Memoire Online - La lutte contre la fraude par ingénierie sociale, enjeu majeur aujourd'hui pour les banques et leurs clients entreprises

L'élaboration de cette étude relative à « la lutte contre la fraude par ingénierie sociale, enjeu majeur aujourd'hui pour les banques et leurs clients entreprises » n'a pas été un exercice aisé eu égard aux difficultés pour trouver certaines informations. Toutefois, grâce à la disponibilité de certaines personnes qui ont bien voulu nous orienter dans nos recherches, nous fournir des informations, nous encadrer, nous donner des conseils, la présente étude a été possible. C'est pourquoi, dans l'impossibilité de citer ici tous ceux qui ont apporté leurs pierres à l'édifice, nous voudrions témoigner notre profonde gratitude, spécialement à :

- Mme Bissonnet Emmanuelle, Directrice du contrôle interne et des risques à la Banque Française Mutualiste, pour avoir mis à ma disposition plusieurs livres dans le domaine de l'audit, du contrôle interne et de la fraude. Je la remercie pour son soutien, ses encouragements, ses précieux conseils, les missions données sur la fraude, la confiance qu'elle m'a accordée, la grande liberté qu'elle m'a laissée dans la réalisation de cette étude et d'avoir contribué grandement à la qualité du travail accompli.

Mme Chantal Cutajar, Responsable du Master 2 Juriste Compliance officer à l'université de Strasbourg. C'est elle qui m'a permis d'acquérir une vision juridique sur les thèmes liés à la fraude et aiguisé mon sens critique en matière réglementaire. Je la remercie pour ses éclaircissements sur le principe de non-ingérence et le devoir de vigilance du banquier, ses riches connaissances et l'organisation de nombreux colloques sur les thèmes liés à la fraude.

- Tous les professionnels qui sont intervenus à l'Université de Strasbourg car ils ont été les précurseurs de ce thème. Ils ont mis à ma disposition des documents sur les fraudes bancaires d'actualité ainsi que dispensé des cours dans ce domaine.

- Je remercie Cindy Ulrich, étudiante en Master 2 Journalisme juridique et judiciaire à l'Université d'Aix-Marseille, pour ses éclaircissements en matière réglementaire, jurisprudentielle et législative, et d'avoir apporté des remarques qui ont permis d'améliorer ce mémoire.

- Mes collègues de service, pour avoir relu très attentivement ce mémoire et apporté des remarques qui ont permis également de l'améliorer.

- Enfin, à tous ceux que je n'ai pas pu mentionner et qui ont apporté une pierre à l'édifice de ce mémoire, je réitère ma profonde gratitude.

Résumé

Depuis les années 2000, plusieurs scandales financiers dus à des manipulations financières ont éclatés dans le monde. Deux principaux pays ont réagi par l'adoption de nouvelles lois afin de contrer ces pratiques frauduleuses en entreprise. Les Etats-Unis par l'adoption de la loi Sarbanes Oxley (2002) et la France par l'adoption de la loi de sécurité financière (2003). Cependant depuis les années 2010, on assiste à de nouvelles formes de fraudes qualifiées de « fraude par ingénierie sociale » : la fraude au président et ses variantes. Dorénavant, quelques appels téléphoniques ou courriers suffisent pour dérober des millions d'euros. Ce phénomène s'est amplifié grâce aux nouvelles technologies et le renforcement des obligations de publication et de transparence des entreprises. Désormais, les fraudeurs ont accès gratuitement aux informations confidentielles et sensibles sur l'entreprise. Selon le FBI, ces nouvelles formes de fraudes auraient couté 3.1 milliards de dollars dans le monde.

L'objectif principal de la présente étude est d'identifier les enjeux pour les banques et leurs clients entreprises, dans la mise en place des actions de prévention des risques de fraude par ingénierie sociale.

Il ressort de cette étude que les conséquences de ces nouvelles formes de fraude sont désastreuses car le préjudice humain est supérieur au préjudice financier. Cette étude met également en avant les différents modes opératoires utilisés par ces escrocs, tout en proposant des moyens efficaces permettant d'identifier ces nouvelles attaques, de les déjouer, de les prévenir et de les traiter. Toutefois, la prévention et notamment la sensibilisation et la formation régulière du personnel reste l'outil efficace pour contrer ces escrocs tandis que certaines méthodes de détection restent incompatibles avec les exigences de la CNIL.

