Collectivités locales : se protéger des tentatives de fraude

Les collectivités locales sont massivement concernées par le risque de fraude aux faux ordres de virement (les FOVI), un phénomène qui a émergé au début des années 2010, et qui est aujourd’hui en plein essor. Selon l’Observatoire de la sécurité des moyens de paiement, 50 % des faits de fraude portés à la connaissance de la Police judiciaire les concerneraient. Ces menaces concernent les collectivités de toutes tailles, ainsi que leurs satellites. Les fraudeurs ne sont freinés ni par les mécanismes de contrôles liés à la séparation des rôles entre ordonnateur et comptable ni par l’utilisation d’une plateforme sécurisée comme Chorus Pro pour la facturation électronique.

« La fraude, cela n’arrive pas qu’aux autres. » résume Sophie Fina, responsable du département Prévention Formation Fraude à La Banque Postale. « La fraude a changé d’échelle. Elle est de plus en plus technologique, plus difficilement détectable, et les fraudeurs de plus en plus « professionnels ».

Qu’elle soit naïve (avec des documents et procédures directement dématérialisés) ou duplicative (via la numérisation des documents créés en format papier), la dématérialisation des services et des échanges s’est généralisée au sein des collectivités locales.

Démarches administratives en ligne, commandes et facturations dématérialisées, télétransmission des actes budgétaires et des processus RH, passation des appels d’offres et marchés publics via Internet, instruction des actes d’urbanisme digitalisée, archivage numérique : la digitalisation des processus va de bon train dans les collectivités.

Ces usages digitaux fluidifient indéniablement les échanges. Ils permettent des gains de temps, de productivité et de fiabilité, ainsi que des économies financières. Cependant, malgré leur sécurisation, ces échanges dématérialisés peuvent faciliter le parcours des escrocs au sein des organisations. « Là où l’échange physique permettait auparavant de s’assurer directement de l’identité d’un interlocuteur, le distanciel demande une évolution sur les possibilités de vérification. Un changement de paradigme. » explique Sophie Fina. « Il est devenu possible d’usurper l’identité d’une personne avec une adresse mail comportant seulement un point ou un « s » en plus, ou bien encore de réaliser une intrusion après avoir collecté des identifiants et mots de passe. Il faut savoir que dans une boîte mail, on laisse une multitude de traces et d’informations. Non sécurisée, une messagerie est un véritable « self-service » pour les fraudeurs, qui n’ont qu’à se servir. »

Droit au but en vue de parvenir à leurs fins du premier coup : c’est la logique, sans scrupules, des escrocs. Pour recueillir en amont le maximum d’informations sur la collectivité visée, tous les moyens sont bons : appel téléphonique, courriel, sites professionnels, réseaux sociaux... La technique de manipulation psychologique utilisée pour soutirer ces informations aux agents est dénommée « ingénierie sociale ». Il s’agit d’obtenir des agents territoriaux qu’ils divulguent de leur plein gré (ou à leurs dépens) des informations confidentielles sur l’organisation de la collectivité, le rôle de chacun dans l’organigramme, les adresses de messagerie, la liste des fournisseurs et des facturations en cours, etc.

Les modes opératoires des fraudeurs sont diversifiés.

La fraude au président est l’escroquerie la plus répandue au sein des administrations territoriales. L’escroc se fait passer pour un élu ou un directeur financier et demande à un agent de la collectivité d'effectuer en urgence un virement important à un tiers. « Les ingrédients d’une fraude au président sont assez repérables. » explique Sophie Fina. « Il s’agit toujours de piéger la victime dans un huis-clos, afin d’obtenir d’elle un virement non planifié, urgent et confidentiel. »

Dans la fraude au RIB, le fraudeur usurpe l’identité d’un fournisseur ou d’une société d’affacturage, pour détourner un paiement à son profit. Concrètement, il s'agit souvent d'un mail de relance sur une facture bien réelle, associée au RIB d'un escroc. Le problème, comme l’a confirmé une décision du Conseil d’État datée d’octobre 2024, c’est que le virement frauduleux ne libère pas la collectivité de son obligation de payer le créancier véritable. La collectivité se trouve dès lors contrainte de payer deux fois la même facture. Et si des recours en justice sont possibles pour obtenir réparation du préjudice subi, notamment en cas de négligence du cocontractant ayant facilité la fraude, ils requièrent des preuves solides à l’appui.

L’intelligence artificielle (IA) fournit aux collectivités locales des outils intelligents pour automatiser des processus complexes et des services administratifs, aider à la prise de décision, faciliter le traitement de grandes quantités de données ou encore mieux anticiper les besoins des citoyens. Surveillance en temps réel et maintenance optimisée des infrastructures, gestion affinée de l’éclairage public, de la signalisation routière ou de la collecte des déchets, réduction des coûts énergétiques des bâtiments publics, meilleure coordination des services etc. : les usages potentiels de l’IA par les collectivités sont multiples.

Mais l’IA accroît parallèlement le risque d'arnaque en rendant les messages frauduleux moins aisément détectables. Les faux e-mails ne sont ainsi plus truffés de fautes d’orthographe et les faux sites sont beaucoup plus réalistes.

Les ordonnateurs et leur comptable public sont régulièrement la proie de tentatives d’escroquerie aux faux ordres de virement. Si certaines fraudes peuvent été déjouées grâce à la vigilance des agents, d’autres font des dégâts coûteux. Dans un tel contexte, les actions de prévention méticuleuses sont déterminantes. Cela à tous les niveaux de l’administration. Les remontées de tentatives de fraude de la part de collectivités clientes de La Banque Postale ont convaincu Sophie Fina : « L’usurpation d’identité est à la source de nombreuses fraudes. Vérifier la véracité des contacts non-initiés est dès lors une précaution incontournable. Le premier réflexe à avoir est d’effectuer un contre-appel auprès de l’interlocuteur habituel ou au service Comptabilité, en se référant au numéro enregistré dans le système d’information ou dans le contrat. Il s’agit de s’assurer que la demande émane bien de la bonne personne. »

Tout manque de cohérence, tout changement de coordonnées bancaires (surtout hors Chorus Pro : plateforme de dépôts de facture), tout procédé inhabituel de la part d’un fournisseur doivent appeler à la vigilance. Il est préférable d’ajourner l’action demandée, même (et surtout) si la demande est insistante, voire pressante.