Avsnitt
-
L'essentiel des activités cybercriminelles s'appuient sur l'usurpation d'identité :
Le phishing (ou smishing ou vishing...) usurpe une identité par mail pour vous faire télécharger un virus ou vous faire divulguer une info sensible. Pour un changement de RIB le fraudeur se fait passer pour le titulaire légitime du compte bancaire. Pour une fraude au président, il se fait passer pour le dirigeant ou une autorité gravitant autour de l'entreprise...Donc une des pierres angulaires de votre sécurité passe par la vérification de l'identité de vos interlocuteurs, quels que soient votre métier ou votre position dans l'entreprise.
Et la difficultĂ© principale rĂ©side dans la multitude de canaux qui peuvent ĂȘtre utilisĂ©s pour vous contacter. Vous utilisez probablement plusieurs outils comme le mail, les SMS, le tĂ©lĂ©phone, les messageries instantanĂ©es ou la visio. AUCUN de ces canaux n'apporte techniquement de garantie sur l'identitĂ© de votre interlocuteur.
Aucun, jusqu'à ce que des experts de la cryptographie créent Olvid. Thomas BaignÚres est l'un d'eux et il vous explique comment ça marche et pourquoi cette solution Made In France est beaucoup plus robuste que tout ce que vous avez utilisé jusqu'à aujourd'hui.
Pour vous aider à aller directement aux sujets qui vous intéressent, voici la chronologie de cet épisode :
0' : contexte
1'40" : Pourquoi Olvid permet de ne plus douter de l'identité de vos interlocuteurs
4'56" : Pourquoi les autres messageries ne peuvent pas donner de garantie sur les identités
9'56" : Comment ça marche concrÚtement ?
14'24" : Comment Olvid s'inscrit dans les outils de l'entreprise ?
26'54" : Comment créer des liens avec l'extérieur de l'entreprise ?
28'31" : Partager ses contacts comme dans la vie réelle
29'28" : Faire adopter l'outil au plus grand nombre
32'38" : Gérer la séparation vie pro / vie perso
-
Lorsqu'une entreprise est victime d'une fraude au président, le ou la salariée qui s'est fait manipuler perd souvent son emploi.
C'est ce qui est arrivé à Sandie qui nous a courageusement livré son témoignage.
Ăa m'a d'abord paru trĂšs injuste : comme si les consĂ©quences psychologiques ne suffisaient pas...
Mais ensuite ça m'a amené à me poser la question des rÚgles de droit qui s'appliquent :
Dans quelles conditions une entreprise peut-elle faire porter toute la responsabilité de cette erreur à sa salariée ?
Quelles obligations est-ce que l'employeur doit avoir remplies pour justifier cette faute ?
Pour explorer cet aspect de la fraude, j'accueille dans cet épisode Me Sandra Lévy Regnault qui est avocate, spécialiste du droit du travail.
Elle vous explique tout : les types de fautes, la différence entre une rÚgle et un usage, les obligations de formation...
Découvrez tout ce qui peut vous aider à respecter les rÚgles et à vous défendre, que vous soyez employeur ou salarié !
-
Saknas det avsnitt?
-
Novembre 2020, un hĂŽpital français est attaquĂ© par un ransomware. Son informatique est externalisĂ©e dans un datacenter, sur une baie de serveurs qui est partagĂ©e avec d'autres entreprises. L'une d'elles est un prestataire informatique qui vend ses services Ă des entreprises de la rĂ©gion nantaise. Oxinet fait partie de ses clients. Cette PME de 40 personnes va ĂȘtre une victime collatĂ©rale de l'attaque initiale.
Antoine Pigeault, son dirigeant, vous raconte comment il a géré cette situation : 3 semaines sans données commerciales ou comptables et le risque de perdre 10 ans d'histoire de son entreprise.
Il vous donne 2 conseils qu'il a tirĂ© de cette expĂ©rience et que vous devez appliquer sans attendre de vivre la mĂȘme chose que lui :
1- ne vous croyez pas invulnérable
2- RĂ©flĂ©chissez aux premiĂšres actions que vous allez faire si vous ĂȘtes dans la mĂȘme situation
-
En matiÚre de fraude ou d'attaque cyber il y a un "avant", un "pendant" et un "aprÚs". Donc ces trois phases doivent apparaitre dans votre dispositif de prévention pour qu'il soit complet.
Le "avant" ce sont tous vos outils de sécurité informatique et la formation de vos utilisateurs pour leur permettre d'éviter les attaques.
Le "pendant", c'est la vigilance de vos salariés qui va les faire réagir à temps et alerter rapidement les bonnes personnes dans votre organisation.
Et le "aprĂšs" ?
Comment revenir Ă une situation normale ?
