« La fraude au président ne se limite plus à demander le versement en une fois d’un montant conséquent. De plus en plus, la demande de virement, émise par un fraudeur qui usurpe l’identité et le mail du dirigeant, porte sur un montant conforme aux transactions habituelles de l’entreprise, au profit d’un compte bancaire SEPA logé dans un pays avec lequel l’entreprise a en effet des interactions, décrit Éric Courtial, de la direction du pilotage de la fraude de La Banque Postale. Tout cela rassure, en particulier le responsable comptable : la demande ne déclenche aucun radar interne ou externe. Cette opération peut se répéter dix, vingt, trente fois et le montant détourné peut se chiffrer en millions d’euros. » Rassurer et se fondre dans le paysage : tels sont les principes d’actions des fraudeurs « qui surfent sur la difficulté à distinguer le vrai du faux. Ils s’adaptent en permanence et ont parfaitement compris qu’un montant trop conséquent dans le cas d’une fraude au président peut alerter. Ils s’attachent donc à formuler une demande cohérente au regard des standards de l’entreprise », pointe Sophie Fina, de la direction du pilotage de la fraude de La Banque Postale. Ils se fondent pour cela sur des éléments collectés par diverses façons : données exposées sur les réseaux sociaux, récupérées par intrusion informatique ou par manipulation.
C’est aussi leur approche qui s’est adaptée, dans les supports et le public visé.
- La personne visée peut être externe à l’entreprise. « Une fraude au président peut se dérouler par exemple dans le cadre d’une opération financière et confidentielle réelle, où un lien zoom va être partagé avec un cabinet de conseil pour un échange avec le P.-D.G. de l’entreprise dont la voix et l’apparence ont été clonées » relate Sophie Fina. Ici l’usurpation d’identité s’appuie que des deepfakes ou hypertrucages, de fausses photos, vidéos ou audio les plus réalistes possibles créées grâce à l’IA générative. Une technique qui fait régulièrement la Une des médias. On pense aux victimes de faux Brad Pitt, David Hallyday ou Patrick Bruel qui, sur la base d’hypertrucages, croyaient vivre une relation à distance avec une célébrité et se sont délestées de leurs économies. Ou à cette entreprise qui, début 2024 à Hong Kong, a été victime d’une escroquerie de près de 24 millions d’euros. Mais la capacité des fraudeurs à s’adapter est bien plus large que le seul recours à cette technologie.
- Ainsi, la tentative de fraude peut se faire par le biais de la création d’un groupe sous messagerie instantanée de type WhatsApp aux couleurs de l’entreprise et où le fraudeur se cache sous un profil présentant les nom, prénom et photo du dirigeant : « la création d’un environnement marketé entreprise vise à faire oublier qu’un groupe d’échange sous messagerie instantanée est hors contexte professionnel et surtout non sécurisé, explique Sophie Fina. La dimension d’immédiateté induite par ce type d’échanges favorise l’oubli des précautions élémentaires, par exemple un contre-appel au numéro habituel du contact. »
- Pour collecter des informations susceptibles d’asseoir la fraude (ingénierie sociale), « les fraudeurs visent désormais les jeunes collaborateurs ou stagiaires moins avertis des risques, car pas encore formés, que des collaborateurs installés, partage Sophie Fina. La prise d’informations ou de contacts peut se faire via LinkedIn ou TikTok quand la personne partage par exemple son plaisir de rejoindre l’entreprise. Il s’agit de récupérer auprès de la personne des informations susceptibles d’affiner la stratégie de fraude sans que celle-ci n’ait conscience de révéler des informations sensibles. »
- La fraude au faux RIB ne se concentre pas sur les faux fournisseurs : elle peut reposer sur la demande d’un collaborateur, dont l’identité est usurpée et qui réclame ce changement de RIB pour le versement de son salaire : « les PME sont des cibles très intéressantes pour les fraudes aux faux collaborateurs car leur gestion RH et comptable est moins structurée et leur système informatique moins bien protégé », alerte Éric Courtial. Le risque est que les ressources humaines ou la comptabilité procède au changement de RIB à réception d’un mail en ce sens. Pour se prémunir, l’entreprise doit instaurer un process où il revient au salarié de faire la démarche via l’intranet. Autre possibilité : prévoir la remise en mains propres des éléments nécessaires par le salarié au service compétent.
La bonne parade ? Le bon sens, des réflexes et de la prudence
Pour éviter que la tentative ne devienne une fraude aboutie, « la première parade est de séparer les tâches de saisie et d’exécution du paiement : elles ne doivent pas être confiées à la même personne » souligne Sophie Fina. Mais il faut aussi accompagner les collaborateurs pour qu’ils disposent des bons réflexes parmi lesquels :
- ne pas répondre sans vérifier par les canaux habituels que l'interlocuteur supposé est bien à l'origine de la demande ;
- ne pas utiliser les réseaux sociaux dans un cadre professionnel ;
- ne pas se reposer sur le niveau hiérarchique de l'interlocuteur supposé pour se désengager et simplement exécuter l’ordre donné.
« La personne sollicitée doit garder sa lucidité et être prudente voire ajourner la demande, conseille Sophie Fina. Car la manipulation est de plus en plus présente et son panel est plus large. Elle peut s’incarner dans un faux conseiller bancaire avec usurpation de l’identité téléphonique (le numéro qui s’affiche est bien celui de la banque), afin d’inciter la personne à réaliser une action dans l’urgence, sous la pression ». Une dimension de plus en plus prisée des fraudeurs car « depuis la crise sanitaire liée au Covid-19, les opérations de paiement en autonomie se sont développées » conclut Éric Courtial.