Membre de la Direction financière d’une entreprise, vous êtes contacté par un supposé dirigeant de celle-ci. De manière confidentielle et urgente, il vous presse de réaliser sans plus attendre un virement vers un nouveau compte. Une fois les fonds transférés, vous êtes informé que le dirigeant en question n’a jamais formulé une telle demande : l’entreprise vient alors d’être victime d’une fraude au président (ou fraude au faux ordre de virement, FOVI).
Avec un préjudice de 430 millions d’euros subi par les entreprises françaises en l’espace de trois ans (OCRGDF), cette fraude audacieuse et sophistiquée constitue une réelle menace. Découvrez-en le fonctionnement ainsi que les moyens de protéger votre entreprise.
Qu’est-ce que la fraude au président ou escroquerie au FOVI ?
La fraude au Faux Ordre de Virement, aussi appelée arnaque au président, consiste pour un escroc à se faire passer pour un dirigeant ou une personne élevée dans la hiérarchie dans l’entreprise. Il détermine en amont les personnes à contacter, notamment les donneurs d’ordre bancaire, à l’instar des équipes comptables.
Il se rapproche ensuite des cibles désignées par email ou téléphone et déroule une stratégie bien rodée. Le fraudeur vous intime de procéder à un virement exceptionnel en son nom sur un compte bancaire spécifique. Il insiste notamment sur les caractères « urgent » et « confidentiel » de la demande, ceci afin de vous pousser à agir sans communiquer avec d’autres collaborateurs de l’entreprise. Grâce à l’usurpation d’identité conférant une position d’autorité au fraudeur, mais également de sa demande surprenante et urgente, celui-ci manipule le donneur d’ordre et parvient alors à ses fins.
Opérant depuis le début des années 2010, la fraude au président ne cesse de s’intensifier et se sophistiquer depuis.
Fraude au président et arnaque au FOVI : une fraude qui se multiplie
Une étude du cabinet Euler Hermes révèle effectivement que ce type d’escroquerie demeure, en 2020, l’une des méthodes privilégiées des fraudeurs, à hauteur de 38% des entreprises françaises. Sur la seule période 2012-2017, ce sont ainsi 2300 plaintes qui ont été déposées pour la seule fraude au FOVI (Police Nationale, via l’OCRGDF) ; un chiffre certainement sous-évalué, les entreprises pouvant craindre une atteinte à leur réputation. Le montant des dommages est souvent colossal : sur l’année 2020, Euler Hermes révèle ainsi que « près d’une entreprise sur 3 » a subi un préjudice supérieur à 10 000 euros.
La lutte contre les escroqueries deviens une priorité
Face à l’ampleur d’une telle menace, la Police Judiciaire fait de la fraude au FOVI une priorité. Le chef de la section concernée, Thierry Pezennec, indique ainsi à Trustpair que les conséquences sont souvent dramatiques. A la fois sur un plan humain et financier. Il évoque par exemple le cas d’une entreprise victime d’une fraude d’environ 1,6 millions d’euros ; par manque de trésorerie, elle fut mise en liquidation judiciaire et envoya 44 personnes au chômage. Sur un plan personnel également, la culpabilité peut être lourde, ayant par exemple mené le comptable victime à mettre fin à ses jours.
La réactivité est primordiale
Face au phénomène, il est important de se montrer réactif. D’autant plus que « les méthodes utilisées par les fraudeurs changent au gré de l’évolution des contrôles » et de la digitalisation de la fonction finance. A cet égard, le contexte de l’épidémie de coronavirus est révélateur du phénomène. La cheffe de l’OCRGDF, Anne-Sophie Coulbois, témoigne ainsi de l’ingéniosité des fraudeurs, se saisissant de toutes opportunités. Une variante de la fraude au président est donc apparue, ciblant particulièrement les grosses sociétés et grands comptes. L’escroc se fait alors passer pour un acteur institutionnel (de manière similaire à la fraude au ministre) et invite l’entreprise à participer à un « fond de solidarité nationale ». Dans les faits, ce fond est bien entendu inexistant, et la somme est virée sur un compte frauduleux.
A savoir : la fraude au ministre est une variante de la fraude au président. Elle consiste cette fois-ci à se faire passer pour un ministre ou une figure d’autorité gouvernementale et à contacter directement les dirigeants d’entreprise pour obtenir un virement.
Par ailleurs, face aux impératifs de distanciation sociale allant jusqu’au confinement, de nombreuses entreprises ont été forcées d’adapter leurs processus au télétravail. Un changement brusque et donc faillible, ouvrant un véritable boulevard aux escrocs qui profitent alors de la confusion ambiante. On le comprend, ceux-ci ont recours à des méthodes diverses, employant tant l’usurpation d’identité et la manipulation que des solutions technologiques.