Mots-clés: fraude par ingénierie sociale, fraude au président, mode opératoire, prévention détection, traitement

Abstract

Since 2000, several financial scandals due to financial manipulations erupted worldwide. Two major countries have reacted by adopting new laws to counter such fraudulent practices in the company. The United States through the Sarbanes Oxley Act (2002) and France through the Financial Security Act (2003). However, since the 2010 we have been dealing with new kinds of fraud which are called «social engineering frauds» such as Fake President fraud and its variants. Henceforth, fraudsters could steal millions of euros through phone calls or fake emails. This phenomenon has increased with new technologies and corporate transparency requirements. Now fraudsters have free access to confidential information about the company. According to the FBI, these new types of fraud would have cost $ 3.1 billion worldwide.

The main objective of this study is to identify the major stakes for banks and their corporate customers to implement actions so as to prevent the risk of fraud by social engineering.

It is clear from this study that the consequences of these new types of fraud are disastrous. Human loss is more important than financial loss. This study also highlights the different procedures used by these scammers while proposing ways to identify these new attacks, to thwart, prevent, investigate and correct them. However, prevention including regular fraud training and awareness for all staff remains an effective tool to counter fraudsters while some methods for detection are incompatible with the CNIL requirements.

Keywords: social engineering fraud, fake president fraud, operating mode, prevention, detection, investigation, correction

Introduction

La lutte contre la fraude est irréfutablement un thème qui préoccupe de nombreuses entreprises en 2016. La fraude touche toutes lestailles d'entreprise et tous les secteurs d'activité. Elle peut être perpétrée par n'importe quel salarié de l'entreprise ou tiers et à n'importe quel moment. L'internationalisation et l'ouverture des frontières, la diversification des métiers bancaires, la révolution des moyens de télécommunications, les exigences de publication et de transparence imposées aux entreprises, et les limites de l'entraide policière et judiciaire internationale ont engendré des failles dans les entreprises que les fraudeurs savent exploiter.

Les gros scandales financiers qui ont éclaté aux Etats Unis (Enron, Xerox et WorldCom), en Europe (Barings, Parmalat et Ahold) et en France (Crédit Lyonnais, Société Générale et Caisse d'Epargne) ont non seulement généré de lourdes pertes financières aux investisseurs, mais aussi érodé la confiance dans les marchés financiers. Dans ce contexte, il faut restaurer cette confiance, améliorer la gouvernance, s'assurer de l'effectivité de l'intégrité du marché et protéger les intérêts des investisseurs. C'est ainsi que le renforcement de la réglementation et de la législation sont apparus indispensables et les établissements de crédit sont au coeur de cette lutte. Cette situation a conduit à l'adoption aux Etats Unis de la loi Sarbanes-Oxley (2002)^1(*), en France, la loi de sécurité financière (2003)^2(*) et le rapport Lagarde (2008)^3(*)ainsi qu'à l'abrogation du CRBF 97-02^4(*) remplacé par l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur bancaire.^5(*)

Les nouvelles techniques de fraude apparues autour des années 2010, plus connues sous le nom de fraude bancaire par ingénierie sociale ou encore fraude aux faux ordres de virements internationaux (par exemple la fraude au président, la fraude au changement de RIB, etc.) ont démontré que d'importants progrès restent à accomplir en matière de lutte contre la fraude à tous les échelons. Désormais, quelques appels téléphoniques suffisent pour dérober des millions d'euros.

Plusieurs institutions (ACFE)^6(*), bureaux d'enquêtes (FBI, Sûreté du Québec, OCRGDF, Police fédérale belge et FEDPOL^7(*)) et grands cabinets d'audit et de conseil (PWC et KPMG) publient régulièrement les résultats de leurs investigations sur la fraude bancaire par ingénierie sociale principalement en Europe et en Amérique du Nord.

Selon le FBI, la fraude aux faux ordres de virements internationaux (FOVI) aurait augmenté de 1300% depuis Janvier 2015 et couté 3.1 milliards de dollars aux entreprises dans le monde: 748 millions de dollars aux entreprise américaines entre octobre 2013 et août 2015, et 485 millions d'euros aux entreprises françaises ces 5 dernières années (source : Office Centrale de Répression de la Grande Délinquance Financière - OCRGDF). Ces chiffres sont inférieurs à la réalité car beaucoup d'entreprises craignent de révéler pour des raisons d'image.

