Les arnaques au président en augmentation dans les PME

Les grandes entreprises redoublent de vigilance, puisqu'elles ont été les premières victimes des faux ordres de virement. Désormais, les escrocs s'attaquent aux PME.

Le faux ordre de virement (FOVI) est devenu, depuis peu, l'arnaque la plus redoutable en France pour les entreprises. Cette escroquerie en plein essor aurait permis de détourner quelques 250 millions d'euros depuis 2010. L'art du FOVI consiste à abuser d'un employé ou d'un assistant comptable afin d'exiger un virement bancaire. Elle nécessite une phase préalable de connaissance de l’entreprise ciblée, de son personnel, et de ses dirigeants. 

Les escrocs sont bien renseignés, experts en ingénierie sociale et aux techniques structurées pour récolter des informations internes à l'entreprise via Internet, les réseaux sociaux tels que Facebook et LinkedIn, la presse économique ou des sites comme Infogreffe offrant un accès complet aux documents de l'entreprise (situation financière, PV d'assemblée générale, signatures des dirigeants…). Le malfaiteur se fait passer, par téléphone, pour le dirigeant de la société ou l'un de ses interlocuteurs comme son banquier. Les premières victimes de ces escrocs sont les assistants de direction ou le personnel du service comptabilité. Ces voleurs n'hésitent pas à user de menaces si leur interlocuteur se montre réticent ou à l'inverse à créer une proximité avec leur victime en indiquant qu'ils sauront la remercier.

De Total à Michelin en passant par Facebook ou encore l’Élysée, rien n'effraye ces gangs d'escrocs qui ont jeté leur dévolu sur les filiales françaises les mieux côtées du CAC40. Aux États-Unis, 3 milliards de dollars ont été subtilisés sur les trois dernières années. Le préjudice record a été de 42 millions d’euros pour une société autrichienne. En France, plus de 500 sociétés ont été victimes de ces escrocs, 485 millions d'euros ont été volés et 2300 plaintes ont été déposées en 5 ans selon l’OCRGDF (Office Central pour la Répression de la Grande Délinquance Financière).

Les techniques et circuits des fraudeurs
Désormais, afin de rassurer les entreprises ciblées, les voleurs créent un compte bancaire sur le site internet La Poste afin d'utiliser le service payant de la lettre recommandée. Ce compte, créé sous une fausse identité, leur permet de régler des envois postaux et ainsi faire parvenir aux entreprises ciblées un courrier matérialisé. Les escrocs n'hésitent pas à se donner des noms de domaine proches de votre marque et vont jusqu'à créer une véritable structure juridique afin de paraître plus crédibles, tel a été le cas pour l'attaque sur Google. 

Non sans manque de techniques, les fraudeurs usurpent de vraies adresses mails appartenant à l'entreprise en cachant leur propre identité et utilisent la faille MailSploit permettant de rendre invisible la véritable adresse mail de l'expéditeur. Ces pirates des mails peuvent être détectés grâce à un antispam performant. Aujourd'hui, toutes les entreprises sont victimes de ces attaques par mail, c'est pourquoi il faut sensibiliser le personnel à ces fraudes.
Afin de se prémunir de ces fraudes, les entreprises doivent mettre en place un ensemble de mesures de sécurité pour décourager les escrocs :

  • Sensibiliser les collaborateurs sur l'utilisation prudente des réseaux sociaux,
  • Instaurer des procédures de vérification sécurisées pour les paiements internationaux,- sensibiliser régulièrement les employés des services comptable, trésorerie, secrétariat, standard sur ce type d'escroquerie,- saisir soi-même l'adresse du donneur d'ordre, lorsqu'il s'agit d'effectuer un virement international,- maintenir à jour le système de sécurité informatique,
  • Accentuer la vigilance sur les périodes de vacances, les jours fériés.
En cas d'attaque, alertez votre hiérarchie ainsi que les autorités. Un dépôt de plainte rapide, en apportant un maximum d'éléments, permet d'optimiser les chances de récupérer les fonds volés. Demandez immédiatement à votre banque le retour des fonds qui ont pu être envoyés.
La banque potentiellement responsable

Selon l'article 1937 du Code civil, "Le dépositaire ne doit restituer la chose déposée qu'à celui qui lui a confié, ou à celui au nom duquel le dépôt a été fait, ou à celui qui a été indiqué pour le recevoir". Les banques peuvent être mises en cause pour des autorisations de virements sans le consentement du détenteur officiel de la signature. Plusieurs entreprises pensent que ces nouvelles escroqueries n'arriveront pas jusque dans leur établissement. Selon Euler Hermès, l'un des leaders en France des solutions d'assurance des entreprises, 60 % ne savent pas qu'il existe une solution contre ce type de fraude par ingénierie sociale.

Grandes entreprises, PME mais aussi professions libérales, cabinets médicaux...peuvent être les cibles de ces cyberattaques. Aujourd'hui, 27 % seulement des sociétés déclarent avoir mis en place un dispositif d'évaluation du coût de la fraude d’après Grant Thornton. Il y a donc une véritable nécessité à ce que les entreprises soient en capacité à déployer des dispositifs opérationnels adaptés à leur organisation. La loi Sapin II est entrée en vigueur le 1er juin 2017. Les entreprises doivent alors être en mesure de démontrer qu'elles se sont conformées aux directives de l'Agence Nationale de lutte contre la corruption.