Fraude au président : une plaie du numérique pour les PME françaises

RisquesSécuritéVirus
cgpme-session-cyber-securite
8 117

Session CGPME & cyber-sécurité : Mélange subtil d’arnaque et d’ingénierie sociale, la « fraude au président » peut affecter toute PME avec des conséquences parfois graves.

C’est un cauchemar potentiel pour toutes les entreprises de France : la « fraude au président » et ses variations sur un même thème visant à escroquer les sociétés qui effectuent à leur insu des virements non légitimes.

Lors d’une session dédiée à la cyber-sécurité organisée mercredi par la CGPME, plusieurs interlocuteurs ont évoqué cette menace qui plane sur toutes les entreprises avec des conséquences financières qui peuvent être graves.

Face à cette arnaque exploitée à un niveau industriel, la vie de l’entreprise est en jeu dans certains cas. Le MEDEF et la Direction centrale de la police judiciaire collaborent pour tenter d’endiguer le phénomène.

De quoi parle-t-on ? Dans une tribune publiée dans le courant de l’été, Yves Garagnon, P-DG d’Equity (pilotage de groupe et gouvernance), avait synthétisé les ressorts de cette « fraude au président » : « Virement en urgence, changement de RIB fournisseur, faux ordre de paiement, les méthodes sont diverses, mais l’arnaque débute le plus souvent par une usurpation d’identité. »

Tout en poursuivant :  « Le salarié, croyant avoir affaire à un ordre venant de niveaux hiérarchiques supérieurs, sous pression car contraint d’agir dans la confidentialité et la précipitation, va effectuer l’opération demandée sans se douter de la supercherie, et devenir malgré lui la cause de milliers voire de millions d’euros perdus. »

Son intervention était associée à une infographie de la société d’assurance-crédit Euler Hermes/DFCG rattachée au groupe Allianz (que nous reprenons en dessous de l’article pour illustration).

« 77% des entreprises ont été victimes d’au moins une tentative de fraude externe dans les douze derniers mois et que celles-ci ont subi plus de dix tentatives sur la même période. »

Un phénomène qui frappe tous types d’entreprises. On évoque au niveau national un préjudice de 400 millions d’euros avec au moins 400 grands groupes (avec des cas médiatisés comme Michelin ou KPMG) et 800 PME tombées dans le panneau. On découvre au fur et à mesure l’ampleur des dégâts dans le tissu économique.

Encore cette semaine, un exemple est sorti d’un document d’une société e-commerce remis à l’AMF en vue de sa prochaine introduction en Bourse : Miliboo a été victime d’une fraude au virement de 412 500 euros initié à l’insu de la société.

Le spécialiste de la vente de meubles design sur Internet se veut rassurant : les sommes seraient bloquées dans une banque en Lettonie sur un compte séquestré par la justice et récupérées d’ici 24 mois au maximum.

Une enquête judiciaire a été initiée entre la France et la Lettonie pour « fraude informatique ». Un délai qui peut être fatal pour toute entreprise à la trésorerie tendue.

Lors de la session organisée mercredi par la commission Innovation et Economie numérique de la CGPME, le volet de la protection des PME face aux cyber-attaques a été abordé.

François Asselin, Président de la Confédération générale des petites et moyennes entreprises, a repris l’exemple de l’entreprise BRM Mobilier (installée dans les Deux-sèvres).

Celle-ci est menacée de fermeture en raison d’une escroquerie de type « fraude au président » qui a siphonné dans le courant de l’été sa trésorerie d’un montant de 1,6 million d’euros.

« Usant de mails usurpant son identité et de coups de fils, l’escroc, jouant sur le scénario du rachat d’une entreprise, a obtenu plusieurs versements qui ont asséché la trésorerie de l’entreprise », relate La Nouvelle République. Une enquête a été ouverte pour escroquerie en bande organisée.

Le 11 septembre, le tribunal de commerce de Niort a placé BRM Mobilier en redressement judiciaire. Elle dispose d’un délai de 6 mois pour se remettre d’aplomb.

PME : cibles privilégiées des attaques

Lors de la session CGPME, Nathalie Malicet, Vice-Président de la Compagnie nationale des commissaires aux comptes, indique que ces experts de la comptabilité (audit et certification des comptes des sociétés) participent à la sensibilisation relative à la cyber-criminalité en entreprise. Y compris pour appréhender la « fraude au président ».

