Êtes-vous curieux de savoir comment vos choix financiers peuvent réellement contribuer à la lutte contre le changement climatique ? Voulez-vous découvrir les initiatives innovantes mises en place au Luxembourg pour promouvoir la finance durable ? Dans cette interview, Laetitia Hamon, Head of Sustainable Finance à la Bourse de Luxembourg, partage ses idées et expériences sur ce sujet crucial. Pour comprendre comment vous pouvez faire la différence et être un acteur du changement vers un avenir plus durable, lisez cet article.
Pourquoi et comment sensibiliser vos collaborateurs à la “fraude au président” ?
Des montants très importants ont déjà été dérobés aux entreprises par le moyen de la fraude au président et il n’est jamais trop tard pour se prémunir contre ces menaces. Pour ce faire, nous avons choisi d’interroger nos experts qui sont en contact direct avec notre clientèle professionnelle, ainsi que ceux en charge de la sécurité des données. Jean-Luc Bermes et Philippe Hennes, Corporate Banking ainsi que Lars Weber, Information Security Officer au sein de Spuerkeess, nous partagent leurs recommandations, afin de vous protéger davantage contre ces menaces. Bonne lecture !
Pouvez-vous nous expliquer ce qu’est la “fraude au président” ?
Il s’agit d’une escroquerie au niveau de virements frauduleux. Ceux-ci sont souvent effectués par les employés d’une entreprise, sans même qu’ils ne puissent se rendre compte qu’ils font partie d’un scénario de fraude. En effet, le fraudeur manipule un employé qui va finir par initier un virement, et ce virement frauduleux sera par la suite validé et signé par d’autres employés mandataires sur le compte, voire même les gérants de l’entreprise. Le virement ainsi lancé parait légitime alors qu’il ne l’est pas.
La fraude se déroule en deux temps :
1. La collecte d’information
Les escrocs vont rechercher tout type d’information sur l’entreprise, ses patrons et ses employés, en visitant le site internet et les réseaux sociaux (p.ex. profils Linkedin), ou en achetant des informations sur des sites spécialisés en intelligence économique. Ensuite, ils vont entrer dans l’intimité de l’entreprise de façon intrusive, en contactant les employés avec de faux prétextes pour soutirer d’autres informations. Par exemple, une réceptionniste qui dévoile la nature (congé ou congé maladie) et la durée d’absence d’un collaborateur à un inconnu qui cherche à le joindre par téléphone, fournit de précieuses informations à un fraudeur.
Une fois que les escrocs ont à leur disposition assez d’informations sensibles, ils vont imaginer un scénario qui tienne la route afin d’approcher leur cible.
2. La manipulation
Avec un stratagème bien pensé, les escrocs vont ensuite entrer en contact avec leur cible par téléphone ou par e-mail, dans le but de leur faire initier des paiements, en changeant un numéro de compte et en insistant sur le fait que la situation est exceptionnelle, très urgente, à haute confidentialité, etc. En effet, le moment du passage à l’acte est souvent très bien choisi, en l’absence d’un supérieur hiérarchique, ou pendant le congé maladie d’un associé, tous les ingrédients sont là pour pousser la cible à céder.
Les escrocs peuvent également pirater une boîte e-mail, afin de collecter des données telles que les contacts d’un carnet d’adresses, se procurer des informations présentes dans les correspondances pour s’en servir comme argument d’accroche, ou simplement se servir du compte e-mail pour entrer en contact. Ils se font ainsi passer pour l’expéditeur réel d’un e-mail et utilisent des documents falsifiés tels que des ordres de virement, factures, etc. comme justificatifs pour déclencher des transactions frauduleuses.
Des variantes plus classiques existent également ; elles se basent sur l’envoi d’une fausse facture éditée au nom d’un sous-traitant réel à une entreprise et envoyée sous forme de papier (poste) ou électroniquement (e-mail), avec la seule différence que le numéro de compte a été changé.
Quelles entreprises sont concernées par cette fraude ?
Toutes les entreprises doivent se sentir concernées par les fraudes. Toutefois, plus les entreprises ont une hiérarchie complexe et/ou éloignée géographiquement, plus elles se rapprochent de la cible parfaite pour des fraudeurs. Aussi, lorsque les intervenants d’une entreprise ont peu de contacts directs avec leurs dirigeants, le risque d’exécuter un virement frauduleux peut être encore plus élevé.
Le type d’entreprise qui est ciblée a donc souvent :
-
Une structure complexe et/ou géographiquement dispersée : organisation et hiérarchie
-
Un réseau de partenaires et sous-traitants important
-
Une direction géographiquement séparée de l’entité
-
Peu de contact direct entre les exécutants et dirigeants
Il faut cependant souligner qu’aucune entreprise petite, moyenne ou grande ne peut être exclue.
