La fraude touche aujourd’hui 51% des entreprises françaises et fait partie des enjeux cruciaux des directions financières. 63% des entreprises françaises ont récemment initié un projet anti-fraude. Mais comment mener à bien un projet de lutte contre la fraude ? Quelles étapes respecter et qui impliquer ? Quelles fonctionnalités prioritaires choisir pour bien implémenter la solution ?
Bertrand Grenier et Philippe Mannent de chez BearingPoint partagent avec vous leurs insights et conseils d’experts dans cette interview. Et pour plus de best practices, téléchargez notre dernier livre blanc sur le sujet.
- Pouvez-vous vous présenter rapidement : parcours et expertise, en particulier au niveau de la fraude ?
Bertrand Grenier : Je suis Manager Finance & Risk chez BearingPoint, spécialisé en gouvernance, risque et conformité. J’ai un parcours initial en droit des affaires avant de rejpoindre BP il y 8 ans maintenant.
J’accompagne beaucoup d’entreprises sur différentes dimensions.
La première est l’accompagnement, la définition à la mise en oeuvre de projets de conformité ( Sapin II ou RGPD par exemple). La deuxième concerne les diagnostics de processus et de dispositifs de maîtrise des risques, à la fois dans une logique de compliance et d’efficacité opérationnelle.
La troisième dimension, c’est l’accompagnement à la transformation digitale des dispositifs de maîtrise des risques. Depuis le diagnostic, le recueil de besoin, jusqu’à l’accompagnement et l’implémentation, en passant par le choix de l’outil. Pour ce qui est de ma propre expérience en matière de fraude, j’ai eu l’occasion à plusieurs reprises d’avoir une réflexion avec des entreprises sur leur choix d’outils GRC.
On voit émerger sur le marché aujourd’hui des éditeurs qui ont un premier niveau de réponse mais aussi des réflexions en termes d’alliance intégrée entre différents éditeurs. Cela permet d’avoir des solutions qui combinent des fortes capacités technologiques à des capacités de détection de fraude et de la corruption, ou même tout simplement de donnée erronée. Cela aide à simplifier le monitoring en centralisant les capacités de suivi de plan d’action, de dashboards, etc.
Philippe Mannent : Je conduis l’ensemble des offres de service liées à la gestion de risque et à la conformité pour BearingPoint.
En terme de fraude, j’ai de l’expérience en étant intervenu à la fois sur de l’analyse et de l’investigation de fraude – fraude au président notamment – doublé d’un diagnostic, d’analyses causales, pour comprendre ce qui a pu conduire à la fraude.
Tout cela dans une approche plutôt audit – évaluation. Et depuis que j’ai rejoint BearingPoint nous nous positionnons de plus en plus sur la mise en place de moyens pour anticiper, empêcher, détecter les situations de fraude. Notamment via la mise en place d’outils pour contrôler de manière beaucoup plus fine les transactions et mettre en exergue celles qui semblent anormales ou suspicieuses.
- Quel est votre constat aujourd’hui, de ce que vous voyez avec vos clients ou même les acteurs de l’écosystème. Quel est votre état des lieux de la fraude ? Qu’est-ce qui vous semble le plus visible et le plus marquant sur l’essor et l’émergence de la fraude ?
Philippe Mannent : Pour moi il y a trois élément majeurs.
Un, vis à vis de l’environnement dans lequel fonctionnent les entreprises. Les environnements sont de plus en plus complexes et les entreprises travaillent de manière de plus en plus fragmentée avec beaucoup de partenaires d’affaires, de prestataires de services, de systèmes d’information interconnectés. Avec beaucoup plus d’automatisation et donc une accélération du rythme des transactions.
La résultante de cela, c’est que les entreprises – et en particulier les fonctions de contrôle interne et les responsables métiers qui gèrent certaines transactions à risque – ont de plus en plus de mal via les systèmes classiques préventifs à identifier et à envisager tout l’univers des possibles d’un point de vue transactionnel. D’une certaine manière, il y a une perte de maîtrise de part la complexification et l’automatisation des processus.
Cela crée un environnement qui est propice à la fraude. On est loin des processus standards, uniques et linéaires et les fraudeurs peuvent tirer parti des failles.
Le deuxième élément c’est que ces outils et cette automatisation sont aussi mis à disposition des fraudeurs dont les méthodes sont de plus en plus aiguisées. En plus, grâce à la social intelligence, il peuvent récupérer des données personnelles, des informations ou des systèmes dormants qui peuvent observer les grandes entreprises.
