Fraude au président : vous êtes une cible, ne devenez pas une victime
Il est vendredi, 16 h, et vous recevez un courriel de la part de votre président. Celui-ci explique vous avoir choisi vous, à titre de contrôleur, pour accomplir une tâche importante et confidentielle : procéder de toute urgence à un virement de fonds vers un compte bancaire à l’étranger pour conclure une transaction. Il vous a choisi spécifiquement, car vous êtes quelqu’un en qui il peut avoir confiance et il s’agit d’une transaction d’une importance capitale pour l’entreprise. Bien sûr, comme la transaction est confidentielle, il compte sur votre discrétion.
Tout de suite après ce courriel, un avocat vous appelle pour vous donner tous les renseignements nécessaires et toutes les instructions relativement au transfert de fonds. Flatté que le président vous ait choisi pour cette mission cruciale, vous suivez les instructions et procédez au virement.
Votre vie vient de basculer : vous avez été victime d’une fraude au président.
Les fraudes par faux ordre de virement international
La fraude au président, aussi appelée arnaque du faux dirigeant d’entreprise, est l’un des types de fraude dont l’objectif est de provoquer un transfert de fonds non autorisé. Un faux dirigeant exige de sa victime qu’elle effectue un virement international urgent. Un soi-disant avocat, identifié dans le courriel frauduleux, prend ensuite le relais pour donner des instructions supplémentaires à sa victime.
Les fraudeurs ne se limitent pas à cette seule stratégie. D’autres escroqueries sont commises pour provoquer des virements internationaux non autorisés.
Le technicien bancaire
Le fraudeur se présente comme un technicien bancaire qui doit procéder à un test de virement. Il assure sa victime que les transactions réalisées sont entièrement fictives et lui donne des consignes précises. Guidée par le fraudeur, la victime déclenche, à son insu, un véritable transfert de fonds ou donne accès à des renseignements qui seront utilisés par les malfaiteurs pour voler l’entreprise.
Le changement de compte d’un fournisseur
L’escroc prétend être le nouveau comptable d’un fournisseur de votre entreprise et demande à sa victime de modifier ses coordonnées bancaires. Les sommes transférées aux nouvelles coordonnées ne se rendront jamais au fournisseur, mais finiront dans les poches des fraudeurs.
Ces fraudes sont le plus souvent perpétrées au moyen d’un courriel ciblé envoyé à la victime, suivi par un appel visant à exercer une pression psychologique intense sur la personne. Avant de lancer ces offensives, les fraudeurs étudient leur cible, parfois pendant plusieurs mois. Recherche dans les réseaux sociaux, appels, demandes de sondages et courriels ciblés sont les techniques utilisées pour recueillir le plus de renseignements possible sur l’entreprise, ses dirigeants et leurs habitudes.
De plus, les progrès de l’intelligence artificielle, de l’hypertrucage et des logiciels de clonage vocal font en sorte qu’il est de plus en plus difficile de discerner le vrai de l’escroquerie.
Les fraudes en plein essor
Selon un rapport du FBI, les fraudes par compromission de messagerie ont augmenté de 65 % de 2016 à 2021 et ont entraîné des pertes de 43 milliards de dollars à l’échelle mondiale[1].
Aux États-Unis, la Federal Trade Commission signale que les arnaques à l’imposteur ont entraîné des pertes déclarées de 2,6 milliards de dollars en 2022, en hausse par rapport à 2,4 milliards de dollars en 2021[2]. Selon l’Internet Crime Complaint Center du FBI (IC3), des escroqueries ont été signalées dans tous les états américains et dans 177 pays[3].
Au Canada, le Centre antifraude du Canada (CAFC) souligne que les compromissions de messagerie d’entreprise et autres activités d’hameçonnage ciblé demeurent l’une des principales arnaques signalées, ayant donné lieu à des pertes de près de 26 millions de dollars au début de 2021 seulement[4].
Les grandes entreprises ne sont pas les seules cibles. Bien que des sociétés comme Google, Facebook et Toyota aient été la cible d’attaques totalisant des centaines de millions de dollars, les petites entreprises locales, les organismes gouvernementaux et les organismes sans but lucratif peuvent tous devenir des victimes[5].
Des conséquences qui vont au-delà des chiffres
Les conséquences de ces fraudes sont souvent importantes : faillite, mises à pied à grande échelle et chute du cours des actions, pour n’en nommer que quelques-unes. Qui plus est, les employés qui sont des victimes directes de ces escroqueries gardent souvent d’importantes séquelles psychologiques, en plus de subir de sérieux contrecoups professionnels (diminution des responsabilités, licenciement et période de chômage prolongée, etc.).