Comment maintenir la confiance de vos clients et la motivation de vos Ă©quipes ?
Comment faire face aux pertes financiĂšres directes et indirectes ?
Votre assureur est probablement le bon interlocuteur pour répondre à ces questions.
Dans cette séance de fraudologie, j'accueille Frédéric Peynoche qui a fondé le cabinet de courtage Investys France. Il va vous aider à y voir clair sur les solutions d'assurance, les garanties, les services, les coûts : vous allez tout savoir !
-
"Comment a-t-elle pu se faire avoir comme ça ???"
Si vous avez Ă©coutĂ© le tĂ©moignage de Sandie, vous vous ĂȘtes peut-ĂȘtre posĂ© cette question. En tout cas moi, je me la suis posĂ©e.
Et pour y rĂ©pondre de la maniĂšre la plus constructive possible et sans jugement, je vous propose une analyse de ce qui a pu se passer dans sa tĂȘte avec l'aide d'Isabelle Pinceloup. Isabelle est psychologue spĂ©cialisĂ©e dans la psychologie du travail. Elle nous apporte un Ă©clairage trĂšs instructif sur les mĂ©canismes qu'exploitent les fraudeurs et nous donne des pistes pour anticiper les risques, ne pas sous-estimer les compĂ©tences du fraudeur et rĂ©parer le traumatisme.
Qui sont les meilleures victimes potentielles ?La prĂ©vention de la fraude passe par l'identification des profils qui peuvent prĂ©senter le plus de risque. Et contre toute attente, Isabelle dresse le portrait robot de l'employĂ© (ou de l'employĂ©e) idĂ©al : empathique, soucieux de bien faire, respectueux de l'autoritĂ©... Et qui est en train de vivre un changement pro ou perso. DĂ©couvrez si vous ĂȘtes la victime idĂ©ale ou si elle fait partie de votre Ă©quipe grĂące Ă la description et aux explications de notre psychologue !
Qui sont les fraudeurs ?Pour se protĂ©ger efficacement, il faut connaĂźtre son adversaire. Isabelle dĂ©crit les principaux traits de caractĂšre de celui qui va tenter de mettre sa victime sous influence. Intelligent, rassurant, il sait mettre sa victime dans un Ă©tat Ă©motionnel qui va l'empĂȘcher de rĂ©flĂ©chir. Il sait Ă©galement lui dire ce qu'elle a envie d'entendre en la valorisant et en la responsabilisant.
Et ce sont toutes ces caractéristiques qui sont ses meilleures armes et ne le sous-estimez pas : il saurait vous influencer tout comme il a influencé Sandie.
Comment sortir de l'influence du fraudeur ?On l'a vu le fraudeur va soumettre sa victime en parlant Ă ses Ă©motions. Et ce sont prĂ©cisĂ©ment ces Ă©motions qui vont empĂȘcher Sandie de rĂ©flĂ©chir. Or pour rompre le "charme", il faut justement se poser, prendre le temps de rĂ©flĂ©chir et analyser la situation. C'est ce travail d'analyse qui va permettre de sortir des Ă©motions et multiplier les chances de s'arrĂȘter Ă temps.
Comment se reconstruire et renforcer l'entreprise ?En Ă©coutant tĂ©moignage de Sandie, vous avez certainement senti son traumatisme. La douleur qu'elle a vĂ©cue et qu'elle vit encore mettra du temps Ă s'attĂ©nuer. Isabelle nous explique pourquoi : quels sentiments se mĂȘlent et renforcent le choc ?
Découvrez aussi comment la victime peut se reconstruire et quelles seront ses difficultés dans cette reconstruction. L'entourage est important c'est certain mais quand vous n'avez plus du tout confiance ni en vous ni dans les autres, comment se livrer et demander de l'aide ?
Et enfin qu'est-ce qu'il faut mettre en place dans l'entreprise pour se renforcer aprĂšs une fraude ? MĂȘme si le ou la salariĂ©e quitte la boite, il y aura toujours quelqu'un qui sera exposĂ©. La responsabilitĂ© de l'entreprise est d'identifier ce risque, de le prendre en compte et de s'y prĂ©parer. La communication, la prĂ©vention et surtout l'implication des Ă©quipes participeront Ă renforcer la structure.
-
Les procédures et la technologie ne sont pas la réponse à tout
Pour parvenir à leurs fins, les fraudeurs utilisent souvent des outils informatiques, notamment pour collecter de l'information sur leur cible. Mais ça n'est pas parce que votre attaquant utilise des moyens informatiques que la solution la plus efficace est elle aussi de nature informatique !
