Article co-écrit avec Cyrielle Goffin et Morgane Gabrion, Seniors Managers Risk Advisory.

Quand on parle de la pandémie Covid 19 qui touche encore actuellement la planète entière, on ne pense pas instinctivement à la fraude, qui vient pourtant ajouter une ligne à la longue liste des impacts.

Effectivement, les malfaiteurs voient, dans ce genre de crise, des opportunités pour multiplier les « arnaques » et augmenter leur gain. La force de la fraude et des fraudeurs est de toujours s’adapter au contexte en ajustant les scenarios pour tirer un maximum de profit. Plus aucun secteur n’est désormais épargné par la fraude. Entre mutation et multiplication, la fraude a connu une forte augmentation en 2020, et la tendance se poursuit en 2021. Retour sur ce phénomène qui touche les établissements financiers et les petites comme les grandes entreprises.

 

Comment la crise a-t-elle créée un contexte propice aux fraudeurs ?

Cette crise modifie profondément la conduite des activités habituelles. Entre un développement rapide de services en ligne et un flot de consommateurs qui avaient l’habitude de réaliser un certain nombre de transactions dans le monde physique et qui se sont retrouvés digitalisés par la force des choses, de nombreuses failles de sécurité ont laissé le champ libre aux délinquants.

Les collaborateurs au sein des entreprises ont donc été obligés de s’adapter, parfois dans la hâte, au déclenchement du plan de continuité de l’activité et à la mise en place des mesures de télétravail. Quelques difficultés ont alors pu émerger comme la saturation du débit Internet, non-accès aux bases de données, l’indisponibilité des outils et documents physiques utilisés sur leur lieu de travail, etc., l’absence  de certains collaborateurs pour s’adapter à un bouleversement complet de leur quotidien, ou encore une dégradation soudaine des conditions de travail (absence d’écran de monitoring à domicile par exemple) , élargissement des droits d’accès, contrôles suspendus ou espacés dans le temps.  La surveillance a donc pu être discontinue pendant cette période favorisant l’apparition de failles propices à la concrétisation de fraudes sur des processus considérés jusqu’à présent comme maitrisés avec un risque faible.

Les établissements financiers ont normalement des garde-fous à l’encontre de ces pratiques mais la distanciation sociale et la réallocation des ressources les met à rude épreuve : les vérifications d’identités sont complexifiées à cause de la fermeture des agences physiques, la hausse de la dématérialisation des entrées en relation d’affaires, la diminution des plages horaires pour l’accueil du public ou encore l’augmentation exponentielle des offres 100% numérique.   D’autant plus qu’un bon nombre de contrôles qui devaient avoir lieu ont été reportés du fait du confinement ou du manque d’effectifs.

La fraude, qui se traduit par une volonté manifeste de tromper un tiers, revêt dès lors bien des visages.

 

Les fraudeurs recyclent leurs scenarios pour réaliser de nouvelles escroqueries financières…

Au début du premier confinement, les fraudes, commises à la hâte, étaient basiques et facilement repérables. Cependant, les fraudeurs, voyant la crise se prolonger, ont alors multiplié les attaques et complexifié les schémas connus de fraudes classiques (ex : fraude au président ou au faux fournisseur), devenant ainsi plus difficiles à déjouer.

L’Observatoire de la Sécurité des Moyens de Paiement (OSMP) met en évidence une tendance à la dématérialisation et à la digitalisation des opérations. L’intensification de ces pratiques a entrainé une perte de repère pour les collaborateurs des entreprises et les clients, créant de ce fait un bassin de fragilité étendu qui le rendent vulnérables.

On remarque que l’usage du chèque et les retraits ont diminué (au moins temporairement), tandis que les paiements sans contact et sur internet ont largement augmenté. Les fraudes au virement et les fraudes au technicien ont également gagné du terrain depuis 2020. Celles-ci permettent à un malfaiteur de prendre le contrôle à distance de l’environnement comptable ou bancaire d’une entreprise. En réalité, l’objectif est de collecter des données personnelles – cartes bancaires ou identifiants bancaires, informations sur les placements actuels et le patrimoine – qui permettront par la suite aux malfaiteurs d’effectuer des achats à distance, voire d’usurper son identité. Cette technique vise surtout les grandes entreprises qui font appel à un grand nombre de fournisseurs. Il est facile pour le fraudeur, de se faire passer pour un fournisseur donné et de demander à l’entreprise de payer ses factures vers un nouvel IBAN, permettant de réorienter le flux d’argent vers les comptes bancaires contrôlés par les escrocs. Le travail à distance a banalisé les échanges par téléphone et a donc augmenté les risques de fraudes de ce type.