Peu de recours possibles
Dans de rares situations, l’argent a pu être récupéré. Il peut arriver que le nombre de virements, leur montant élevé ou leur destination inhabituelle éveille les soupçons du personnel de la banque, qui bloque alors l’opération. Une vérification rapide auprès du comptable de l’entreprise peut également permettre de détecter promptement la fraude. Si elle est signalée dans les 24 à 48 heures suivantes, il est possible que la banque puisse récupérer le virement.
S’il est trop tard pour empêcher la fraude, vous devez communiquer avec votre assureur; la couverture générale sur la fraude pourrait s’appliquer. Vous pouvez aussi tenter de poursuivre votre institution financière si elle n’a pas mis en œuvre les contrôles nécessaires. Les entreprises ayant été dédommagées par leur banque ne représentent cependant qu’une faible minorité des victimes.
Il est finalement impératif de porter plainte à la Sûreté du Québec ou à la Gendarmerie royale du Canada.
Une fraude facile à réaliser…
Tout indique que le phénomène de la fraude au président pourrait prendre de l’ampleur dans les prochaines années. Il s’agit en effet d’un moyen pour les fraudeurs de voler d’importantes sommes d’argent en prenant peu de risques : il est généralement très difficile de repérer les escrocs, et l’absence de violence physique lors de l’opération limite les peines imposées s’ils se font prendre.
De plus, les fraudes par faux ordre de virement international ne nécessitent que des moyens techniques à la portée de tous. En effet, pour commettre ce type de fraude il suffit d’avoir :
- un numéro de téléphone local;
- une adresse de courriel ressemblant à celle du président, du cabinet juridique, de la firme comptable, etc.;
- de l’information sur l’organisation, les responsables, leurs déplacements, leurs amis, leurs champs d’intérêt, etc.;
- un compte bancaire à l’étranger.
Tous ces éléments sont soit très courants, soit faciles à obtenir grâce aux technologies actuelles et aux réseaux sociaux, qui regorgent d’information que peuvent utiliser les fraudeurs
…et qui exploite les failles dans la sécurité des entreprises
Si les fraudes par faux ordre de virement international se multiplient, c’est avant tout parce que de trop nombreuses entreprises souffrent d’importantes failles de sécurité. En effet, ces fraudes ne peuvent avoir lieu que dans un environnement où les systèmes de contrôle interne sont déficients. Bien souvent, les moyens technologiques déployés pour assurer la sécurité de l’entreprise sont insuffisants, ce qui ouvre la porte aux fraudeurs.
Le manque de sensibilisation aux risques de fraude et la méconnaissance des stratégies les plus courantes auxquelles les escrocs ont recours constituent également des failles majeures dans l’infrastructure de gestion de risques d’une entreprise. L’idée selon laquelle « la fraude n’arrive qu’aux autres » est encore aujourd’hui malheureusement trop répandue dans les entreprises et explique le manque d’attention portée aux mesures de prévention de la fraude.
Parmi les mesures visant à prévenir les fraudes ou à préparer les employés à repérer les escroqueries, mentionnons une campagne de sensibilisation continue, des outils de sécurité technologiques et des contrôles internes robustes.
Comment les entreprises peuvent-elles se préparer?
L’importance de la sensibilisation
Une campagne de sensibilisation adéquate et continue aux risques de fraude est la première mesure de prévention qui devrait être adoptée. Elle doit également cibler particulièrement les personnes à risques, c’est-à-dire celles qui ont accès aux fonds de l’entreprise ou qui ont l’autorité nécessaire pour déclencher des virements.
Le président doit faire circuler son message : si vous recevez une demande urgente et confidentielle de ma part, faites-moi attendre et vérifiez la demande!
AIDEZ VOS EMPLOYÉS À VOUS AIDER
Le premier objectif d’une campagne de sensibilisation à la fraude est de développer, au sein de l’organisation, la capacité de reconnaître les situations potentiellement problématiques. Ainsi, une telle campagne doit fournir des exemples de scénarios frauduleux et mettre l’accent sur les caractéristiques qui permettent de les reconnaître. Parmi celles-ci, notons les demandes urgentes (particulièrement lorsqu’elles émanent de la haute direction), les requêtes des dirigeants provenant de leurs comptes de courriel personnels, et des adresses de courriel ou des noms de domaine qui présentent de légères différences par rapport à ceux de l’entreprise (p. ex., ajout d’une lettre au nom du dirigeant, « abe.com » au lieu de « abc.com » comme nom de domaine).
Le deuxième objectif d’une telle campagne est de développer chez les employés les bons réflexes en cas de situations suspectes. Le réflexe le plus important consiste à ne jamais accepter de procéder à un virement, de divulguer de l’information ou de modifier des coordonnées bancaires sans une deuxième vérification, en dehors du système de courriel. Un simple appel téléphonique suffit la plupart du temps, à condition de ne pas se fier aux numéros de téléphone contenus dans les courriels suspects et d’utiliser une source fiable pour valider les coordonnées des personnes responsables. Ce simple réflexe pourrait permettre à votre entreprise d’éviter une fraude.