Quels conseils donneriez-vous aux entreprises, pour se prémunir contre la « fraude au président » ?
Avant tout, le meilleur conseil que nous pouvons donner aux entreprises est de SENSIBILISER leurs employés au maximum. En effet, ce sont les employés qui constituent la première cible d’une fraude au président, qu’ils touchent de près ou de loin, à la chaîne financière de l’entreprise. Ainsi, il est important que les cadres, employés administratifs et toute personne ayant accès à la trésorerie ou étant en lien avec la comptabilité, prennent connaissance de l’existence des divers types d’escroqueries.
Ainsi, pour se prémunir d’une fraude, toute entreprise est fortement invitée à :
Sensibiliser ses collaborateurs contre les escroqueries
Des employés avertis sur les types d’escroqueries qui sévissent sont un réel atout pour votre entreprise. En effet, vos employés sont les premiers à être ciblés dans ce type d’escroquerie, c’est pourquoi il est essentiel qu’ils sachent reconnaitre une situation qui ne leur semble pas normale ou inhabituelle (exemple : un fournisseur qui a l’habitude d’envoyer ses factures par la poste, mais la dernière est arrivée par e-mail). Ces situations doivent éveiller vos soupçons, lorsqu’elles sont d’une extrême urgence, à très haute confidentialité et inhabituelles.
Se munir de procédures internes de contrôle
Même si vous n’aimez pas les procédures trop rigides, sachez que pour votre sécurité elles sont un réel frein à la fraude. Un processus de validation strict peut déjà vous protéger mieux face aux escroqueries. Par exemple, afin de s’assurer de la conformité d’une facture, pourquoi ne pas mettre en place une procédure qui comporte divers niveaux de validation dont peut-être l’une d’elle doit impérativement se faire entre quatre-yeux ? Ou bien simplement en tenant une liste restreinte de numéros de comptes courants à utiliser en tant que bénéficiaires, ne pouvant être changée qu’en suivant une procédure interne de validation. De même qu’il est important de toujours vérifier l’origine d’un courrier électronique. L’adresse ou l’auteur d’un e-mail sont souvent camouflés. À première vue tout parait correct, mais en regardant de plus près, on se rend compte qu’il s’agit d’une « contrefaçon » quasi identique à l’adresse que l’on connait déjà.
Ces quelques façons de renforcer le contrôle des virements vous permettra déjà d’avoir un premier filtre pour éviter les erreurs d’inattention.
Contacter sa banque en cas de doute
Dès lors qu’une facture ne semble pas correspondre aux précédentes (nouveau compte bancaire, numéro de téléphone inconnu, etc.) cela doit attirer toute l’attention du destinataire. De plus, si les doutes de l’entreprise quant à la véracité du document persistent après cette vérification, il est recommandé de s’adresser à son conseiller bancaire qui pourra vérifier à son tour l’authenticité du document. La banque souhaite anticiper les risques de fraude plutôt que de devoir informer son client qu’il s’est fait escroquer.
Une transaction très urgente et très confidentielle doit attirer toute votre vigilance !
Lars Weber
Et s’il est trop tard, que faut-il faire ?
Dès lors qu’une entreprise remarque avoir été la cible d’une escroquerie, elle se doit de/d’:
Informer sa banque immédiatement
La banque va ainsi tenter de bloquer toutes les transactions et procéder à un « call-back », c’est-à-dire qu’elle va rappeler les fonds auprès de la banque du bénéficiaire, s’il en est encore temps.
Déposer plainte auprès de la police
Comme pour tout vol dans la vie courante, lorsqu’une entreprise est victime d’une escroquerie, elle doit aussitôt porter plainte auprès de la police. Un procès-verbal est ainsi dressé et une copie doit être transmise à la banque.
Les 7 règles à retenir dans le cadre de la « fraude au président »
1. Sensibiliser, sensibiliser et encore sensibiliser son personnel ;
2. Vigilance maximale lorsqu’il s’agit de transactions urgentes, ultraconfidentielles et à montants importants ;
3. Vigilance maximale lorsqu’il s’agit de changer les coordonnées bancaires d’un client ou sous-traitant existant ;
4. Vérifier l’authenticité de l’expéditeur et des données sur la facture (numéro de compte, numéro de téléphone, adresse e-mail, etc.) ;
5. Mettre en place, si possible, une validation « 4 yeux » pour les transactions à montants importants ;
6. Éviter d’ouvrir des fichiers joints douteux ;
7. Informer sa banque en cas de doute.
Vous souhaitez en savoir plus sur le sujet ?
Spuerkeess se ferait un plaisir de vous convier à son prochain workshop. Pour être informé de la date, veuillez remplir le formulaire ci-après.