Les attaques arrivent en masse : si les fraudes étaient quasiment artisanales auparavant, maintenant elles sont quasiment industrialisées. Et sur une telle quantité de tentatives, il y a forcément une ou deux entreprises qui tombera dans le piège.
Le troisième élément, c’est la vitesse de propagation, qui ne cesse d’augmenter. L’impact de la fraude est démultiplié par l’automatisation et la massification de ces cas de fraude.
Parfois, le fraudeur se rend compte sous certains seuils et montants il n’y a pas de contrôle, il peut décider – et on le voit notamment avec la fraude interne – de mettre en place un schéma d’attaques qui passera sous les radars mais qui durera plus longtemps. Tout ce dont je viens de parler est évidemment tant propice aux fraudeurs internes qu’externes.
Bertrand Grenier : J’aimerais ajouter deux éléments.
On parlait de social intelligence. Pour moi, c’est à mettre en miroir avec la manière dont les entreprises vont réagir collectivement. L’un des enjeux autour de la fraude c’est la capacité à détecter rapidement un compte fraudeur. un des moyens les plus efficaces est de pouvoir s’appuyer sur une communauté qui va partager en continu les informations des fraudeurs pour les blacklister et les identifier rapidement.
Et le deuxième aspect évoqué par Philippe, c’est qu’effectivement, dans certaines organisations il n’y a pas de contrôle en-dessous de certains seuils ou montants. Le problème c’est que si les fraudeurs sont au courant de ces seuils : il peut y avoir dix, cent, mille fraudes qui ne sont pas détectées et qui finissent par faire de gros montants.
C’est bien souvent des niveaux sur lesquels les entreprises ne s’attardent pas, alors que c’est justement, le niveau où il peut y avoir des surprises dans un certain nombre d’organisations.
- Pourriez-vous juger le niveau de maturité de vos clients sur le sujet de la prévention sur une échelle 1 à 10? Est-ce que c’est un sujet prioritaire, ou qu’au contraire, il ne l’est pas encore assez? Comment jugeriez-vous la maturité global?
Bertrand Grenier : Le niveau de maturité est encore extrêmement variable. Très souvent, ce sont les entreprises qui ont eu de très mauvaises expériences qui sont les plus matures sur sujet.
Mais aujourd’hui, le niveau de maturité est encore d’un niveau relativement faible. Cela s’explique par un manque de synergies en internes. Chaque type de solutions apporte des bénéfices à des équipes différentes : à une direction financière, à du contrôle interne, du contrôle permanent, de l’audit, etc.
Mais il est difficile de montrer la valeur ajoutée commune d’une solution unique de prévention contre la fraude à toutes ces équipes. Il peut être difficile de faire émerger une vraie impulsion sur le sujet ou une prise de décision transversale.
A à mon sens, c’est un des enjeux principaux : adresser les parties prenantes qui ont à gagner à la mise en place de ce type de solution. Il y a deux arguments : évidemment, la prévention de la fraude et de la corruption, mais une autre dimension souvent sous-estimée qui est l’efficacité opérationnelle. Les solutions anti-fraude vont par exemple améliorer l’efficacité du processus P2P et réduire le temps passé sur les anomalies.
- Donc les clients qui ont déjà connu des événements de fraude sont plus matures et mieux prémunis ?
Philippe Mannent : Exactement.
Le problème de la lutte contre la fraude c’est qu’elle est rarement vue comme une mission à part entière par les entreprise. Il y a évidemment des obligations règlementaires à respecter pour éviter les évènements de fraude mais la mobilisation réelle n’arrive généralement qu’après un coup sérieux. Quelques millions d’euros détournés, une perte massive de données, une perte de secrets industriels, des fake news avec un impact sur l’image, etc.
C’est là que le top management commence à réfléchir à la lutte contre la fraude comme activité à part entière de l’entreprise. Malheureusement, c’est encore un cheminement adopté par très peu d’entreprise.
Il est difficile, d’ailleurs, d’un point de vue de gouvernance, de mobiliser des gens autour de la fraude. Il faut comprendre que les entreprises ne cherchent pas à lutter contre la fraude. Elles ne le voient pas comme une nécessité.
Pour convaincre les entreprises, il vaut mieux axer son discours sur la maîtrise des processus, la performance, l’atteinte des objectifs opérationnels via la mise en place d’outils qui au passage, vont aussi permettre d’éviter la fraude. La fraude fait peur mais n’est mobilisatrice qu’une fois que l’on en a subi l’impact.
- Et aujourd’hui, quand vos clients cherchent une solution anti-fraude, que recherchent-ils en priorité ? En termes de fonctionnalité, en termes de résultats, etc.
Philippe Mannent : Rares sont les clients qui cherchent un outil qui ne fait que de la détection de fraude. En revanche, ils vont être sensibles au fait qu’un outil permette de confirmer que les transactions elles-mêmes sont légitimes, valides, non frauduleuses.
Parce qu’il y a ce double bénéfice de confirmer la fiabilité de ce qui a été fait et de mettre en évidence des choses qui ne devraient pas être là. C’est cette combinaison qui peut être assez puissante et est un facteur de conviction fort. C’est ce que le client recherche.
Bertrand Grenier : Bien souvent, un des premiers réflexes d’arbitrage c’est de résonner en termes de R.O.I. Il y a le R.O.I. apparent et le R.O.I. sous-jacent.
Le R.O.I. apparent, c’est ce qu’on va effectivement réussir à récupérer comme cash par la détection de fraudes ou de facturations indues.
Le R.O.I. sous-jacent c’est combien de temps passent les équipes à gérer le process P2P, à démêler la donnée et comment la solution choisie va faire gagner en efficacité et en assurance sur la qualité des données. Finalement, le R.O.I sous-jacent se mesure par le gain de performance opérationnelle.
Philippe Mannent : Ce qui est intéressant, c’est de montrer aux entreprises qu’elles peuvent se prémunir contre la fraude en recourant à un outil qui permet de se glisser dans les interstices du process P2P et de descendre à un niveau de granularité très fin. Encore mieux, leur montrer que l’outil permet également d’absorber les faux positifs et les cas très particuliers.
Ce n’est pas avec un échantillonnage manuel que les entreprises auront des résultats. C’est avec une exhaustivité de la donnée et des contrôles. Avoir l’ambition de lutter contre la fraude sans avoir le bon outillage est une illusion.
Bertrand Grenier : Pour choisir la bonne solution, il y a différentes préoccupations assez systématiques.
D’une part, suis-je bien maître de ma data ? Est-ce que je vais être en capacité de l’exploiter ? C’est un pré-requis, quel que soit le projet de transformation digital.
Deuxième aspect : va-t-il être facile de récupérer cette data? Est-ce qu’il y a des connecteurs natifs ? Est-ce qu’une API existe et n’est-elle pas trop compliquée à mettre en oeuvre ?
Le troisième aspect, c’est la gestion des faux positifs. Il faut que l’outil soit en mesure de les gérer et ne fasse pas crouler l’équipe sous les faux-positifs : sinon il ne fait que ralentir les processus. Les entreprises peuvent facilement avoir peur de voir trop de choses remonter et pas forcément toujours de manière très pertinente. Les solutions qui ont des arguments solides pour montrer que ce point « faux-positifs » est adressé de manière continue sont à leur avantage.
Une autre dimension est cruciale : ce sont toutes les fonctionnalités au-delà du cœur technique qui vont entourer la mise en musique et la mise en œuvre opérationnelle de la solution. Cela regroupe les questions d’ergonomie, de workflows, de dashboards mis à disposition, de capacité d’analyse.
Les autres dimensions bien évidemment attendues par toutes les entreprises sont tous les pré-requis de sécurité, cyber-sécurité, RSE. En général, ce ne sont pas les plus différenciantes.
- Pour vous, quelles sont les étapes indispensables quand on se lance dans un projet de ce type ? Quelles sont les étapes clés?
Bertrand Grenier : Pour moi, la première étape, c’est de prouver la valeur.
Prouver la valeur, c’est ce qui va permettre de mobiliser dans une organisation et c’est ce qui va permettre d’avoir du budget. Du point de vue des entreprises, c’est l’étape numéro 1. Et quand je dis prouver la valeur, c’est prouver la valeur de manière transverse.
C’est-à-dire que ce n’est pas une équipe dans son coin qui va utiliser son budget annuel pour lutter contre la fraude. C’est l’ensemble des équipes, les achats, la trésorerie, la finance, la data etc qui vont se rassembler pour cadrer le sujet.
En deuxième étape, il faudra faire un POC sur un scope restrain pour voir ce qui en ressort et en tirer des conclusions en termes d’efficacité et de R.O.I.
Philippe Mannent : La valeur est facile à mesurer pour les flux financiers et monétaires. Ce sont des flux quantifiables. En revanche, il y a d’autres flux, non monétaires, ou d’autres enjeux non monétaires, qui ont également une grande valeur. Par exemple, une fraude qui mène à l’altération du code source de l’entreprise peut avoir une valeur énorme par rapport à une fraude de quelques milliers d’euros.
Bertrand Grenier : La première chose est bien de prouver la valeur et de la prouver de manière transverse.
Sur la base de ce premier retour d’expérience et de ce premier test, il pourra y avoir un use case concret, une mesure du R.O.I plus concrète. Cela permettra de convaincre plus facilement le reste de l’organisation et des parties prenantes.
Philippe Mannent : Effectivement, la deuxième étape est de commencer par un petit périmètre pour prouver le “proof of value”. Tester, c’est se mettre dans les conditions de succès : ne pas viser trop large, trop grand en disant on veut couvrir toute la société, tous les flux, tous les systèmes, toutes les filiales. Choisir un combat permettra de démontrer la valeur de la solution.
Il est intéressant dans cette optique de souligner tous les bénéfices connexes de ce type de solution : amélioration et sécurisation des processus, gains de performance opérationnelle, etc.
Bertrand Grenier : Une fois que l’on a prouvé la valeur apportée par la solution, comment pérennise-t-on l’outil dans l’organisation ? Comment fait-on pour qu’il infuse les processus opérationnels et qu’il soit effectif? Quelles sont les parties prenantes, la boucle d’amélioration continue ?
Pour faciliter l’adoption au sein de l’organisation, il faut favoriser la transparence et la flexibilité par rapport aux processus opérationnels en place. Une solution peut être de choisir un outil intégré dans un ERP qui favorisera son adoption. Directement dans l’ERP, les équipes sont une interface technique qui permet de faire des analyses pointues et de fluidifier les process.
- Au-delà des étapes, en termes de fonctionnalité clé et de critères de choix clés, que conseilleriez-vous à une entreprise qui cherche une solution anti-fraude ? Que prioriseriez-vous ?
Bertrand Grenier : Un, il y a le cœur du réacteur technique. Concrètement : qu’est-ce que vous êtes capable de détecter, avec quel niveau de fiabilité et pour quel taux de faux positif? Pour moi, c’est la première chose.
La deuxième chose, ce sont toutes les fonctionnalités additionnelles qui vont rendre l’outil exploitable. Est-ce qu’il y a workflows? Est-ce qu’il y a des dashboards? Est-ce qu’il y a du reporting? Est-ce que l’on peut gérer la protection de manière collaborative?
Le troisième aspect qui n’est pas forcément plus différenciant mais néanmoins incontournable, ce sont toutes les dimensions de sécurité, achat, RGPD, compliance, etc.
Philippe Mannent : La meilleure lutte contre la fraude est une lutte qui est distribuée. L’outil doit avoir vocation à être mis à disposition des équipes métiers.
Une organisation adressera d’autant mieux la fraude qu’elle distribuera à un maximum d’opérationnels exposés à la fraude, les moyens de l’éviter. L’ergonomie de l’outil et la capacité collaborative sont donc importantes.
Il y a un autre élément important, c’est la rapidité d’évolution de l’outil. Les schémas de fraude sont de plus en plus sophistiqués : il faut donc que l’outil évolue avec et fasse évoluer ses schémas de détection et de prévention.
Il est aussi intéressant de faire jouer l’intelligence collective sur les schémas de virements anormaux, suspects et interdits. L’outil sera d’autant plus intéressant qu’il permettra de mobiliser une intelligence collective autour des situations de fraude.
- Avez-vous pour finir quelques mots ou quelques conseils particuliers à donner aux entreprises qui souhaitent se lancer dans un projet anti-fraude?
Bertrand Grenier : Ma conviction forte, c’est que ce qui va driver ce type de projet c’est le ROI. Ca n’est que le ROI qui permettra d’embarquer les parties prenantes qu’il faut embarquer.
Philippe Mannent : Je dirais qu’il faut prendre le sujet en main. Faire le dos rond et ne pas prendre d’initiative ne prémunira pas les entreprises contre ces situations de fraude. Aujourd’hui, elles sont suffisamment massives et industrialisées pour toucher tous les types d’entreprises.