Fraude au président : une méthode efficace à la pointe de la technologie
Bien que connaissant nombre de variantes, la fraude au FOVI et au président suit un schéma classique :
1. Collecte des informations pertinentes
Afin d’afficher une légitimité optimale, le fraudeur se renseigne en amont sur l’entreprise, en :
- identifiant les collaborateurs d’importance (comme les membres de la DAF) ;
- analysant les potentielles faiblesses des processus de contrôle et moyens de communication de l’entreprise.
2. Usurpation d’identité
Le fraudeur affine sa collecte de données à la personne pour laquelle il compte se faire passer. Ensuite, il commence la mise en place des moyens de communication. Il peut par exemple recourir au spoofing, à savoir l’usurpation d’adresse email. L’escroc crée alors une adresse email similaire (avec un changement de nom de domaine par exemple) et adopte tous les éléments de langage et visuels du dirigeant (signature, mise en forme, intitulé de l’objet, logo de l’entreprise…).
3. Prise de contact avec la cible
Paré à se faire passer pour le dirigeant, le fraudeur contacte ensuite la personne désignée au préalable. Celui-ci procède souvent par email ou téléphone, mais peut également employer des moyens moins conventionnels. Par exemple les SMS et autres services modernes de messagerie. Il réclame alors à la cible de procéder « urgemment » et « de manière confidentielle » à un virement exceptionnel pour une raison X ou Y. Afin de vous persuader d’agir dans la précipitation, l’escroc peut :
- user de son charme, en vous flattant sur la confiance qu’il vous accorde ;
- chercher a à vous mettre la pression, via menaces de sanctions en cas de retard du virement.
4. Opération de transfert d’argent
Le montant indiqué est viré sur un compte bénéficiaire frauduleux. Bien que souvent situé à l’étranger, il peut également être présent sur le territoire métropolitain. Cela met en confiance le donneur d’ordre, rassuré quant au caractère « national » du virement et à la protection juridique liée. Dans les faits, cependant, il s’agit bien souvent de sociétés fantômes ou autres faisant office d’intermédiaires avant de rediriger les fonds vers l’étranger. Puisque le compte bénéficiaire est localisé en dehors du territoire français et européen, les actions judiciaires restent limitées.
Afin de paraître sans cesse plus crédible, les fraudeurs emploient également des outils technologiques novateurs, à l’instar des Deepfakes (pour « deep learning » et « fake »). Grâce à l’intelligence artificielle et au Machine learning, il est désormais possible pour l’escroc de réutiliser la voix (« Deep voice ») et le visage (« Deep face ») d’un dirigeant. La fraude devient alors très dangereuse, puisqu’il est d’autant plus difficile de percevoir des signaux faibles. Elle est malheureusement appelée à s’intensifier du fait du progrès technologique ; citons par exemple le Massachusetts Institute of Technology, ayant réussi avec un certain succès à reconstruire le visage d’acteurs simplement sur la base de… leurs voix.
De la théorie à la pratique
Les stratégies des fraudeurs sont si rodées qu’il est difficile, même pour les grands groupes, de s’en protéger en permanence. Le fabricant français de pneumatiques Michelin en a ainsi fait les frais : après deux tentatives majeures de fraude mises en échec en 2012, le groupe n’y échappe pas en 2014 ; le montant du préjudice s’établit alors à 1,6 millions d’euros.
Déjà colossale, cette somme peut rapidement devenir vertigineuse. Ainsi du leader français du divertissement Pathé, victime d’arnaque au président à hauteur de 19,2 millions d’euros. Là encore, le schéma est classique. Les fraudeurs contactent le directeur financier Edwin Slutter et la directrice Dertje Meijer, opérant dans la branche néerlandaise du groupe. Les escrocs se font alors passer pour des dirigeants du groupe. Enfin, ils exigent plusieurs virements successifs pour une acquisition à Dubaï. Acquisition qui, bien sûr, n’a jamais existé.
On le constate dans les faits : ce sont bien souvent les membres des DAF qui sont le plus visés.
Pourquoi les Directions financières sont-elles la cible privilégiée des fraudeurs ?
Le mot d’ordre du fraudeur s’inscrit dans une logique d’urgence. Son but est d’obtenir rapidement les fonds en limitant les moyens de vérification et les interactions avec les collègues. Il est dès lors dans l’intérêt de l’escroc de contacter directement une personne à même de procéder directement au virement. Les membres des Directions financières constituent dès lors une cible privilégiée, puisqu’ils bénéficient de ce pouvoir de donneur d’ordre.