Dans cette séance je vous propose une vision différente, voire décalée, pour lutter contre la fraude au faux fournisseur. Je me suis inspiré du livre "Nudge, Comment inspirer la bonne décision". Cet ouvrage passionnant dresse plusieurs constats intéressants sur les moyens de guider les choix. Une des idées développée est l'importance de l'option par défaut. C'est à dire l'option que vous proposez à vos utilisateurs s'ils ne veulent pas faire de choix.
Or en matiÚre de lutte contre la fraude au faux fournisseur, la solution qui vient le plus vite à l'esprit est de mettre en place une procédure de contrÎle plus ou moins complÚte et plus ou moins technologique. Mais cela ne fonctionne que si vos équipes l'appliquent à la lettre. Et donc que vos salariés s'engagent trÚs sérieusement dans son application. Dans le prolongement des nudges, je me suis donc demandé comment faire pour que ces vérifications soient le moins possible influencées par la volonté ou la capacité des personnes qui les réalisent.
Et bien ma conclusion ne peut pas ĂȘtre plus simple : quand vous recevez une demande de modification d'IBAN, il ne faut pas modifier le numĂ©ro de compte !
Ne rien faire, mais le faire bien
Bien entendu je ne me suis pas arrĂȘtĂ© lĂ . Je vous explique en dĂ©tail ce qui peut arriver dans le cas oĂč la demande est lĂ©gitime et ce qui va se passer si elle ne l'est pas.
Tout se base en réalité un élément trÚs simple. Une information que le fraudeur ne peut pas détenir. Une information que seuls vous ET votre fournisseur détenez à un moment précis. Cette information, c'est le constat que les fonds ont été transférés sur le compte de votre bénéficiaire. Ce constat, il n'y a que vous et votre fournisseur (ou votre salarié) qui pouvez le faire.
Une fois qu'on a choisi de ne rien faire suite à une demande de changement de RIB, il va falloir se souvenir que vous l'avez reçue. Car une fois que votre fournisseur se sera fait de nouveau payer sur son ancien compte bancaire, il va vous relancer pour que vous fassiez enfin la modification. Et à cet instant-là , il vous faudra vérifier que vous aviez effectivement reçu une demande de sa part. Car alors vous serez sûr(e) que c'est bien votre fournisseur qui vous aura fait la demande initiale. S'il ne l'a pas faite, il n'aura aucune raison de vous relancer !
Donnez-moi votre avis !
Cette solution sort nettement des sentiers battus mais je suis convaincu qu'elle peut significativement réduire votre exposition à ce type de fraude. La seule condition sera de briefer vos équipes et qu'elles ne fassent jamais la modification de RIB à la premiÚre demande.
Bien sûr ça repose sur de l'humain donc c'est faillible, comme toutes les solutions, technologiques ou non. Mais dans cette proposition, ça ne vous coute aucun investissement et surtout ça s'appuie sur une "non-action". Et il est beaucoup plus facile de demander à vos équipes de ne pas agir plutÎt que de changer leurs habitudes.
Je suis impatient d'avoir vos avis donc envoyez-moi vos commentaires Ă [email protected] !
-
La fraude au prĂ©sident. Nous sommes en juillet 2020, en plein dĂ©confinement post-COVID. Sandie est comptable dans une entreprise familiale de 50 personnes. Un avocat l'appelle pour lui annoncer qu'elle va ĂȘtre un maillon essentiel dans une opĂ©ration de fusion/acquisition confidentielle. Sandie vient d'entrer dans une bulle dont elle ne sortira qu'aprĂšs avoir virĂ© 520 000âŹ. Une bulle dont elle ne sortira pas indemne.
Toujours le mĂȘme schĂ©ma
Nous l'avons vu dans les précédents épisodes qui parlent de ce sujet (épisodes 2, 3 et 5), la fraude au faux président suit un schéma précis :
L'importance : la fusion/acquisition en cours est d'une importance stratĂ©gique pour l'entreprise. Et Sandie veut bien faire pour ĂȘtre utile Ă son employeur. Elle va faire tout ce qu'il faut pour ne pas faillir. L'urgence : la victime ne doit pas avoir le temps de rĂ©flĂ©chir. Le fraudeur l'installe immĂ©diatement dans cette urgence. Et Sandie commence dĂšs le premier jour Ă faire des virements. Des messages rĂ©pĂ©tĂ©s : Le fraudeur va maintenir Sandie sous pression. Il multiplie les messages et les appels tĂ©lĂ©phoniques. Il met en place une procĂ©dure trĂšs organisĂ©e pour vĂ©rifier rĂ©guliĂšrement que tout est fait dans les rĂšgles. La pression ne retombe jamais. La valorisation : la victime est mise en confiance par la flatterie. C'est elle la bonne personne pour mener Ă bien l'opĂ©ration. On compte sur elle pour ne pas faillir... Et on l'enferme dans cette certitude. La confidentialitĂ© : pour Ă©viter que son conditionnement soit fragilisĂ©, la victime ne doit parler de l'opĂ©ration en cours Ă personne. Ni ses collĂšgues, ni sa famille, ni son employeur.AprĂšs ĂȘtre entrĂ©e dans ce cercle vicieux, il est extrĂȘmement difficile d'en sortir avant qu'il ne soit trop tard.
