La fraude se professionnalise

Le scénario est aujourd'hui bien connu : un fournisseur avise l'entreprise de nouvelles coordonnées bancaires où il conviendrait désormais d'effectuer les paiements... sauf que le fournisseur n'a en réalité pas changé de banque, et que l'entreprise va effectuer ses virements au profit d'un fraudeur bien organisé. En quelques heures, et avant que quiconque ne se plaigne d'un retard de paiement, les fonds seront très loin. C'est ce qu'on appelle la « fraude au faux fournisseur ». Un type d'arnaque qui prospère actuellement, se plaçant au premier rang des tentatives de fraude subies par les entreprises en 2017, selon la dernière étude (1) menée par l'assureur-crédit Euler Hermes, en collaboration avec l'Association nationale des directeurs financiers et de contrôle de gestion (DFCG). 

Plus de la moitié (54%) des entreprises interrogées auraient en effet subi une telle fraude l'année passée. « Les attaques au faux président semblent désormais un peu galvaudées : ce type de fraude a chuté de 16 points, passant de 58% à 42% entre 2016 et 2017. Les usurpations d'identité se sont reportées sur de nouvelles cibles : faux fournisseur, mais aussi faux client (35%), faux avocat, fausse banque ou encore faux commissaire aux comptes, ces trois dernières catégories représentant un total de 43%, en forte hausse », détaille Sébastien Hager, responsable souscription assurance fraude chez Euler Hermes.

Tempête à venir

Attention, il ne faut pas se laisser berner par la chute de certains indicateurs : 66% des entreprises ont déclaré avoir subi une tentative de fraude, contre 80% l'année dernière. « Ces chiffres traduisent non pas une chute de la fraude, mais la banalisation des attaques les plus simples, qui ne sont même plus relevées par les entreprises », estime Sébastien Hager. Au contraire, l'analyse des résultats de l'étude révèle une professionnalisation des fraudeurs. « Les attaques sont plus ciblées, plus étudiées et par conséquent plus efficaces. Le succès rencontré par les fraudeurs a augmenté : une entreprise sur trois a subi des pertes en 2017, contre une sur 5 il y a un an. Et 10% des entreprises y ont laissé plus de 100.000 euros ! », explique Sébastien Hager. Auparavant réservées aux plus grandes entreprises, les techniques de fraude sur mesure sont désormais utilisées sur l'ensemble du marché. C'est non seulement l'entreprise, mais aussi le fournisseur qui sera infiltré pour la mise en place d'une arnaque au faux-fournisseur. 

La cyber-criminalité ? Elle peut aussi sembler en repli avec 50% entreprises touchées, contre 57% en 2016, dont 20% de ransomware, mais « il faut se méfier du calme avant la tempête, prévient Sébastien Hager. Depuis les attaques massives du printemps 2017 - notamment NotPetya et Wanacry - les responsables d'entreprises ont été concentrés sur d'autres types de fraudes. Mais les cyber-fraudes comptent, en général, plusieurs phases. On peut craindre que les criminels ne soient actuellement en train de tester de nouveaux logiciels. » 

Moyens humains et technologiques 

Pour les entreprises visées, la fraude est tout d'abord synonyme de risque financier et/ou de trésorerie (85%) mais aussi de risque sur les données (45%), commerciales notamment, de risque d'interruption d'activité (30%), et enfin de risque de réputation (29%). Sur le terrain, les moyens utilisés pour déjouer les fraudes évoluent peu : il s'agit tout d'abord de moyens humains (87%), de procédures de contrôle interne (80%) et de dispositifs techniques ou informatiques. Ainsi, 44% des entreprises réalisent des audits de sécurité des systèmes d'informations, 18% des tests d'intrusion, 22% utilisent de nouveaux logiciels et 19% des cartographies de risque de fraude. « En misant sur la sensibilisation et la communication interne, les entreprises semblent privilégier les moyens les moins coûteux, mais qui restent très efficaces : près de la moitié des tentatives de fraudes déjouées le sont grâce à la vigilance humaine », relève Sébastien Hager. 

Reste que, comme l'année dernière, les entreprises semblent un peu sûres trop d'elles : 72% sont satisfaites de leur dispositif de protection, alors que plus de la moitié (56%) ne disposent même pas d'un plan de crise. « Savoir ce que l'on doit faire si l'on découvre un virement frauduleux ou comment réagir en cas d'attaque informatique semble pourtant basique. Cela signifie qu'il reste du travail en matière de sensibilisation des entreprises », souligne Sébastien Hager. Les solutions d'assurance progressent lentement : 12% des entreprises en ont souscrit une. Et 19% y réfléchiraient actuellement. « En 2015, 81% des responsables ignoraient l'existence même de solutions d'assurance antifraude : il y a un net progrès », conclut Sébastien Hager. 

(1) - « Etude fraude & cybercriminalité 2018 », Euler Hermes - DFCG, réalisée entre le 5 février et le 23 mars 2018 auprès de plus de 300 responsables financiers en entreprise.