations bancaires et transactions internationales (plafonds autorisés, double validation, etc.) ;
• La formation du personnel sur les procédures bancaires, les règles concernant les intermédiaires, les outils technologiques et les moyens de détecter les fraudes le plus en amont possible ;
• L’information sur les procédures d’alerte interne et externe (cf. banque, Brigade des fraudes aux moyens de paiement) ;
• La sensibilisation du personnel concerné (comptabilité, finances, informatique, éthique, etc.) sur les mesures de vigilance à prendre dans l’exercice des fonctions, mais également les précautions utiles dans le cadre de la vie privée (cf. tout particulièrement l’utilisation des réseaux sociaux) ;
• L’adaptation des consignes, notamment en cas de traitement d’opérations à caractère « confidentiel » (p. ex. prévoir un système de « codes » que seul le véritable dirigeant peut connaître) ;
• Le rappel des sanctions et responsabilités encourues en cas de négligence/ imprudence fautive ;
• La mise en place d’une procédure  de reporting permettant au collaborateur de ne pas rester isolé et de saisir un référent hiérarchique en cas d’ordre suspect, sans risque de sanction disciplinaire, car c’est finalement cette crainte qui est exploitée par les fraudeurs. Comme dit l’adage, « dans le doute, abstiens-toi » de procéder au virement … Cette situation pourrait d’ailleurs relever de la protection prévue par le nouvel article L1132-3-3 du Code du travail (issu de la loi n° 2013-1117 du 6 décembre 2013 relative à la lutte contre la fraude fiscale et la grande délinquance économique et financière), qui prévoit d’une manière générale qu’« aucune personne ne peut être écartée d’une procédure de recrutement ou de l’accès à un stage ou à une période de formation en entreprise, aucun salarié ne peut être sanctionné, licencié ou faire l’objet d’une mesure discriminatoire, directe ou indirecte, notamment en matière de rémunération (…), de mesures d’intéressement ou de distribution d’actions, de formation, de reclassement, d’affectation, de qualification, de classification, de promotion professionnelle, de mutation ou de renouvellement de contrat, pour avoir relaté ou témoigné, de bonne foi, de faits constitutifs d’un délit ou d’un crime dont il aurait eu connaissance dans l’exercice de ses fonctions ». Sans doute est-il sain que la Direction générale adopte en amont une position très claire sur la conduite à tenir, afin d’éviter le débat a posteriori sur la bonne foi du salarié …
• La mise en place d’une revue de Direction régulière et de veille sur l’évolution des formes de cybercriminalité ;
• Une vigilance concernant les informations institutionnelles relatives à l’entreprise ou au groupe mises à disposition en libre accès sur internet qui, une fois recoupées, permettent aux fraudeurs de construire des scenarii d’usurpation ;
• Une diffusion immédiate d’une information auprès de tous les collaborateurs et l’organisation d’une riposte (dépôt de plainte pénale) en cas de tentative de fraude, sachant qu’une fois l’environnement de l’entreprise maîtrisé, le risque de multiplication d’attaques est prévisible ;
• Une vérification des couvertures d’assurance souscrites ;
• Etc.

Autant de mesures a priori peu coûteuses mais qui peuvent permettre aux entreprises de sauvegarder utilement leur trésorerie, à une époque où celle-ci est particulièrement sous tension.

*Article publié sur www.preventica.com