Un contexte fragileForcément, Sandie se sent coupable, nulle, incompétente.
Mais la victime, c'est elle, avant d'ĂȘtre son entreprise. Et plusieurs Ă©lĂ©ments l'ont exposĂ©e au risque qui s'est traduit par cette fraude.
Le premier est liĂ© au contexte Ă©conomique : en juillet 2020, l'entreprise sortait tout juste du confinement liĂ© Ă la COVID-19. Les aides gouvernementales, le chĂŽmage partiel et les PGE (PrĂȘts Garantis par l'Etat) ont favorisĂ© l'accroissement de la trĂ©sorerie de l'entreprise. La perspective que ses dirigeants aient identifiĂ© une cible pour une croissance externe est tout Ă fait plausible.
Le second Ă©lĂ©ment qui a favorisĂ© cette fraude est liĂ© au processus de paiement : Sandie pouvait rĂ©aliser des virements seule, sans l'intervention informatique de son dirigeant. Une signature manuelle sur un document papier n'a jamais empĂȘchĂ© un virement d'ĂȘtre envoyĂ© Ă la banque. La preuve.
Le dernier point de fragilité à noter est lié à la relation de Sandie avec son patron. Le dirigeant est plus occupé à gérer ses clients et sa production industrielle qu'à veiller sur sa comptable. Et on peut trÚs bien le comprendre. Mais ce manque flagrant de communication a permis aux fraudeurs d'isoler facilement Sandie de sa hiérarchie. Et là le conseil que vous donne Fabien Pelletier dans son témoignage de l'épisode 2 prend tout son sens.
-
SĂ©bastien est responsable administratif et financier dans une TPE de nĂ©goce. Dans cette sĂ©ance, il nous offre une masterclass de la fraude au faux fournisseur ! En 2018 cette expĂ©rience a Ă©tĂ© un vĂ©ritable Ă©lectro-choc. Et elle lâa poussĂ© Ă mettre en place tout ce quâil pouvait pour faire en sorte quâelle ne puisse jamais se reproduire. Si vous voulez Ă©conomiser quelques (dizaines de) milliers dâeuros je ne peux que vous conseiller une Ă©coute attentive de ce concentrĂ© de conseils pratiques !
Que sâest-il passĂ© ?
Un nouveau fournisseur Ă©tranger, un piratage de boite mail et un petit caractĂšre qui change dans une adresse mail (le « typosquatting » dĂ©crit par mon invitĂ© de lâĂ©pisode prĂ©cĂ©dent Thomas Kerjean). Il nâa pas fallu plus pour quâun virement parte vers le compte du fraudeur. Mais le fournisseur, lui, attend toujours son rĂšglement et il a fallu payer une deuxiĂšme fois et câest une part du rĂ©sultat net annuel qui sâenvole.
Non, ça nâarrive dĂ©finitivement pas quâaux autres !
Les mesures dâurgence
Quand la supercherie est identifiĂ©e quelques jours aprĂšs le virement, SĂ©bastien imagine les premiĂšres mesures : on met en place des contrĂŽles et on implique tout le monde. Plus question de se faire avoir et la responsabilitĂ© ne peut ĂȘtre que collective, en particulier dans une structure de 5 personnes !
Des dĂ©tails qui ont leur importance : si vous dĂ©cidez de mettre en place des vĂ©rifications manuelles, le changement de canal ET le changement dâinterlocuteur doivent vous interpeller. Si vous recevez une demande de changement dâIBAN par mail, faites-vous confirmer la demande par une autre personne chez votre fournisseur et idĂ©alement par un autre canal, au cas oĂč le premier aurait Ă©tĂ© piratĂ©.
Faire des vĂ©rifications câest bien mais pas nâimporte commentâŠ
Lâartillerie lourde
SĂ©bastien a vite compris que lâorigine de lâattaque Ă©tait le piratage du systĂšme de messagerie de son fournisseur. Et il a eu lâintelligence de se dire quâĂ son tour il pourrait faire subir ce type de fraude Ă ses propres clients si son informatique Ă©tait compromise.