Il est également d’une importance cruciale de sensibiliser tous les employés aux dangers que pose la diffusion d’informations confidentielles. Les voyages prévus par le président de l’entreprise, par exemple, ne devraient en aucun cas être rendus publics. Dans de nombreuses fraudes, les malfaiteurs se sont servis de renseignements de ce type pour perpétrer leur vol, sachant que le président ne serait pas joignable par les voies habituelles.
Des outils de sécurité technologiques efficaces
De nombreux outils de sécurité technologiques existent pour vous protéger des tentatives de fraude. Bien qu’aucun de ces outils ne soit en lui-même une garantie contre des attaques frauduleuses, leur utilisation combinée permet d’ériger des barrières difficiles à surmonter pour les fraudeurs.
Votre système de virement doit d’abord être protégé par une authentification à deux facteurs, qui consiste généralement à combiner un identifiant ou mot de passe détenu par une personne et un code temporaire géré par un objet physique (téléphone cellulaire, jeton d’authentification, clé USB, etc.) détenu par une deuxième personne. Ce type d’authentification réduit au minimum les risques qu’un pirate puisse déclencher un virement non autorisé.
Un outil d’authentification et de filtrage des courriels contribue aussi à assurer la sécurité de votre système en désamorçant plusieurs menaces potentielles. Cet outil procède à une identification visuelle des courriels externes, signale les courriels utilisant des noms de domaine similaires à celui de votre entreprise et permet de générer des listes noires pour bloquer les courriels dangereux qui passent entre les mailles du filtre antipourriel.
Implanter un système de détection des intrusions et activer les journaux de sécurité sur vos serveurs figurent parmi les meilleures pratiques à adopter. Vous serez mieux à même de repérer les activités suspectes sur votre réseau et de recueillir de l’information sur les tentatives de piratage dont votre entreprise fait l’objet. Si l’attaque réussit, les journaux de sécurité seront essentiels pour enquêter et notamment s’assurer que l’attaque n’a pas été perpétrée avec des complices au sein de l’organisation.
Des contrôles internes robustes
Le renforcement de vos contrôles internes est la composante la plus importante d’une stratégie de prévention de la fraude. Une réévaluation complète de votre programme antifraude pourrait être de mise afin d’évaluer les risques liés à la fraude au président et de mettre en œuvre des contrôles appropriés.
Vos politiques de contrôle de virements doivent faire l’objet d’une attention particulière, tout comme la sécurité de votre système de virement. Vous devez impérativement examiner les questions suivantes :
- Qui a accès au système permettant d’effectuer des virements?
- Une seule personne peut-elle envoyer un virement?
- Les limites de virement sont-elles trop élevées?
- Les mots de passe du système de virement sont-ils sûrs (longueur, changement, complexité, désactivation automatique, etc.)?
- L’authentification à deux facteurs est-elle utilisée?
La sécurité de tous vos systèmes doit également être évaluée de manière globale. Une telle analyse permettra de savoir si des pirates sont déjà installés dans votre environnement informatique, si vous êtes ou avez déjà été la cible d’attaques et si vous disposez de ressources humaines et matérielles suffisantes pour détecter et contrer une attaque.
Votre banque peut s’avérer un allié important dans votre stratégie antifraude. Il est important de vous assurer avec elle que les contrôles sont bien conçus pour prévenir ce type de fraude. De plus, il est fortement conseillé de demander que soient implantés des contrôles accrus sur les virements inhabituels, comme une vérification par téléphone avec confirmation de l’identité.
Assurer une sécurité à long terme
Une fois les contrôles internes renforcés, il est crucial de valider régulièrement vos procédures de contrôle. Vous pourrez ainsi vous assurer qu’elles sont bien mises en œuvre et fonctionnent correctement. Une évaluation régulière de vos procédures de contrôle vous permettra également de les mettre à jour afin de faire face aux nouvelles menaces qui émergeront dans les prochaines années.
L’unique façon d’assurer la sécurité de votre entreprise à long terme est de miser sur une stratégie holistique de gestion des risques de fraude. Seule une telle stratégie permettra de déterminer les risques de fraude les plus importants, de mettre en place des contrôles appropriés pour chaque scénario et d’évaluer les mesures en place.
Combattre à armes égales
Ne vous faites aucune illusion : il est probable que les fraudeurs qui vous ciblent font partie d’organisations criminelles structurées. Pour parvenir à leurs fins, ils disposent d’un savoir-faire sophistiqué et d’outils informatiques à la fine pointe de la technologie. Votre organisation peut-elle en dire autant?
Peu d’entreprises peuvent prétendre être en mesure de combattre à armes égales avec des fraudeurs professionnels. Par conséquent, l’aide d’experts dans le domaine de la lutte contre la fraude est indispensable pour assurer la sécurité de vos activités. Vous êtes une cible. Ne prenez pas le risque de devenir une victime.