Comment les entreprises, et parmi lesquelles de très grands groupes, se laissent-elles piéger ?
Les entreprises sont confrontées à des organisations mafieuses d’une grande intelligence et qui préparent soigneusement leur forfait avant d’agir. Récemment, les forces de police ont trouvé, dans des documents saisis au cours de leurs enquêtes, un scénario très précis de questions, de rebonds sur les réponses éventuelles, un véritable argumentaire pour soutirer aux entreprises de façon très progressive et anodine toutes sortes de renseignements : dans le cas de la fraude dite « détournement de RIB », dans un premier temps, il s’agit de repérer un fournisseur de l’entreprise ciblée, de contacter cette dernière en son nom pour l’informer d’un soi-disant changement de numéro de téléphone. Quelques semaines après, le scénario se poursuit, avec l’envoi d’un courrier parfaitement rédigé annonçant le changement de RIB avec les nouvelles références sur lesquelles les prochaines factures devront être virées… et le numéro de téléphone déjà communiqué en cas de question ! Les fraudeurs utilisent aussi des méthodes d’appel dans différents services de l’entreprise, sous divers prétextes fallacieux, pour obtenir par exemple les noms et fonctions des responsables qui les intéressent : un directeur financier, son adjoint… L’entreprise est prise dans un circuit dans lequel il est assez difficile d’imaginer une fraude et les montants détournés peuvent être importants.
Existe-t-il des cibles privilégiées ?
Au départ, les grandes entreprises étaient principalement visées, car il était plus facile pour les fraudeurs d’intervenir dans une filiale d’un pays proche de la France, en se faisant passer pour le P-DG et flouer son interlocuteur ; de plus, des virements de montants importants pouvaient ne pas paraître trop suspects. Mais aujourd’hui, ces escroqueries touchent aussi des entreprises de taille plus moyenne.
Constate-t-on ces fraudes dans tous les pays ?
Cette fraude au président est en quelque sorte une spécialité française, car ce sont des Français qui en sont à l’origine, mais qui se sont protégés, ou se sentent protégés, en allant à l'étranger notamment. Il existe malheureusement de nombreuses autres variantes, en France et dans le monde. Les moyens de paiement ne sont plus nationaux, mais internationaux.
C’est pourquoi la Fédération bancaire française (FBF) œuvre aux côtés de la Fédération bancaire européenne (FBE) : elle considère comme prioritaire la protection des transactions de paiement, que la directive Services de paiement (DSP 2) va mettre à rude épreuve, entraînant de possibles risques majeurs. Et personne, au plus haut niveau de décision politique, n’en a conscience.
En effet, la DSP 2 milite pour l’accès aux données bancaires par des acteurs externes (TPP) tels que les tiers de paiement, qui ne seraient ni contrôlés, ni audités, ni contraints par une sécurité supérieure (alors qu’il est exigé des banques des systèmes de plus en plus sophistiqués). De mon point de vue, cela va entraîner une multiplication vertigineuse de tentatives d’escroqueries à l’échelle internationale.
Les nouvelles technologies facilitent-elles ce type de fraudes ?
Aujourd’hui, les nouvelles technologies imposent plus que jamais des relations fondées sur l’instantanéité. Cela ne laisse souvent que très peu de temps pour prendre du recul et procéder aux vérifications nécessaires autour des transactions.
Ensuite, chaque nouveauté technologique amène son lot de fraudeurs : dès l’instauration de la taxe carbone, des fraudeurs étaient prêts à la détourner ; même constat avec le SEPA ! Les fraudeurs ont étudié le système et se sont préparés à le pirater ; ils jouent sur la période relativement courte de la courbe d’apprentissage de ces nouveautés auprès du « grand public ».
Enfin, il est aujourd’hui possible de trouver facilement sur Internet des spécifications, de la documentation, pour se renseigner sur une entreprise et ses salariés. À cet égard, les réseaux sociaux professionnels sont de merveilleux outils de partage ! En outre, les cartes de paiement anonymes, que nous combattons depuis plusieurs années, permettent d’acheter des informations, voire des documents officiels d’entreprise, de façon totalement intraçable.
Cela permet de construire une vision relativement intelligente de l’entreprise.
Quelles sont les parades ?
Il faut bien comprendre que le virement, une fois lancé, est irrévocable. C’est pour cela que nous avons rédigé un guide présentant un certain nombre de conseils de bon sens pour que ces fraudes puissent être déjouées en amont : à chaque opération de modification des références des fournisseurs et autres partenaires de l’entreprise, il faut systématiquement vérifier l’origine des appels ou des courriels, confirmer, recouper les informations.
Nous sommes aujourd’hui dans une période de clic rapide. Pour autant, cela ne doit pas empêcher de prendre le temps de se poser les bonnes questions, avant de cliquer et que l’opération se fasse alors très rapidement.
L’entreprise doit aussi définir des procédures claires en matière de virement : qui est habilité ? Sur quelle période et pour quel montant ? Que faire dans le cas de virement exceptionnel ? il faut tout mettre en œuvre pour multiplier les signataires d’un ordre de virement significatif et utiliser autant que possible des canaux hautement sécurisés. Il faut également échanger avec son banquier, pour que celui-ci puisse éventuellement réagir s’il est sollicité sur des opérations inhabituelles, par exemple en demandant une confirmation à l’entreprise.
La FBF mène différentes actions pour sensibiliser sur ces différents points les entreprises, mais aussi les banques, par exemple ; en organisant des réunions d’information dans ses comités régionaux, souvent en collaboration avec les forces de l’ordre, en ouvrant des pages dédiées sur le site de la FBF, en réalisant des vidéos, notamment sur la fraude « au président », en éditant des documentations techniques (les clés de la banque - Pour lire le guide , pour commander le guide)...
Une autre étape peut se jouer au sein de la relation commerciale entre une banque et son client. Chaque établissement étudie en fonction de son tissu économique d’entreprises les outils et protections à mettre en place pour accompagner ses clients. Et chacun a des méthodes différentes, ce qui est plutôt vertueux, car une unicité de méthodes faciliterait les efforts des fraudeurs pour les contourner.
Tous les efforts sont-ils faits pour arrêter ces bandes organisées, souvent localisées dans des pays non européens ?
Nous travaillons aujourd’hui en étroite collaboration avec les forces de l’ordre pour organiser des remontées d’information partagées au niveau européen. L’Italie fait de même. Mais il serait souhaitable qu’une même volonté politique anime aussi les autres pays européens et, au-delà, les pays où ont été localisés les fraudeurs ou ceux dans lesquels les flux piratés transitent pour être transformés et revenir éventuellement dans leur pays d’origine.
La cybercriminalité est un vrai sujet des années à venir pour le monde bancaire. Elle doit être contrée par une cybersécurité efficace. Et nous n’y parviendrons pas seul ; pour gagner, il faut jouer collectif.
