Aller au contenu
Accueil » Articles » La fraude au président

La fraude au président

En quoi consiste la fraude au président ?

La fraude au président débute souvent par téléphone ou par email auprès d’un collaborateur, généralement du service comptable ayant des droits au virement. Le malfaiteur usurpe l’identité d’un tiers reconnu dans l’organisation. Il peut s’agir d’un supérieur hiérarchique ou encore d’un client de l’entreprise. Il demande au collaborateur d’exécuter un virement bancaire de toute urgence. Cette personne va se montrer très mécontente, et peut vous menacer de vous faire virer si le virement n’est pas effectué de suite. Les malfaiteurs appliquent une pression psychologique pour arriver à leurs fins.

Les malfaiteurs commencent par récupérer des informations confidentielles sur l’entreprise telles que :

  • l’organigramme,
  • la liste des sociétés filiales,
  • l’identité des dirigeants et de la direction,
  • les réseaux sociaux,
  • les adresses email et numéros de téléphone,
  • les manières de rédiger, la mise en forme et la signature des mails,
  • les périodes de fortes activités,
  • le nom des banques et des conseillers,
  • le nom des fournisseurs et des clients,
  • les factures clients et fournisseurs ou tout autre tiers,
  • les bulletins de salaires,
  • les systèmes et logiciels utilisés,
  • les usages, les habitudes et les procédures internes.

Ces informations peuvent être récupérées de différentes manières :

  • par une approche directe, auprès du personnel de l’entreprise, en se faisant passer pour un prospect ou un tiers,
  • par une cyberattaque. Les malfaiteurs peuvent s’introduire et espionner l’entreprise jusqu’à trouver la faille dans une procédure ou un comportement humain pour mieux exécuter la fraude,
  • par internet. Certaines informations sont disponibles sur les réseaux sociaux.

Quelle est la proportion de fraude au président ?

Aucune statistique ne permet de représenter le poids ni la récurrence de cette fraude en France. En effet, afin de conserver son image de marque, la plupart des entreprises préfèrent ne pas porter plainte et ne pas communiquer sur ce sujet.
En février 2023, le parquet de Paris annonce avoir interpelé 8 suspects qui auraient escroqué 38 millions d’euros en réalisant des fraudes au président.
Aux Etats-Unis, les statistiques sont représentatives de la situation actuelle :

35% des cyberattaques sont des fraudes au président, d'après le IC3 2022. Les pertes financières d'une attaque par BEC sont 49 fois plus élevées qu'une attaque par rançongiciel. Les attaques par BEC augmentent de plus en plus, 19 954 plaintes en 2021 vs 21 832 plaintes en 2022. En 2022, les 21 832 plaintes représentent une perte de 2.7 milliards de dollars.
Statistiques aux Etats-Unis d’après le rapport annuel IC3 2022 du FBI

*BEC : Business Email Compromise (Equivalent à la fraude au président et ses variantes)

D’après Verizon DBIR report, 85% des fuites de données impliquent une interaction humaine. La sensibilisation des collaborateurs pour faire face à la fraude au président et aux cyberattaques est devenue un enjeu majeur pour les entreprises pour rester protégées.

Les variantes de la fraude au président

La demande de changement d’IBAN

Les malfaiteurs usurpent l’identité d’un de vos fournisseurs ou d’un de vos salariés et font la demande de changement d’IBAN.

La création de fausses factures

Les malfaiteurs créent des factures au nom d’un de vos fournisseurs ou d’un de vos tiers, la ressemblance avec les factures habituelles est souvent parfaite, seul l’IBAN est changé.

Dans ces deux cas, la finalité est d’exécuter le virement sur le compte bancaire du malfaiteur.

Quelles sont les bonnes pratiques à mettre en place face à ces fraudes ?

De bonnes pratiques efficaces sont accessibles et adaptées pour toutes tailles d’entreprises. Voici quelques exemples pour commencer à sécuriser votre processus de paiement :

  • Sécuriser vos systèmes pour éviter le risque d’intrusion.
  • Sensibiliser vos collaborateurs aux informations divulguées sur leurs réseaux sociaux personnels et professionnels, en rappelant de ne pas communiquer d’informations sensibles et confidentielles telles que :
    • l’organigramme de l’entreprise,
    • les jours de congés des collaborateurs,
  • Effectuer des rappels réguliers à l’ensemble des collaborateurs et plus particulièrement au service comptable et financier, ainsi qu’au standard et au secrétariat qui sont les plus exposés à cette fraude.
  • Informer systématiquement des procédures aux remplaçants de ses services, même sur des périodes de courtes durées.

Le contrôle interne joue un rôle primordial dans la réduction des fraudes et erreurs. L’existence de procédures claires et adaptées à la structure est donc essentielle au service financier.

Concernant le processus de paiement d’une facture, les points suivants sont fortement recommandés dans la procédure :

  • Les bons de commandes et de livraisons ou tout autre pièce justificative doivent être rattachés à la facture.
  • La validation par le demandeur de la commande de la conformité de la facture. (Via votre outil de gestion/comptabilité ou par une signature)
  • La vérification de l’IBAN par le service comptabilité :
    • L’IBAN doit correspondre à celui déjà présent dans votre logiciel comptable.
      • En cas de doute ou s’il est différent, appeler votre contact habituel ou le standard de l’entreprise pour valider l’IBAN.
      • S’il s’agit d’un nouveau fournisseur, demander la confirmation de l’IBAN.
    • Mettre en place un processus de validation de paiement incluant au moins deux collaborateurs. (généralement le DAF et un dirigeant).
    • Mettre en place des plafonds maximaux de virement. Au-delà de ce plafond, une tierce validation est recommandée pour valider les fonds. (Il peut s’agir d’un appel par votre banquier).
    • Rappelez qu’il ne faut jamais payer une facture dans l’urgence. Toute facture doit être validée par le process mis en place par le contrôle interne avant son paiement.

Ne jamais joindre les coordonnées présentes sur une facture. Nous vous recommandons de contacter votre interlocuteur habituel.

En conclusion

La fraude au président est une pratique courante des malfaiteurs pouvant avoir des conséquences désastreuses pour l’entreprise sur le plan financier, sécurité mais aussi sur son image de marque.
Il est donc primordial de sensibiliser l’ensemble des collaborateurs de manière récurrente aux différentes fraudes, et de sécuriser les infrastructures et systèmes de l’entreprise.

Origin Lab peut vous accompagner à la sécurisation de vos systèmes et infrastructures par des tests d’intrusion et des alertes de sécurité. Nous proposons également des campagnes de sensibilisation personnalisées aux risques cyber pour l’ensemble de vos collaborateurs.

Pour en savoir plus

https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-001.pdf

Étiquettes: