Fraudologie – Details, episodes & analysis

L'essentiel des activités cybercriminelles s'appuient sur l'usurpation d'identité : 

• Le phishing (ou smishing ou vishing...) usurpe une identité par mail pour vous faire télécharger un virus ou vous faire divulguer une info sensible.
• Pour un changement de RIB le fraudeur se fait passer pour le titulaire légitime du compte bancaire.
• Pour une fraude au président, il se fait passer pour le dirigeant ou une autorité gravitant autour de l'entreprise...

Donc une des pierres angulaires de votre sécurité passe par la vérification de l'identité de vos interlocuteurs, quels que soient votre métier ou votre position dans l'entreprise.

Et la difficulté principale réside dans la multitude de canaux qui peuvent être utilisés pour vous contacter. Vous utilisez probablement plusieurs outils comme le mail, les SMS, le téléphone, les messageries instantanées ou la visio. AUCUN de ces canaux n'apporte techniquement de garantie sur l'identité de votre interlocuteur.

Aucun, jusqu'à ce que des experts de la cryptographie créent Olvid. Thomas Baignères est l'un d'eux et il vous explique comment ça marche et pourquoi cette solution Made In France est beaucoup plus robuste que tout ce que vous avez utilisé jusqu'à aujourd'hui.

Pour vous aider à aller directement aux sujets qui vous intéressent, voici la chronologie de cet épisode :

0' : contexte

1'40" : Pourquoi Olvid permet de ne plus douter de l'identité de vos interlocuteurs

4'56" : Pourquoi les autres messageries ne peuvent pas donner de garantie sur les identités

9'56" : Comment ça marche concrètement ?

14'24" : Comment Olvid s'inscrit dans les outils de l'entreprise ?

26'54" : Comment créer des liens avec l'extérieur de l'entreprise ?

28'31" : Partager ses contacts comme dans la vie réelle

29'28" : Faire adopter l'outil au plus grand nombre 

32'38" : Gérer la séparation vie pro / vie perso

Lorsqu'une entreprise est victime d'une fraude au président, le ou la salariée qui s'est fait manipuler perd souvent son emploi.

C'est ce qui est arrivé à Sandie qui nous a courageusement livré son témoignage.

Ça m'a d'abord paru très injuste : comme si les conséquences psychologiques ne suffisaient pas...

Mais ensuite ça m'a amené à me poser la question des règles de droit qui s'appliquent :

Dans quelles conditions une entreprise peut-elle faire porter toute la responsabilité de cette erreur à sa salariée ?

Quelles obligations est-ce que l'employeur doit avoir remplies pour justifier cette faute ?

Pour explorer cet aspect de la fraude, j'accueille dans cet épisode Me Sandra Lévy Regnault qui est avocate, spécialiste du droit du travail.

Elle vous explique tout : les types de fautes, la différence entre une règle et un usage, les obligations de formation...

Découvrez tout ce qui peut vous aider à respecter les règles et à vous défendre, que vous soyez employeur ou salarié !

Dans cette nouvelle séance, une fois n'est pas coutume je vais vous parler un peu de technique.

Tout simplement parce qu'on va décortiquer les intrusions dans votre ordinateur et dans le système d'information de votre entreprise. Si je voulais expliquer tous les types d'attaques possibles, il me faudrait plusieurs mois mais ici nous allons nous concentrer sur 2 thèmes récurrents dans la fraude : les rançongiciels (ransomware dans la langue de Shakespeare) et le phishing (hameçonnage dans la langue de Molière ;-). 

Les premiers vous prennent en otage et le deuxième mise tout sur votre envie de cliquer sur tout ce qui peut être cliqué : un lien dans un mail ou une pièce jointe. Mais surtout, les deux sont liés : les rançongiciels n'existeraient pas sans le phishing et c'est là que le facteur humain prend toute sa valeur car il va vous falloir identifier si vous pouvez cliquer en toute sécurité ou si vous devez jeter ce mail qui vous encourage pourtant à le faire !

Nous allons voir ensemble ce qui doit vous aider à ne pas vous faire avoir et vous éviter ces deux fraudes qui nous touchent autant à titre perso qu'à titre pro !

Des costumes multiples

Vous connaissez probablement la fraude au faux fournisseur, c'est celle dont nous parlions avec mes invités des épisodes 2 et 3 de ce podcast. Mais le président n'est pas le seul costume que les fraudeurs peuvent endosser. Il peut s'agir d'un avocat, d'un banquier ou de n'importe qui du moment que le rôle donne de l'ascendant au fraudeur sur sa victime. 

Une fraude qui continue d'évoluer

Cette fraude existe depuis 10 ans mais elle continue d'évoluer. En effet avec l'essor de la visioconférence, les usurpateurs commencent à utiliser la vidéo pour rendre leur fausse identité encore plus crédible, c'est le cas de l'exemple dont je vous parle dans cette séance : le faux "Jean-Yves Le Drian" ! Une affaire digne des meilleurs films d'espionnage...

Et si le fraudeur réalisait lui-même les virements à votre place ?

C'est précisément ce qu'il parvient à faire en se faisant passer pour un faux technicien bancaire. Je vous explique ici comment il s'y prend et quels sont les points de vigilance à avoir en tête.

Quand on veut correctement se protéger contre la fraude, le point de départ incontournable est de bien connaître les risques auxquels l’entreprise est exposée.

Je  vous propose donc une série de cinq séances au cours desquelles je n’aurai pas invité mais j’en profiterai pour vous présenter en détail  les principaux types de fraude qui ont  été rapportés par les  entreprises françaises en 2019 ainsi que des exemples de protections que  vous pouvez mettre en place simplement.

Dans le premier épisode de cette série je vous propose de vous expliquer ce qu’est une fraude au faux fournisseur. J’ai choisi de commencer par  celle-ci parce qu’il représente une tentative de fraude sur 2 en 2019.  Si vous en avez déjà entendu parler, vous allez peut-être en découvrir  d’autres aspects qui sont moins connus et pourtant tout aussi susceptibles d’arriver à n’importe quelle entreprise.

Vous pourriez également être visé(e) à titre personnel avec le 3ème aspect de cette fraude : le faux créancier de prélèvement !

Céline est responsable comptable et ses  fonctions l’ont exposée à de nombreuses tentatives de fraudes. Dans  cette séance de fraudologie, elle nous parle de la fraude au président  et de ses convictions concernant le management des équipes comptables.

La sensibilisation des équipes comptables plus efficace que les meilleurs outils informatiques

Ici Céline nous décrit les étapes de validation des virements qui  devaient être respectées dans son entreprise. Ce processus précis avait  été mis en place pour protéger l’entreprise des erreurs et des fraudes.  Mais j’ai été frappé de constater que les tentatives de fraude qu’elle  nous décrit ont toutes été bloquées avant même que les outils soient  utilisés ! En effet les comptables qui ont été contactées ont réagi et  partagé leurs doutes avec les collègues avant d’aller  trop loin. Quand on n’est pas dans le feu de l’action ça peut paraitre  facile, mais pour arriver à avoir des équipes aussi solides cela suppose  d’avoir beaucoup travaillé en amont et c’est ce que Céline nous  explique. Il s’agit d’un travail de longue haleine qui doit être  renouvelé très régulièrement pour être réellement efficace !

Le point de vue de Céline est également intéressant car c’est celui  d’une « opérationnelle », j’entends par là qu’elle vit les choses de  l’intérieur, contrairement à un dirigeant qui est nécessairement plus  éloigné du terrain. Et pour protéger les équipes des attaques, Céline  nous explique pourquoi il est important pour elle de ne pas communiquer  sur les équipes comptables et financières et de le leur expliquer. En  effet il s’agit là d’un véritable exercice de management : en les  cachant, l’entreprise protège ses comptables et valorise l’importance de  leur fonction.

Pour une sensibilisation complète et efficace des équipes, nous avons  souligné quelques critères qui doivent être régulièrement remis en  avant. En effet dans le groupe de promotion immobilière dans lequel elle  travaillait, les opérations internationales étaient rares et devaient  éveiller l’attention. Encore faut-il que les comptables sachent  identifier facilement qu’un numéro de compte est français ou pas !

Enfin, le moment de la semaine où on se trouve confronté à une  situation anormale doit également être considéré comme un signal fort.  Les fraudeurs veulent augmenter leurs chances de réussite maximisant la fragilité de leurs interlocuteurs. Une de leurs armes est d’attaquer au  moment où leurs « proies » seront les moins attentives. Donc dans des moments de stress comme des veilles de jours fériés ou de week-end en fin de journée, les salariés sont pressés de rentrer chez eux et pourraient vouloir se « débarrasser » d’une demande en la traitant avec  moins de rigueur que d’habitude. Il est donc important de leur répéter régulièrement comment réagir dans ces situations !

Comme de  nombreux dirigeants, Fabien sait que son identité peut être usurpée dans  le cadre d’une fraude au président. Il aurait pu mettre en place des  procédures, des contrôles, ou toute sortie d’outils pour protéger ses  équipes mais il n’en a rien fait. Il a misé sur une astuce qui s’est  révélée redoutablement efficace : l’humour !

En matière de lutte contre la fraude, la prévention est souvent la  solution la plus efficace. Mais cette prévention peut se traduire de  nombreuses façons ! Certains préfèreront l’installation d’outils  informatiques qui obligent le dirigeant à valider les ordres de  virement. D’autres choisiront de réaliser des contrôles stricts qui  permettront d’éviter les erreurs. Et il existe bien d’autres parades.  Toutes ces solutions peuvent être parfaitement pertinentes si elles sont  adaptées à l’organisation de l’entreprise et à son mode de management.  Mais peu d’entreprises mesurent réellement le retour sur investissement  de ces solutions. En réalité, dans plus d’un cas sur deux (selon l’étude Euler Hermès / DFCG 2020), le facteur humain est déterminant pour déjouer une tentative de fraude.

Fabien Pelletier est un dirigeant qui a un style bien à lui et en  particulier un sens de l’humour très fin. Alors que la fraude au  président est encore balbutiante, il participe à une réunion du CJD (le  Centre des Jeunes Dirigeants d’entreprises) sur le sujet. Il décide  alors de miser sur ce facteur humain en impliquant les personnes clefs  dans la sécurité financière de l’entreprise : sa directrice financière  et son responsable informatique…

Si vous êtes en phase de création d’entreprise ou que vous devez  modifier la raison sociale de votre entreprise, je ne peux que vous  conseiller d’écouter cette séance de fraudologie jusqu’au bout ! Vous  pourriez bien économiser quelques centaines d’euros en profitant de  l’expérience de Fabien…

Christophe a vécu une fraude à laquelle on a tous pensé un jour : le vol de son numéro de carte bancaire ! Sa conseillère bancaire a parfaitement réagi mais ça s’est gâté quand un collaborateur de sa banque a commencé à le soupçonner de ne pas être qu’une victime...

Christophe Greis est le dirigeant de l’agence Générale des Services de la Flèche. Comme de nombreux chefs d’entreprise, il utilise le site  internet de sa banque pour consulter ses comptes et réaliser ses  virements. Un jour il voit apparaitre des opérations anormales sur son  compte professionnel : des virements vers son compte personnel. Ensuite 3  paiements par carte sont débités de son compte personnel auquel est  rattaché la carte bancaire en question. Presque 30 000€ lui ont alors  été dérobés !

Il a le bon réflexe et appelle d’abord sa conseillère bancaire.  Celle-ci bloque immédiatement la carte, puis il va porter plainte pour  officialiser l’existence d’une fraude.

Il récupère rapidement la moitié des fonds mais le solde tarde à lui  être restitué. Il se retrouve alors confronté à un collaborateur de sa  banque qui lui fait sentir que sa responsabilité dans cette situation  semble être engagée…

Notre échange s’est beaucoup concentré sur la récupération des fonds  et le sujet de sa carte. Mais Christophe explique aussi qu’il a commencé  par constater des virements anormaux entre ses comptes avant d’être  débité par carte. Ceci indique que le fraudeur ne s’est pas contenté de  récupérer ses numéros de carte. En effet il disposait également de son  identifiant et de son mot de passe pour se connecter au site bancaire !  Les fraudeurs utilisent de nombreuses méthodes pour vous soutirer ces  informations. Mais la méthode utilisée est incontestablement le phishing.

En France, une loi oblige la banque à restituer les fonds dans le cas d’une opération non autorisée. Il s’agit de l’article 133-18 du Code monétaire et financier.  Néanmoins la banque peut refuser de restituer les fonds si elle  soupçonne son client d’être à l’origine de la fraude. C’est pour cette  raison que je vous conseille de porter plainte pour démontrer que vous  êtes la victime. Sans preuve de votre dépôt de plainte, votre banque  pourrait ne pas prendre en compte votre demande.

Attention si vous êtes tenté de déposer une fausse plainte ! Sachez  qu’il s’agit d’une escroquerie et que la peine maximale que vous  encourez est de 375 000€ et de 5 ans d’emprisonnement. De quoi y  réfléchir à deux fois…

A l’occasion de cette toute première séance de fraudologie, je tiens à  remercier chaleureusement Christophe pour sa participation. Un énorme  merci également à Didier Chateau, le président de la Générale des  Services, qui m’a fait l’amitié de me mettre en relation avec  Christophe.

Novembre 2020, un hôpital français est attaqué par un ransomware. Son informatique est externalisée dans un datacenter, sur une baie de serveurs qui est partagée avec d'autres entreprises. L'une d'elles est un prestataire informatique qui vend ses services à des entreprises de la région nantaise. Oxinet fait partie de ses clients. Cette PME de 40 personnes va être une victime collatérale de l'attaque initiale.

Antoine Pigeault, son dirigeant, vous raconte comment il a géré cette situation : 3 semaines sans données commerciales ou comptables et le risque de perdre 10 ans d'histoire de son entreprise.

Il vous donne 2 conseils qu'il a tiré de cette expérience et que vous devez appliquer sans attendre de vivre la même chose que lui : 

1- ne vous croyez pas invulnérable

2- Réfléchissez aux premières actions que vous allez faire si vous êtes dans la même situation

En matière de fraude ou d'attaque cyber il y a un "avant", un "pendant" et un "après". Donc ces trois phases doivent apparaitre dans votre dispositif de prévention pour qu'il soit complet.

Le "avant" ce sont tous vos outils de sécurité informatique et la formation de vos utilisateurs pour leur permettre d'éviter les attaques.

Le "pendant", c'est la vigilance de vos salariés qui va les faire réagir à temps et alerter rapidement les bonnes personnes dans votre organisation.

Et le "après" ?

Comment revenir à une situation normale ?

Comment maintenir la confiance de vos clients et la motivation de vos équipes ?

Comment faire face aux pertes financières directes et indirectes ?

Votre assureur est probablement le bon interlocuteur pour répondre à ces questions.

Dans cette séance de fraudologie, j'accueille Frédéric Peynoche qui a fondé le cabinet de courtage Investys France. Il va vous aider à y voir clair sur les solutions d'assurance, les garanties, les services, les coûts : vous allez tout savoir !