Ceux-ci sont par ailleurs amenés à réaliser de laborieux processus de vérification majoritairement manuels. Effectivement, seuls 17% des répondants à l’enquête 2020 Euler Hermes indiquent disposer d’un dispositif technique permettant de déjouer les tentatives de fraude. Outre son caractère chronophage, la vérification à la main se révèle pourtant faillible du fait de l’erreur humaine.
Si le fraudeur identifie des failles dans les processus de contrôle des DAF, il peut rapidement passer à l’action. Il est alors nécessaire d’adopter plusieurs réflexes.
Comment savoir si l’on est victime de fraude au président ?
Bien que sophistiquée dans ses méthodes, l’arnaque au président n’est pas infaillible ; un certain nombre de signaux faibles doivent donc vous alerter sur cette fraude en entreprise.
L’escroc peut employer des termes typiques comme « confidentiel » ou « (extrêmement) urgent », lesquels vous poussent à agir dans la précipitation. Dans le cas de l’email, repérez les éventuelles fautes d’orthographe et de grammaire, et vérifiez la terminologie de l’adresse email. Par exemple, au lieu de johndoe@entreprise-societe.fr, le fraudeur peut utiliser une fausse adresse johndoe@entreprise_societe.fr. Celui-ci peut également user de techniques verbales, comme l’intimidation ou la flatterie, ceci afin de diminuer votre vigilance.
Avant de réaliser le virement, vous devez donc vous poser un certain nombre de questions. Par exemple, êtes-vous familier de ce genre de demandes ? Êtes-vous autorisé à transférer des fonds à l’étranger ?
Si le mal est fait, il est nécessaire d’informer le comptable de la fraude et de contacter la banque afin de geler tout virement encore non-effectué. Les sommes étant souvent virées à l’étranger, cependant, la marge de manœuvre demeure limitée. Il convient de mettre en place certaines actions afin de se prémunir de l’arnaque au président.
Les conseils pour se protéger de la fraude au président
Puisque l’erreur humaine est au cœur de la stratégie de cette escroquerie, un premier volet « prévention » est essentiel. Il faut donc informer les collaborateurs de l’existence de la arnaque au président, les réflexes à avoir et les actions à entreprendre en cas d’arnaque suspectée ou avérée. A cet effet, il vous est possible d’établir une cartographie des risques. Sous la forme d’un tableau synthétique ou d’une matrice, celle-ci détaille :
- les scenarii typiques de fraude,
- les différents types d’impacts et leur importance,
- les procédures à respecter en tel cas.
Un certain nombre de règles peuvent ainsi être instaurées. En cas de demande de virement exceptionnel, le collaborateur doit ainsi vérifier les coordonnées bancaires, mais également l’identité de la personne. Il peut par exemple être décidé d’une question secrète ou d’un mot de passe. Un processus de double vérification peut également être établi. Le donneur d’ordre devant au préalable se rapprocher de l’interlocuteur via son contact officiel. En cas de caractère confidentiel, une tierce personne peut également être désignée afin de valider la demande.
Ces conseils fraude renforcent certes la protection de l’entreprise contre l’arnaque FOVI, mais demeurent faillibles, mobilisant toujours l’humain. Comme l’indique Monsieur Thierry Pezennec, « la technologie […] doit aussi être au service de la prévention ». Le recours à une solution automatique s’impose alors comme un complément idéal en termes de sécurité et de fiabilité.
Une plateforme anti-fraude comme réponse à ces menaces ?
La protection contre la fraude au virement impose une vigilance accrue : dès lors, les données et opérations se doivent d’être sécurisées, vérifiées et contrôlées à chaque étape de la chaîne de paiement. Ce, d’autant plus que les types de fraude au virement bancaire fleurissent : fraude au président, fraude au changement de RIB ou piratage et ransomware, les fraudeurs rivalisent d’inventivité.
En complément du contrôle humain, une solution automatique offre alors une protection permanente et complète, fonctionnant 24h/24 et 7j/7. Depuis l’époque des logiciels fermés et peu ou pas évolutifs, ceux-ci consistent aujourd’hui en des solutions SaaS (Software-as-a-Service). Connectés, dynamiques et régulièrement mis à jour… Ces nouveaux logiciels deviennent vite essentiels dès lors qu’ils ont été adoptés par l’entreprise.
La solution de lutte contre la fraude au virement Trustpair s’inscrit parfaitement dans cette dynamique. Grâce à son accès à des sources de données internationales, le logiciel vérifie les données du référentiel tiers et alerte en cas d’anomalies et d’erreurs. Chaque nouvelle entrée (comme un l’ajout ou la modification de RIB) s’accompagne systématiquement d’un contrôle des RIB automatique. Les risques de fraude financière sont évités.