Il a donc fait tout ce quâil fallait pour renforcer sa sĂ©curitĂ© informatique :
VPN (Virtual Private Network) pour les dĂ©placements Ă lâĂ©tranger Pare-feu pour les connexions internet SystĂšme de sauvegarde en cas de compromission plus grave (ransomware ou autres)Mais aussi ses Ă©changes bancaires :
mise en place de connexions EBICS certificats numériques matérielsLa morale de cette histoire
Il aura fallu un traumatisme qui reste encore trĂšs prĂ©sent aujourdâhui dans les esprits de tous les membres de lâĂ©quipe. Il aura fallu investir quelques centaines dâeuros annuels en prestations informatiques et outils bancaires pour Ă©viter des milliers dâeuros de perte sĂšche.
Mais aujourdâhui son entreprise nâa jamais Ă©tĂ© aussi bien armĂ©e pour faire face Ă tous les types de fraude externe possibles !
Et vous, vous attendez quoi pour vous Ă©quiper ?
-
Le dĂ©nominateur commun entre toutes les fraudes est la rĂ©cupĂ©ration d'informations sur la cible. Et pour y parvenir, les fraudeurs s'introduisent dans votre informatique par la grande porte : votre messagerie Ă©lectronique. Pour blinder cette porte et empĂȘcher ces intrusions, il faut sĂ©curiser la messagerie mais aussi ses utilisateurs. Thomas Kerjean, dirigeant de la sociĂ©tĂ© MailInBlack, vient nous parler du savoir-faire qu'il met en Ćuvre avec son Ă©quipe pour vous y aider.
Des attaques au ROI élevéLes fraudeurs sont (presque) des entrepreneurs comme les autres ! Et à ce titre ils cherchent à optimiser la rentabilité de leurs activités et donc le retour sur investissement le plus élevé. Avec le développement trÚs fort du travail à distance et la multiplication des données disponibles sur les réseaux sociaux, le ROI des attaques sur la messagerie continue d'augmenter. Heureusement la technologie progresse et permet d'identifier de plus en plus efficacement les mails risqués. Thomas vous explique ces aspects de maniÚre trÚs pédagogique.
Un risque systĂ©miqueSĂ©curiser sa messagerie c'est bien mais si vos partenaires ne sont pas protĂ©gĂ©s, le risque reste prĂ©sent. Thomas nous parle du rapport de l'institut Montaigne sur le sujet du risque systĂ©mique (que vous pouvez retrouver ici : rapport Cyber menace). MĂȘme s'il n'est pas possible de sĂ©curiser totalement le systĂšme entier, la communautĂ© est une force pour tous les utilisateurs de la solution. Ăcoutez comment ça marche !
De la technologie mais pas sans des humainsEn tant que sociĂ©tĂ© technologique, on peut s'attendre Ă ce que MailInblack soit trĂšs bon techniquement. Et je pense sincĂšrement que c'est le cas. Mais j'ai Ă©tĂ© frappĂ© par la conscience aigĂŒe de Thomas de l'importance de l'humain dans la sĂ©curisation. Lui et son Ă©quipe dĂ©veloppent un outil d'Ă©ducation numĂ©rique qui m'a bluffĂ© !
-
Baptiste Collot est le premier expert auquel je fais appel pour enrichir notre vision de la lutte contre la fraude. Il a fondĂ© en 2017 la sociĂ©tĂ© Trustpair aprĂšs avoir travaillĂ© dans un grand groupe français oĂč il a Ă©tĂ© confrontĂ© aux difficultĂ©s pour gĂ©rer une donnĂ©e fondamentale dans la vie dâune entreprise : lâIBAN.
Dans les sĂ©ances prĂ©cĂ©dentes on a parlĂ© de faux prĂ©sident et de faux fournisseur, et donc de fraude au virement puisquâil sâagit bien du but des fraudeurs : recevoir des fonds par le biais dâun virement sur leur compte bancaire. Quand on se penche sur la fraude au virement, on en arrive inĂ©vitablement Ă penser Ă la gestion des tiers, câest Ă dire les bĂ©nĂ©ficiaires quâon doit payer. Il va falloir les enregistrer puis saisir leur numĂ©ro de compte et lâidentifiant de leur banque (le code BIC). Mais comment ĂȘtre sĂ»r que la personne qui mâa envoyĂ© son RIB est bien celle quâelle prĂ©tend ĂȘtre ? Comment ĂȘtre sĂ»r quâelle est bien titulaire du compte dont jâai le numĂ©ro entre les mains ? Et enfin comment ĂȘtre sĂ»r que cette information nâa pas changĂ© depuis le dernier virement que jâai fait Ă mon fournisseur ou Ă mon salariĂ© ?
