Alors que le gouvernement Philippe a annoncé un allégement des contraintes prévues par la loi de finance 2016 en matière de la lutte contre la fraude à la TVA, les entreprises vont pouvoir se pencher sur d’autres sujets liés à la fraude. Des sujets qui constituent pour elles des risques financiers et non simplement réglementaires.

Une étude récente menée par la DFCG et l’assureur Euler Hermes  révèle en effet que 81 % des entreprises ont fait l’objet d’une tentative de fraude au cours de l’année passée. La lutte contre la fraude est devenue un enjeu « important » ou « très important » pour 99 % (à comparer à 85 % il y a deux ans) des professionnels interrogés dans une autre étude, menée par le cabinet d’audit et conseil Grant Thornton . Avec, à la clef, un risque financier pour 87 % des entreprises interrogées , un risque sur les données (commerciales, clients) pour 49 % d’entre elles, un risque d’interruption de l’activité ou des opérations pour près d’un tiers et un risque de réputation pour 31 % des sondés.

Fraude au président

Parmi les premiers sujets, bien évidemment, la désormais célèbre fraude « au président » , qui a représenté 58 % des tentatives de fraude subies en 2016. Forte d’un important taux de réussite, cette fraude – dans laquelle les fraudeurs tentent d’obtenir des responsables comptables ou financiers de l’entreprise un virement vers un compte extérieur – s’est démocratisée et diversifiée : même les PME et TPE sont aujourd’hui visées et le principe connaît de nombreuses variations, depuis la fraude au faux bailleur jusqu’à la fraude au faux fournisseur (55 % des tentatives). « Plusieurs de nos clients ont été attaqués récemment : ils se sont vu demander de régler leurs factures à notre nom sur un nouveau numéro de compte… L’un d’entre eux l’a fait », se désole le directeur financier d’une entreprise de 200 millions de chiffre d’affaires, contraint d’écrire à tous ses clients pour leur rappeler ses procédures.

De fait, l’imagination des fraudeurs ne connaît pas de limite : on a vu de faux banquiers, faux avocats, faux techniciens, faux commissaires aux comptes et même de faux commissaires de police (qui demandaient à l’entreprise de « tester » un virement). Les moyens technologiques sont à la hauteur des ambitions : très grande connaissance de l’entreprise visée, avec une analyse fine des données disponibles sur Internet comme sur les réseaux sociaux, mais aussi numéros de téléphone falsifiés et adresse mail factices. « Les fraudeurs sont prêts à investir du temps et de l’argent sur ce type de fraude : le retour sur investissement est bon », relève un professionnel de la cybersécurité.

Ransomware

Mais les entreprises ont récemment découvert un autre type de fraude : les « ransomwares » ou « rançongiciels », des logiciels extorqueurs qui bloquent les données jusqu’au paiement de la somme réclamée par les pirates. Quelque 22 % des entreprises auraient été touchées en 2016, mais ce n’est que le début.

« Les premiers ransomware sont apparus il y a trois ou quatre ans, mais c’est avec les récents WannaCry et Petya que de nombreuses entreprises ont pris la gravité de ces attaques qui ne sont pas ciblées sur l’entreprise, mais peuvent les toucher dans une vague massive, détaille un professionnel de la cybersécurité. Sur la masse, certaines entreprises payent, d’autant que les sommes demandées ne semblent pas très élevées. C’est une erreur car, outre le fait qu’elles alimentent le système, elles n’ont qu’une faible chance de récupérer ainsi leurs données. »

Fraude interne

Derrière cette actualité, il ne faut pas oublier d’autres fraudes, toujours actives. Parmi elles, la fraude au téléphone : le piratage du système téléphonique de l’entreprise permet de nombreux appels vers des numéros surtaxés, pouvant entraîner des factures de 5.000 à 10.000 euros avant que les responsables financiers se rendent compte de l’arnaque. Il y a aussi des fraudes au faux client, dans lesquelles la marchandise est détournée et revendue. « C’est beaucoup plus courant qu’on ne le pense : l’entreprise peut être ciblée dès lors qu’il y a un marché pour ses produits », explique un assureur.

Et, bien sûr, la fraude interne. « Le sujet reste tabou, mais l’importance de la fraude interne ne diminue pas dans les entreprises, souvent mise en oeuvre par des salariés qui ne s’estiment pas reconnus à leur juste valeur », relève un expert-comptable. Une étude de PWC de 2016 montrait ainsi que 30 % des fraudeurs étaient des salariés de l’entreprise (en France) : « Il s’agit très majoritairement d’un homme (76 %) qui, du fait de son ancienneté et de son positionnement hiérarchique, bénéficie de la confiance de sa direction et reste difficile à identifier a priori. […] Un constat de terrain : le fraudeur est généralement une personne sympathique appréciée de ses collègues de travail et de la direction », indiquait PWC.

Pour se protéger, les entreprises misent tout d’abord sur la formation et l’information des salariés, sur des procédures de contrôle interne, incluant double signature et séparation des pouvoirs, et, bien sûr, sur les outils techniques ou informatiques. « La digitalisation et la numérisation des documents permettent de limiter certains risques. Mais il faut s’assurer de la solidité de ses systèmes à travers des audits de sécurité et des tests d’intrusion réguliers », rappelle un professionnel. Sans oublier évidemment de mettre en place un plan de crise : en matière de fraude, comme de cybersécurité, le risque zéro n’existe pas.

Source : business.lesechos.fr

Consultez notre brochure Risk@Cyber

Testez votre entreprise face aux risques cyber  : Remplissez ce questionnaire, en quelques minutes. Vous obtiendrez le résultat de votre évaluation en 24h !

Vous souhaitez