« Oui, les PME sont des cibles privilégiées des attaques. Oui, les attaques sont aléatoires. Les PME sont rarement autant protégées que les grandes entreprises », constate Nathalie Malicet. « Personne n’est à l’abri. Et le risque, c’est de mettre la clé sous la porte. »

Alors les responsables financiers (en entreprise) et les DAF (pour les groupes) se retrouvent en première ligne pour affronter ce type de fraude. D’où l’absolue nécessiter de bien encadrer en interne les processus de validation d’achats, de règlements de factures et de virements.

« Les escrocs profitent de l’absence du patron. Ils ont recours à l’ingénierie sociale pour mieux connaître le fonctionnement de l’entreprise. Ils se font passer pour des hauts responsables par mail et téléphone afin de pousser les collaborateurs en place à des virements importants. »

Sur de tels sujets, des brigades policières spécialisées dans le numérique comme la BEFTI (Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information) pour Paris et la Petite Couronne ou l’OCLCTIC (Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication) pour la province sont à contacter en priorité, préconise l’ANSSI.

L’agence nationale de sécurité numérique suit aussi l’évolution de cette fraude au président. Car, au-delà des mécanismes « classiques » de l’arnaque à décortiquer par la police, Cyrille Tessier, Coordinateur sectoriel à l’ANSSI ayant participé à cette demi-journée spéciale cyber-criminalité de la CGPME, constate qu’il existe un volet malware à creuser.

Comment les escrocs récupèrent les données internes des entreprises avant leurs méfaits ? Quels outils utilisent-ils pour cibler les responsables directement impliqués dans les process et décisions d’achats ou de facturation dans les sociétés ?

Et ce, afin de se montrer le plus crédible possible auprès des décideurs (mais parfois il peut s’agir aussi de simples collaborateurs imprudents ou négligents pris dans l’engrenage) lorsqu’il faudra les convaincre de réaliser l’irrémédiable…

La sensibilisation en entreprise en guise de premier rempart

On en revient toujours à un constat basique formulé par Pierre-Thomas Champely, co-fondateur et directeur technique ABOMICRO (une TPE de six personnes dédiée à la gestion des systèmes d’information interne ou hébergée).

Invité à la session CGPME, il considère que « le niveau de sensibilisation relative à la cyber-sécurité auprès des entreprises est meilleure qu’avant mais il demeure très insuffisant ».

Pierre-Thomas Champely poursuit : « Il faut créer des matrices d’analyses de risques simplifiées et mesurer les impacts. »

Représentant du CLUSIF (cercle de responsables de sécurité informatique au sein des entreprises), Lazaro Pejsachowicz considère qu’il faudrait avoir une personne par entreprise en charge de la veille sécurité informatique par entreprise.

« Car les attaques visant les PME sont les mêmes que celles affectant les grandes entreprises. Mais les conséquences peuvent être différentes en termes d’échelle. »

A la rentrée de septembre, nous avions évoqué le cas de la fraude au président avec un fournisseur de solutions technologiques plus corporate : NTT Com Security France (sécurité de l’information des risques).

Son directeur technique Pierre-Yves Popihn considère que ce type d’arnaque « nécessite peu de compétences » et que « les systèmes traditionnels de sécurité sont souvent inefficaces contre ces communications ». Pour éviter les risques, NTT Com Security France préconise la mise en place d’une « campagne d’attaques » afin d’évaluer le niveau de sécurité de l’entreprise.

« Ceci permet d’établir un plan de sensibilisation des employés que nous abordons au travers de sessions de formation. » Mais on en revient toujours aux fondements : sensibilisation de ses employés et validation des processus entre les services financiers des clients et les banques.

Car la responsabilité de cette dernière peut être invoquée. Le 30 octobre 2014, la banque CIC a été condamnée par le tribunal de commerce de Paris pour manque de vigilance dans une affaire de « fraude au président » associée à l’une de ses entreprises clientes (Etna Industries), rapporte Le Parisien.

Le CIC a été condamné à rembourser l’intégralité du montant frauduleux qu’il a autorisé à l’entreprise victime de cette escroquerie. Soit 100 000 euros. La banque a fait appel.

Infographie à partir d’une enquête Euler Hermes (assureur-crédit) et la DFCG (association nationale des directeurs financiers et de contrôle de gestion) datant de juin 2015 sur la fraude externe (enquête réalisée auprès de 184 entreprises).

http://www.leparisien.fr/espace-premium/actu/fraude-au-president-les-banques-jugees-responsables-11-12-2014-4364563.php


Lire la biographie de l´auteur  Masquer la biographie de l´auteur