Plusieurs banques (Banque postale, Banque Crelan, Barclays, LCL, etc.), cabinets d'audit et de conseil (KPMG), les entreprises du CAC 40 (Michelin, Total, LVMH, etc.) et même le palais de l'Elysée ont déjà été attaqués. Les grandes entreprises sont attaquées deux fois par jours (source : OCRGDF). Ces dernières rejettent la responsabilité sur leurs banques d'avoir donné leur feu vert à des virements frauduleux et réclament le remboursement intégral des sommes virées sur le compte de l'escroc. Elles affirment que leurs banques n'ont pas procédé aux ultimes vérifications, ni fait preuve de vigilance. De plus, les opérations étaient incohérentes avec la connaissance actualisée que les banques avaient de leurs clients. Cela est contraire aux articles L561-15 et L151-6 du Code monétaire et financier.^8(*) Par conséquent, comme il y a eu manquement grave à « ces obligations de surveillance, contrôle et de vigilance », ces entreprises réclament des dommages et intérêts comme prévu à l'article 1147 du Code civil notamment le remboursement des sommes frauduleuses virées.^9(*)

De leur côté, les banques rejettent la responsabilité sur les entreprises et refusent de rembourser les sommes malhonnêtes virées. Elles évoquent surtout le « principe de non-ingérence »^10(*) qui leur interdit de s'immiscer dans les affaires de leurs clients en recherchant les motifs des transactions financières, excepté en cas d'irrégularités manifestes et évidentes. Elles rajoutent également que les entreprises ont été négligentes et qu'elles auraient dû sensibiliser leurs salariés contre ces nouvelles techniques d'attaques.

Face à ce contentieux^11(*) et à l'explosion de ces nouvelles formes de fraudes externes aujourd'hui, quels sont les enjeux pour les banques et leurs clients entreprises, dans la mise en place des actions de prévention des risques de fraude par ingénierie sociale ? Ce questionnement voudrait, à côté de l'éclairage que nous allons tenter d'apporter, susciter un débat autour de cette question d'actualité brulante.

Ainsi, la dialectique de notre analyse se confine de la manière suivante : un premier chapitre qui présentera d'abord les différentes définitions de la fraude, les typologies de fraude, les motivations des fraudeurs et les exigences réglementaires et législatives ; un deuxième chapitre qui sera consacré à l'importance de la fraude par ingénierie sociale aujourd'hui ainsi que ses conséquences désastreuses pour les banques et les entreprises. Enfin, le dernier chapitre portera sur la définition de l'ingénierie sociale, les différents modes opératoires utilisés par les escrocs ainsi que les techniques de prévention, de détection et de traitement de ces fraudes.

Il s'agit tout simplement dans notre approche de présenter surtout les nouveaux scenarios développés par ces escrocs de plus en plus créatifs, les techniques sophistiquées utilisées, tout en proposant des moyens efficaces permettant d'identifier ces nouvelles attaques, de les déjouer et de les prévenir.

Chapitre I- La fraude : définition, typologie, cadre réglementaire et législatif

La lutte anti-fraude reste un thème de première importance au plan international. La fraude est un fléau qui ne cesse d'augmenter ces dernières années en exploitant les potentialités fournies par la globalisation financière. Depuis les années 2002, suite aux différents scandales financiers qui ont éclaté aux Etats-Unis et en Europe, le secteur financier fait l'objet de mesures légales imposant la mise en place de dispositifs importants dans ce domaine.

Ce chapitre compare d'abord les différentesdéfinitions de la fraude afin d'en illustrer les différentesperceptions. Ensuite,il fait ressortir les différents types de fraude ainsi que le triangle de la fraude de Cressey afin de comprendre les facteurs conduisant à commettre ces actes.Enfin, le chapitreaborde le cadre réglementaire et législatif entourant la lutte contre la fraude.

1.1. Définition de la fraude

La fraude est une notion difficile définir. Elle viendrait du latin fraus ou fraudis lequel signifie« tromperie », « préjudice » et même « crime ». Il est communément admis qu'il s'agit d'un terme juridique qui nécessite généralement une détermination juridique des faits. La plupart des fraudes sont condamnées par la loi. Aucune définition légale de la fraude n'existe en droit français, mais plusieurs textes répriment différentes formes de fraudes : vol, escroquerie, faux et usage du faux...