 

… mais inventent aussi de nouveaux scenarios pendant la crise

Parallèlement à ces nouveaux paradigmes criminels, le soutien à l’économie mis en place par les différents gouvernements offre aux esprits malintentionnés des moyens de détourner les fonds publics. Par exemple, le GAFI souligne des levées de fonds en faveur de fausses associations caritatives.

 

La cybercriminalité et la fraude exacerbées par les mesures de confinement et de distanciation sociale …

La fraude aussi se numérise puisqu’au travers de plateformes web, de logiciels, de compétences en hacking, les fraudeurs peuvent profiter du voile de l’anonymat pour opérer en toute impunité. La situation sanitaire est alors venue jouer le rôle de catalyseur puisque la distanciation sociale oblige l’ensemble de la population à recourir à ces nouveaux moyens de communication. Ce n’est pas anecdotique. La vague d’offres suspectes est assez préoccupante, à tel point que les autorités telles que l’ACPR, l’AMF, ou encore la CNIL ont dû mettre en place des campagnes de prévention contre les actes frauduleux.

La cybercriminalité n’est pas apparue avec la pandémie actuelle mais a bien été accélérée par le télétravail et le confinement. Les mesures de distanciation sociale ont poussé les clients à privilégier les canaux digitaux pour les achats de biens et de services. La délinquance est alors de plus en plus astucieuse et ce, grâce à l’appui des nouvelles technologies. Ces nouveaux criminels 3.0 en ont profité pour tromper leur monde par des attaques d’hameçonnage via des frauduleux courriels d’entreprise afin de récupérer des informations sur leur clientèle et leur transaction. Sur la base de ces informations, ils entrent en contact avec des clients de l’entreprise ciblée afin de profiter de la vraisemblance de leur demande pour leur soutirer de l’argent. Et enfin, ces dernières années, l’une des armes majeures a été les attaques de rançongiciel. Ces softwares-pirates vont restreindre les accès à certaines informations directement sur les mobiles et ordinateurs des victimes jusqu’à ce que la rançon soit payée.

 

Quelles réponses de la part des entreprises ?

Pas de vaccin contre cette menace, seule la vigilance reste un remède efficace contre ces maux. Les entreprises (financières et industrielles), conscientes de la croissance des fraudes, ont pour la plupart mis en place un contrôle interne permettant de détecter les potentielles fraudes. Mais cela n’a pas permis d’empêcher un accroissement de la fraude au président ou des fraudes internes.  D’après une étude d’Euler Hermes en 2020, « plus de 6 répondants sur 10 n’ont toujours pas alloué de budget spécifique à la lutte contre la fraude et la cybersécurité en 2019 ». La meilleure prévention reste de :

  • Augmenter la sensibilisation aux risques des équipes au sein de tous types d’entreprises. Former les équipes est un enjeu majeur pour maintenir un haut niveau de compétences des anciens mais aussi des nouveaux collaborateurs
  • Cultiver le doute raisonnable et le questionnement pour déjouer la routine, en révisant régulièrement les procédures et les processus
  • Stimuler l’attention pour éviter la surconfiance dans les systèmes et les dispositifs et éviter « la mise en veille »
  • Se doter d’outils technologiques permettant de maintenir un niveau de contrôles et de détection et de s’adapter rapidement aux changements des schémas de fraude.

 

Conclusion

Dans notre contexte actuel où l’écosystème est fragilisé (économie, banque, client…), le champ libre est laissé aux fraudeurs. En effet, ils profitent de cette situation pour attaquer et utiliser de vieilles techniques, parfois déformées, parfois digitalisées. Elles sont ainsi de plus en plus sophistiquées, plus nombreuses et moins perceptibles. C’est d’autant plus le moment de redoubler d’attention pour toutes les entreprises, quelle que soit leur taille. La mise en œuvre en continu des moyens de vigilance (humains et outils innovants), favorisera l’intégrité et la sécurité de l’économie, tout en constituant un véritable avantage concurrentiel.

 

Article initialement publié dans l’Agefi : Avec le Covid-19, la fraude s’étend et se transforme