Quand jâai contactĂ© Baptiste jâavais en tĂȘte la solution SEPAmail DIAMOND qui a Ă©tĂ© imaginĂ©e justement pour rĂ©pondre Ă ces questions. Mais dans cette sĂ©ance nous verrons ses limites et toute l'intelligence qui peut y ĂȘtre ajoutĂ©e pour mieux vous protĂ©ger : câest justement la spĂ©cialitĂ© de Trustpair. En exploitant un maximum de sources donnĂ©es diffĂ©rentes, en les croisant, en mutualisation les analyses des comportements de paiement de leurs clients, et en Ă©largissant constamment leur couverture gĂ©ographique, ils parviennent Ă crĂ©er un systĂšme de vĂ©rification trĂšs robuste et qui fonctionne en Europe et au-delĂ .
Leur service nous permet dâimaginer ce que sera la gestion des tiers dans lâavenir : une tĂąche automatique et fiable qui ne permettra plus aux fraudeurs de parvenir Ă leurs fins. Mais le chemin est encore long avant quâil soit possible de vĂ©rifier nâimporte quel numĂ©ro de compte dans nâimporte quel pays donc il faut rester vigilant et continuer de miser sur lâhumain pour vous protĂ©ger !
-
Dans cette nouvelle séance, une fois n'est pas coutume je vais vous parler un peu de technique.
Tout simplement parce qu'on va décortiquer les intrusions dans votre ordinateur et dans le systÚme d'information de votre entreprise. Si je voulais expliquer tous les types d'attaques possibles, il me faudrait plusieurs mois mais ici nous allons nous concentrer sur 2 thÚmes récurrents dans la fraude : les rançongiciels (ransomware dans la langue de Shakespeare) et le phishing (hameçonnage dans la langue de MoliÚre ;-).
Les premiers vous prennent en otage et le deuxiĂšme mise tout sur votre envie de cliquer sur tout ce qui peut ĂȘtre cliquĂ© : un lien dans un mail ou une piĂšce jointe. Mais surtout, les deux sont liĂ©s : les rançongiciels n'existeraient pas sans le phishing et c'est lĂ que le facteur humain prend toute sa valeur car il va vous falloir identifier si vous pouvez cliquer en toute sĂ©curitĂ© ou si vous devez jeter ce mail qui vous encourage pourtant Ă le faire !
Nous allons voir ensemble ce qui doit vous aider Ă ne pas vous faire avoir et vous Ă©viter ces deux fraudes qui nous touchent autant Ă titre perso qu'Ă titre pro !
-
Des costumes multiples
Vous connaissez probablement la fraude au faux fournisseur, c'est celle dont nous parlions avec mes invités des épisodes 2 et 3 de ce podcast. Mais le président n'est pas le seul costume que les fraudeurs peuvent endosser. Il peut s'agir d'un avocat, d'un banquier ou de n'importe qui du moment que le rÎle donne de l'ascendant au fraudeur sur sa victime.
Une fraude qui continue d'Ă©voluer
Cette fraude existe depuis 10 ans mais elle continue d'évoluer. En effet avec l'essor de la visioconférence, les usurpateurs commencent à utiliser la vidéo pour rendre leur fausse identité encore plus crédible, c'est le cas de l'exemple dont je vous parle dans cette séance : le faux "Jean-Yves Le Drian" ! Une affaire digne des meilleurs films d'espionnage...
Et si le fraudeur rĂ©alisait lui-mĂȘme les virements Ă votre place ?
C'est prĂ©cisĂ©ment ce qu'il parvient Ă faire en se faisant passer pour un faux technicien bancaire. Je vous explique ici comment il s'y prend et quels sont les points de vigilance Ă avoir en tĂȘte.
-
Quand on veut correctement se protĂ©ger contre la fraude, le point de dĂ©part incontournable est de bien connaĂźtre les risques auxquels lâentreprise est exposĂ©e.
Je vous propose donc une sĂ©rie de cinq sĂ©ances au cours desquelles je nâaurai pas invitĂ© mais jâen profiterai pour vous prĂ©senter en dĂ©tail les principaux types de fraude qui ont Ă©tĂ© rapportĂ©s par les entreprises françaises en 2019 ainsi que des exemples de protections que vous pouvez mettre en place simplement.
Dans le premier Ă©pisode de cette sĂ©rie je vous propose de vous expliquer ce quâest une fraude au faux fournisseur. Jâai choisi de commencer par celle-ci parce quâil reprĂ©sente une tentative de fraude sur 2 en 2019. Si vous en avez dĂ©jĂ entendu parler, vous allez peut-ĂȘtre en dĂ©couvrir dâautres aspects qui sont moins connus et pourtant tout aussi susceptibles dâarriver Ă nâimporte quelle entreprise.
Vous pourriez Ă©galement ĂȘtre visĂ©(e) Ă titre personnel avec le 3Ăšme aspect de cette fraude : le faux crĂ©ancier de prĂ©lĂšvement !
-
CĂ©line est responsable comptable et ses fonctions lâont exposĂ©e Ă de nombreuses tentatives de fraudes. Dans cette sĂ©ance de fraudologie, elle nous parle de la fraude au prĂ©sident et de ses convictions concernant le management des Ă©quipes comptables.