Tout d'abordle dictionnaire Larousse définit la fraude comme : « un acte malhonnête fait dans l'intention de tromper en contrevenant à la loi ou aux règlements ».^12(*)

Cependant, une définition plus juridique est proposée par Serge Braudo^13(*) dans le Dictionnaire du Droit Privé Français : «... Il s'agit d'un acte qui a été réalisé en utilisant des moyens déloyaux destinés à surprendre un consentement, à obtenir un avantage matériel ou moral indu ou réalisé avec l'intention d'échapper à l'exécution des lois^14(*) ».Toutes ces définitions ressortent deux points communs : tromperie et intention

Une autre définition est apportée dans le secteur bancaire par le comité de Bâle lors de la classification des types de risques opérationnels : « pertes dues à des actes visant à frauder, détourner des biens ou contourner la législation, impliquant au moins une partie interne ou externe dela banque ».^15(*)

Il existe d'autres définitions exprimantune vision des organisations des experts anti-fraude. L'ACFE définit la fraude comme : « tout acte intentionnel ou tout omission intentionnelle ayant pour but de tromper autrui et qui entraine une perte pour la victime et ou un avantage pour le fraudeur »^16(*).

Nous retiendrons pour cette étude la définition de la fraude au sens international provenant de la norme ISA 240 de l'IFAC énonçant des recommandations à l'intention des auditeurs et transposé en Droit français via la NEP 240^17(*) : « la fraude est un acte intentionnel commis par une ou plusieurs personnes parmi les membres de la direction, les responsables de la gouvernance, les employés ou des tiers, impliquant le recours à des manoeuvres dolosives dans le but d'obtenir un avantage indu ou illégal »^18(*).Ainsi, pour qu'il y ait fraude, la coexistence de 3 élémentsest nécessaire.

Selon la norme ISA 240, l'existence de la fraude réside dans la commission d'un acte. Cette notion correspond à l'élément matériel connu en droit pénal français.Il faut réellement un acte et pas une simple pensée ou envie. L'acte en question est interdit et sanctionné par la loi.

L'article L121-3 du code pénaldispose : « qu'il n'y a point de crime ou de délit sans intention de le commettre ». Pour parler de fraude, l'acte en question doit être volontaire. Ainsi, une inexactitude dans les comptes et même significative commis involontairement constitue une erreur et non une fraude.L'intention est « la conscience et la volonté d'accomplir ou de s'abstenir d'accomplir un acte. En droit pénal, on parle alors de dol ». Le Droit pénal français distingue deux types de dol pour caractériser le caractère intentionnel : tout d'abord le dol général où l'auteur en commettant son acte, sait qu'il viole la loi. Puis, le dol spécial qui n'est pas seulement la volonté d'accomplir un acte illicite, mais où un réel préjudice est causé pour la victime.

Le terme « manoeuvres dolosives » constitue ici un mode opératoire qui peut s'étaler sur plusieurs années. Il s'agit ici d'un ensemble de manoeuvres effectuées par l'auteur pour cacher son crime : faire sortir les valeurs de l'entreprise, dissimuler leur disparition et les convertir.

Le fraudeur recherche un avantage injustifié. Ce dernier a été recherché en violant une loi, une norme, une procédure, une réglementation ou un règlement intérieur. Cet avantage peut être matériel (en numéraire ou en nature) ou moral (reconnaissance, statut, etc.).

L'IFAC retient donc ces trois principaux critères dans sa définition de la fraude. Les auteurs peuvent être des simples employés jusqu'aux dirigeants de l'entreprise. On parle ainsi de fraude interne. La fraude implique également les tiers. Par exemple,les fournisseurs ou les clients. On parlera alors de fraude externe.

Ce concept de fraude est très large. Il englobe plusieurs notions voisines mentionnées en annexe 1.^19(*) Ces notionssont réprimées dans le Code pénal, le Code du travail, le Code de commerce, le Code monétaire et financier, et le Code général des impôts. Ce travail portera sur les formes d'escroqueries ainsi que sur les fraudes informatiques.

L'escroquerie est définit à l'article 313-1 du Code pénal comme : « le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manoeuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. ».

· Les moyens frauduleux : le mensonge, l'abus d'une qualité qui inspire la confiance, les moyens de tromperie, etc...) ;

· Le but visé : la remise de fonds de valeur, la fourniture d'un service, etc. ;

· un préjudice soit à la personne qui cède à la demande de l'escroc ou un tiers.

