Vous seriez vraiment très naïf de tomber dans le panneau d’une fraude au président, n’est-ce pas ? En fait, non. Cette technique de fraude a priori facile à détecter coûte littéralement des millions aux entreprises.
Les sociétés françaises à elles seules ont perdu près de 500 m d’euros depuis 2010 ; elles sont plus de 15 000 à en avoir été victime. Aux États Unis, le FBI estime à 7 000 le nombre d’entreprises à avoir été dépouillées de plus de 740 m de $ sur les deux dernières années. Et il ne s’agit que des chiffres communiqués.
La simplicité de cette escroquerie, alliée à des techniques avancées d’ingénierie sociale, rend ce délit extrêmement efficace. Sans être de la cybercriminalité, bien qu’elle puisse aussi cibler des boîtes de messagerie, elle peut contourner les procédures internes de sécurité informatique car elle cible les maillons les plus vulnérables de la sécurité de l’entreprise: nos collaborateurs.
Qu’est-ce qu’une fraude au président? Les escrocs se font passer pour le directeur de l’entreprise, ou un haut dirigeant, et contactent un jeune employé par téléphone ou par courriel, en lui demandant d’agir de toute urgence sur un dossier strictement confidentiel, qui débouche généralement sur un transfert de fonds vers le compte du criminel. À titre d’exemple, un employé s’est fait manipuler en 2015 et a transféré 17 m de $ en trois virements bancaires vers une société écran en Chine.
Pourquoi est-ce si efficace? Les criminels organisés sont très appliqués. Ils cherchent des entreprises et « hameçonnent » un grand nombre de données personnelles d’employés de bureau et de gestion, comme leurs noms et adresses électroniques. Les escrocs passent ensuite leur appel téléphonique, se font passer pour le PDG, ou envoient un message en utilisant la technologie pour lui donner l’aspect d’un courriel réellement envoyé par la direction, ou encore, contraignent l’employé à effectuer malgré lui un transfert de fonds frauduleux.
Comment lutter contre cette fraude? Les processus internes stricts ne suffisent souvent pas car ces criminels utilisent les informations personnelles qu’ils ont volées pour tromper l’employé et contourner les protocoles de sécurité de l’entreprise, au point de faire porter à l’employé la responsabilité de la fraude.
La formation et la vigilance sont les réponses les plus réalistes. Vous pouvez enseigner à vos employés les étapes de sécurité suivantes :
- Prenez votre temps : ne vous laissez pas berner par la fausse urgence avancée par les escrocs. Prenez votre temps pour établir la légitimité de la demande
- Authentifiez : prenez du recul et contactez directement les parties impliquées dans le transfert pour clarifier et authentifier les raisons derrière ce transfert de fonds
- Transférez : n’hésitez pas à transférer la demande à votre supérieur, ou à l’équipe de gestion des risques, ou au responsable de la sécurité informatique, pour confirmer qu’il ne s’agit pas d’une alerte de hameçonnage.
La fraude au président est ciblée personnellement, ce qui la rend crédible et efficace : il est facile d’en être la victime. Le nombre impressionnant d’entreprises ayant subi cette fraude prouve que non seulement elle est efficace, mais qu’elle est toujours en augmentation et qu’elle constitue une menace réelle.
Ses implications dépassent la perte de fonds. Les employés qui sont victimes de cette ingénierie sociale peuvent se retrouver, involontairement, à l’origine de fraude et de vols importants et encourir des poursuites.
En formant les employés à être vigilants aux signes précurseurs de la fraude, comme les demandes urgentes de dernière minute, les transferts vers des contrées lointaines et les appels inattendus (franchement, le PDG vous appellerait-il personnellement ?), les entreprises peuvent lutter contre le crime organisé et les larges pertes financières.
==========
Delphine Leroy, Underwriting Director - Financial Lines, Continental Europe chez CNA Hardy.
Je dirige les équipes de soucriptions Management Liability, Institutions Financières et RC Professionnelle de CNA Hardy’s en Europe Continentale. Suivez-moi sur LindekIn suivez les articles du blog de CNA Hardy sur LinkedIn ou sur cnahardy.com.
Suivez les articles du blog de CNA Hardy sur LinkedIn ou sur cnahardy.com.