La sensibilisation des Ă©quipes comptables plus efficace que les meilleurs outils informatiques
Ici CĂ©line nous dĂ©crit les Ă©tapes de validation des virements qui devaient ĂȘtre respectĂ©es dans son entreprise. Ce processus prĂ©cis avait Ă©tĂ© mis en place pour protĂ©ger lâentreprise des erreurs et des fraudes. Mais jâai Ă©tĂ© frappĂ© de constater que les tentatives de fraude quâelle nous dĂ©crit ont toutes Ă©tĂ© bloquĂ©es avant mĂȘme que les outils soient utilisĂ©s ! En effet les comptables qui ont Ă©tĂ© contactĂ©es ont rĂ©agi et partagĂ© leurs doutes avec les collĂšgues avant dâaller trop loin. Quand on nâest pas dans le feu de lâaction ça peut paraitre facile, mais pour arriver Ă avoir des Ă©quipes aussi solides cela suppose dâavoir beaucoup travaillĂ© en amont et câest ce que CĂ©line nous explique. Il sâagit dâun travail de longue haleine qui doit ĂȘtre renouvelĂ© trĂšs rĂ©guliĂšrement pour ĂȘtre rĂ©ellement efficace !
Sanctuariser les services financiersLe point de vue de CĂ©line est Ă©galement intĂ©ressant car câest celui dâune « opĂ©rationnelle », jâentends par lĂ quâelle vit les choses de lâintĂ©rieur, contrairement Ă un dirigeant qui est nĂ©cessairement plus Ă©loignĂ© du terrain. Et pour protĂ©ger les Ă©quipes des attaques, CĂ©line nous explique pourquoi il est important pour elle de ne pas communiquer sur les Ă©quipes comptables et financiĂšres et de le leur expliquer. En effet il sâagit lĂ dâun vĂ©ritable exercice de management : en les cachant, lâentreprise protĂšge ses comptables et valorise lâimportance de leur fonction.
Des critĂšres dâanormalitĂ© identifiĂ©sPour une sensibilisation complĂšte et efficace des Ă©quipes, nous avons soulignĂ© quelques critĂšres qui doivent ĂȘtre rĂ©guliĂšrement remis en avant. En effet dans le groupe de promotion immobiliĂšre dans lequel elle travaillait, les opĂ©rations internationales Ă©taient rares et devaient Ă©veiller lâattention. Encore faut-il que les comptables sachent identifier facilement quâun numĂ©ro de compte est français ou pas !
Enfin, le moment de la semaine oĂč on se trouve confrontĂ© Ă une situation anormale doit Ă©galement ĂȘtre considĂ©rĂ© comme un signal fort. Les fraudeurs veulent augmenter leurs chances de rĂ©ussite maximisant la fragilitĂ© de leurs interlocuteurs. Une de leurs armes est dâattaquer au moment oĂč leurs « proies » seront les moins attentives. Donc dans des moments de stress comme des veilles de jours fĂ©riĂ©s ou de week-end en fin de journĂ©e, les salariĂ©s sont pressĂ©s de rentrer chez eux et pourraient vouloir se « dĂ©barrasser » dâune demande en la traitant avec moins de rigueur que dâhabitude. Il est donc important de leur rĂ©pĂ©ter rĂ©guliĂšrement comment rĂ©agir dans ces situations !
-
Comme de nombreux dirigeants, Fabien sait que son identitĂ© peut ĂȘtre usurpĂ©e dans le cadre dâune fraude au prĂ©sident. Il aurait pu mettre en place des procĂ©dures, des contrĂŽles, ou toute sortie dâoutils pour protĂ©ger ses Ă©quipes mais il nâen a rien fait. Il a misĂ© sur une astuce qui sâest rĂ©vĂ©lĂ©e redoutablement efficace : lâhumour !
PrĂ©venir plutĂŽt que guĂ©rirEn matiĂšre de lutte contre la fraude, la prĂ©vention est souvent la solution la plus efficace. Mais cette prĂ©vention peut se traduire de nombreuses façons ! Certains prĂ©fĂšreront lâinstallation dâoutils informatiques qui obligent le dirigeant Ă valider les ordres de virement. Dâautres choisiront de rĂ©aliser des contrĂŽles stricts qui permettront dâĂ©viter les erreurs. Et il existe bien dâautres parades. Toutes ces solutions peuvent ĂȘtre parfaitement pertinentes si elles sont adaptĂ©es Ă lâorganisation de lâentreprise et Ă son mode de management. Mais peu dâentreprises mesurent rĂ©ellement le retour sur investissement de ces solutions. En rĂ©alitĂ©, dans plus dâun cas sur deux (selon lâĂ©tude Euler HermĂšs / DFCG 2020), le facteur humain est dĂ©terminant pour dĂ©jouer une tentative de fraude.