En outre, pour ce qui est de l'élément moral, il faut que l'escroc ait eu l'intention par ces moyens incriminés de tromper volontairement sa victime dans le but d'obtenir la remise visée.A titre d'exemple : l'escroquerie au président, l'escroquerie au changement de RIB, etc.

La fraude informatique peut être définit tout simplement au sens classique comme une variante informatique de l'escroquerie. C'est-à-dire une escroquerie commise à l'aide du système informatique. Par exemple, la fraude par malware.

1.2. Typologie de fraude

On distingue trois typologies de fraude : la fraude interne, la fraude externe et la fraude mixte.

La fraude interne est définie par l'ACFE comme « l'utilisation de son propre emploi afin de s'enrichir personnellement tout en abusant ou en détournant délibérément les ressources ou les actifs de l'entreprise »^20(*). Cette définition mentionne toute fraude commise par un dirigeant, un propriétaire d'une entreprise ou par un membre du personnel au sens large (salariés, intérimaires ou personnes agissant sous les ordres de la direction de l'entité). La fraude interne peut prendre la forme de détournements d'actifs matériels ou immatériels, falsification de chèques, fraudes dans les états financiers ou corruption.

La fraude externe représente la majorité des fraudes recensées. Il s'agit de toute fraude commise par une personne extérieure à l'entité. Elle peut prendre la forme de la cybercriminalité, l'ingénierie sociale (fraude au président, fraude au changement de coordonnes bancaires, etc.).

Certaines fraudes font intervenir une personne externe à l'entreprise et un salarié complice. On parle généralement de fraude mixte.

1.3. Triangle de fraude de Cressey

En 1986, le sociologue Donald Cressey a développé un modèle à l'aide des entretiens menés avec des personnes condamnées pour fraude, en tentant d'extraire des points communs dans chaque cas. Il en ressort que la perpétration de la fraude est le résultat de la concomitance de trois éléments : pression, opportunité et rationalisation.^21(*)

Premièrement, le fraudeur doit subir des pressions financières personnelles (niveau de vie supérieur à ses moyens, une dette élevée, un mauvais crédit..) ou des vices (toxicomanie, jeu, affaire extra-conjugale..) qu'il ne peut pas dévoiler à des tiers et pour lesquels il ne peut demander de l'aide. Ces problèmes sont particuliers car ils menacent son statut professionnel ou social. Ainsi, il ne peut pas les résoudre par les moyens légitimes.

Ensuite, il doit détecter une opportunité évidente lui permettant de régler ses difficultés financières sans que ces manoeuvres ne soient découvertes. Autrement dit, le fraudeur considère qu'il existe des failles ou des faiblesses dans l'entreprise qui lui permet d'agir incognitoet de perpétrer la fraude facilement.Par exemple, les faiblesses du contrôle interne, l'absence de sensibilisation et de formation de tous les collaborateurs, le manque de procédures rédigées (droit d'alerte professionnelle) oul'absence de programmes anti-fraude.

Enfin, la rationalisation est la dernière partie de la théorie du triangle de Cressey. Le fraudeur est en mesure de rationaliser l'acte qu'il a posé car il ne se considère pas comme un criminel. Ainsi, il doit élaborer une justification rendant son acte légitime. Par exemple, «tout le monde fraude, je fais comme eux », « ils comprendraient, s'ils connaissaient ma situation », « c'est juste des petites sommes », etc.

1.4. Cadre règlementaire et législatif en matière de fraude

Plusieurs lois et réglementations ont été adoptées à la suite des scandales financiers survenus particulièrement aux Etats Unis et en France. Elles ont pour objectif de prévenir les fraudesfinancières : laloi Sarbanes Oxley, la loi de sécurité financière, l'arrêté du 3 novembre 2014, la réglementation Bale 2 et le rapport Lagarde.

1.4.1. Loi Sarbanes-Oxley

La loi Sarbanes - Oxley^23(*) en abrégée « SOX » du 30 juillet 2002 s'applique à toutes les sociétés cotées en bourse aux Etats Unis, que la société soit américaine ou non. Elle a été adoptée suite aux différents scandales financiers qui ont éclatés aux Etats Unis notamment par des manipulations comptables et financières au sein des sociétés tels qu'Enron, Adelphia, Xerox, et Worldcom. Afin de contrer ces pratiques frauduleuses, elle préconise surtout de renforcer le contrôle interne et la gestion des risque, d'augmenter la transparence financière, la vigilance et l'indépendance des auditeurs.

