81% des entreprises ont été victimes d’attaques malveillantes durant l’année 2016, selon l’édition 2017 de l’étude « Fraude et cybercriminalité » réalisée conjointement par la DFCG et Euler Hermes. Tous les secteurs et toutes les tailles d’entreprises sont concernés. Les fraudes par usurpation d’identité, «faux président», «faux client» ou «faux fournisseur» ont clairement explosées ces dernières années. En plus de ces fraudes dites « traditionnelles » fondées sur l’usurpation d’identité, la cyber-fraude est en expansion avec notamment la multiplication des ransomwares ; tel que le rançongiciel WannaCrypt qui, du 13 au 14 Mai 2017, a réussi à se propager dans le monde entier, faisant 200 000 victimes réparties dans 150 pays.
Typologie de la fraude en entreprise
Selon la DFCG et Euler Hermes, 8 entreprises sur 10 ont été victimes d’une tentative de fraude pour l’année 2016. La fraude en entreprise peut prendre 3 formes : la fraude interne, la fraude externe et la cybercriminalité.
- La fraude interne
Réelle menace pour les entreprises, les fraudes internes sont les plus dommageables et ce quel que soit le domaine d’activité. Pas ou peu préparées à la fraude ou à la corruption, les procédures de l’entreprise sont souvent basées sur la confiance et les contrôles en place n’ont pas pour vocation première de les prévenir ou de les détecter.
La sensibilisation interne et la bonne gestion des informations sont des dispositifs déterminants afin d’enrayer les risques de fraude.
- La fraude externe
La fraude externe est de plus en plus courante, en dépit des campagnes de sensibilisation aux risques encourus. Les fraudes d’usurpation d’identités sont les plus répandues et en premier lieu « la fraude au président » qui représente 59% des tentatives de fraudes. 56% des tentatives sont des fraudes au faux fournisseur, cela est suivie par les usurpations d’identité (29%) de type banques, avocats et les fraudes aux faux clients (25%) d’où la nécessité de bien connaître ses clients grâce à un processus de KYC optimisé.
Les usurpateurs d’identité s’appuient sur les faiblesses de l’organisation : des hiérarchies multiples (opérationnelle, fonctionnelle ou internationale), parfois peu connues au sein même de l’entreprise.
Les malfaiteurs sont également très informés sur les procédures internes et les organigrammes des entreprises. Ils les surveillent, notamment grâce aux réseaux sociaux professionnels, afin d’être au fait des postes et des nominations dans l’entreprise visée. Les techniques utilisées incluent notamment l’usurpation d’identité, l’imitation de la voix ou de la signature, la persuasion, l’intimidation, le chantage, les faux emails et l‘intrusion dans les systèmes informatiques.
Difficile donc pour un simple collaborateur de débuter sa relation professionnelle avec un supérieur hiérarchique par un refus d’effectuer des ordres de virement ou de sorties de stock, dans des conditions qui peuvent lui paraître déroutantes.
- La cyber-fraude
La cyber-fraude explose avec 57% des tentatives contre 32% l’année dernière. Les ransomwares ou rançongiciel connaissent un développement quantitatif spectaculaire : 22% de la cybercriminalité sont des attaques de ransomwares. La cyber-fraude est très répandue car elle implique de faibles coûts et de fortes marges.
De plus, Elle a été largement popularisée grâce à l’émergence des outils d’anonymisation (mails anonymes, crypto-monnaies).
Les avancées technologiques au sein des entreprises, l’augmentation de la quantité de données à protéger ainsi que l’utilisation des réseaux sociaux rendent les entreprises de plus en plus vulnérables à la cybercriminalité.
Quels dispositifs employer ?
Afin de se prémunir, des solutions sont connues mais utilisées de manière aléatoire. Près de 63% des entreprises ne disposent pas de plan d’urgence à mettre en place en cas de fraude. Pourtant, ces fraudes peuvent engendrer des risques financiers, d’après l’étude Euler Hermes – DFCG 2017, 10% des entreprises attaquées subiraient un préjudice supérieur à 100 000 euros. De la même manière, elles peuvent être touchées par des fuites de données (clients, commerciales), des interruptions d’activité et pour finir un risque de dévalorisation de l’image de l’entreprise.
La sensibilisation aux risques de fraude est un dispositif indispensable ; il est primordial de mettre en place des formations et des procédures internes de contrôle. De ce fait, la mise en place de formations internes des équipes permet de lutter à 89% contre les fraudes, à 80% grâce à un renforcement des procédures de contrôle interne, à 45% par des audits de sécurité du système d’informations et à 29% en pratiquent des tests d’intrusion. La diffusion de ces informations doit se faire à tous les niveaux, pour apprendre à tous à reconnaître les signes d’escroquerie et appeler chacun à être vigilant.