Fabien Pelletier est un dirigeant qui a un style bien Ă lui et en particulier un sens de lâhumour trĂšs fin. Alors que la fraude au prĂ©sident est encore balbutiante, il participe Ă une rĂ©union du CJD (le Centre des Jeunes Dirigeants dâentreprises) sur le sujet. Il dĂ©cide alors de miser sur ce facteur humain en impliquant les personnes clefs dans la sĂ©curitĂ© financiĂšre de lâentreprise : sa directrice financiĂšre et son responsable informatiqueâŠ
Un bonus pour les crĂ©ateurs dâentrepriseSi vous ĂȘtes en phase de crĂ©ation dâentreprise ou que vous devez modifier la raison sociale de votre entreprise, je ne peux que vous conseiller dâĂ©couter cette sĂ©ance de fraudologie jusquâau bout ! Vous pourriez bien Ă©conomiser quelques centaines dâeuros en profitant de lâexpĂ©rience de FabienâŠ
-
Christophe a vĂ©cu une fraude Ă laquelle on a tous pensĂ© un jour : le vol de son numĂ©ro de carte bancaire ! Sa conseillĂšre bancaire a parfaitement rĂ©agi mais ça sâest gĂątĂ© quand un collaborateur de sa banque a commencĂ© Ă le soupçonner de ne pas ĂȘtre quâune victime...
Une situation quâon pourrait tous vivreChristophe Greis est le dirigeant de lâagence GĂ©nĂ©rale des Services de la FlĂšche. Comme de nombreux chefs dâentreprise, il utilise le site internet de sa banque pour consulter ses comptes et rĂ©aliser ses virements. Un jour il voit apparaitre des opĂ©rations anormales sur son compte professionnel : des virements vers son compte personnel. Ensuite 3 paiements par carte sont dĂ©bitĂ©s de son compte personnel auquel est rattachĂ© la carte bancaire en question. Presque 30 000⏠lui ont alors Ă©tĂ© dĂ©robĂ©s !
Il a le bon rĂ©flexe et appelle dâabord sa conseillĂšre bancaire. Celle-ci bloque immĂ©diatement la carte, puis il va porter plainte pour officialiser lâexistence dâune fraude.
Il rĂ©cupĂšre rapidement la moitiĂ© des fonds mais le solde tarde Ă lui ĂȘtre restituĂ©. Il se retrouve alors confrontĂ© Ă un collaborateur de sa banque qui lui fait sentir que sa responsabilitĂ© dans cette situation semble ĂȘtre engagĂ©eâŠ
Un fraude qui peut en cacher une autreNotre Ă©change sâest beaucoup concentrĂ© sur la rĂ©cupĂ©ration des fonds et le sujet de sa carte. Mais Christophe explique aussi quâil a commencĂ© par constater des virements anormaux entre ses comptes avant dâĂȘtre dĂ©bitĂ© par carte. Ceci indique que le fraudeur ne sâest pas contentĂ© de rĂ©cupĂ©rer ses numĂ©ros de carte. En effet il disposait Ă©galement de son identifiant et de son mot de passe pour se connecter au site bancaire ! Les fraudeurs utilisent de nombreuses mĂ©thodes pour vous soutirer ces informations. Mais la mĂ©thode utilisĂ©e est incontestablement le phishing.
Pour aller plus loinEn France, une loi oblige la banque Ă restituer les fonds dans le cas dâune opĂ©ration non autorisĂ©e. Il sâagit de lâarticle 133-18 du Code monĂ©taire et financier. NĂ©anmoins la banque peut refuser de restituer les fonds si elle soupçonne son client dâĂȘtre Ă lâorigine de la fraude. Câest pour cette raison que je vous conseille de porter plainte pour dĂ©montrer que vous ĂȘtes la victime. Sans preuve de votre dĂ©pĂŽt de plainte, votre banque pourrait ne pas prendre en compte votre demande.
Attention si vous ĂȘtes tentĂ© de dĂ©poser une fausse plainte ! Sachez quâil sâagit dâune escroquerie et que la peine maximale que vous encourez est de 375 000⏠et de 5 ans dâemprisonnement. De quoi y rĂ©flĂ©chir Ă deux foisâŠ
Merci !A lâoccasion de cette toute premiĂšre sĂ©ance de fraudologie, je tiens Ă remercier chaleureusement Christophe pour sa participation. Un Ă©norme merci Ă©galement Ă Didier Chateau, le prĂ©sident de la GĂ©nĂ©rale des Services, qui mâa fait lâamitiĂ© de me mettre en relation avec Christophe.