Un comité d'audit indépendant va superviser les auditeurs. Il est chargé d'instaurer des procédures pour traiter les réclamations faites par le personnel sur les déficiences du contrôle interne, la comptabilité et l'audit. A noter que ces observations doivent être gardées confidentielles par le comité. Cette loi prévoit que les auditeurs externes interviennent uniquement dans le cadre de leur mission et l'entreprise devra obligatoirement procéder à une rotation de ceux-ci.

Afin de détecter toute activité frauduleuse dans l'établissement, il revient à l'entreprise d'élaborer un rapport annuel de contrôle interne mentionnant les changements significatifs qui sont intervenus dans le contrôle interne. Les dirigeants ainsi que l'émetteur doivent garantir l'efficacité des dispositifs de contrôle interne, l'exactitude des reportings financiers et s'exposent à de lourdes sanctions pénales en cas de non-respect.

La loi protège les salariés qui auraient fourni des informations ou participé à la détection des opérations frauduleuses, contre d'éventuelles représailles de l'employeur. En cas de représailles non autorisées, la loi prévoit des sanctions contre l'employeur. Cependant, la loi ne prévoit pas l'obligation d'anonymat des lanceurs d'alerte.

1.4.2. Loi de sécurité financière

Promulgué en août 2003, la loi de sécurité financière en abrégée « LSF »^24(*) s'inscrit dans la lignée de la loi Sarbanes Oxley.Cette loi s'applique à toutes les sociétés anonymes qu'elles soient cotées ou non. L'objectif est double : agir contre la fraude dans les opérations comptables et financières, en instaurant un rapport sur le contrôle interne et mettre en place un nouvel organisme appelé Haut Conseil du commissariat aux comptes pour renforcer le contrôle des auditeurs.

Cette loi impose au président du conseil d'administration de rédiger un rapport mentionnant l'ensemble des procédures de contrôle interne mises en place dans la société afin de prévenir et de maîtriser les risques de fraudes résultant de l'activité de l'entreprise dans les opérations comptables et financières.

La loi de sécurité financière a instauré la création du Haut conseil du commissariat aux comptes. Ce dernier est chargé de la définition des orientations et du cadre des contrôles périodiques ainsi que leur supervision et leur mise en oeuvre. Il doit également veiller au respect de l'indépendance et de la déontologie des commissaires aux comptes.

1.4.3. Règlementation Bâle 2

Les établissements assujetties à cette réglementation sont : les établissements de crédit, établissements de monnaie électronique précisés à l'article L.526-2 du COMOFI; les entreprises d'investissement visés à l'article L. 531-4 du COMOFI et les compagnies financières.^25(*)

Cette règlementation replace en priorité la préoccupation des établissements de crédit sur le problème de fraude en milieu bancaire en nommant explicitement la fraude comme composante du risque opérationnel. L'arrêté du 03 novembre 2014 et plus précisément l'article 10 j, indique que le risque opérationnel intègre le risque de fraude interne et externe lesquels sont définis à l'article 324 du règlement de l'UE N°575/2013. L'Article 98 ajoute que la fraude est réputée significative si elle engendre un gain ou une perte d'un montant brut supérieur à 0.5% de fond propre de base. Cette réglementation préconise aux établissements de prévenir et de repérer les actes frauduleux et d'en informer les responsables du dispositif et les autorités de compétentes des faits soupçonnés et tout cas de fraude portant sur la sécurité, la solidité ou la réputation de la banque.

Cette règlementation fournit également des lignes de conduites pour la construction d'un dispositif anti-fraude efficient et efficace. Les établissements de crédits doivent s'organiser en vue d'identifier (cartographie des risques), évaluer (approche du haut vers le bas et du bas vers le haut...), mesurer (indicateur de base, indicateurs standard, mesures avancées..), suivre et maîtriser/atténuer le risque de fraude dans leur organisation et allouer une partie de leurs fonds propres à la couverture de ce risque.

1.4.4. Rapport Lagarde

Ce rapport a été rédigé par Christine Lagarde, Ministre des finances, suite à la fraude interne de Jérôme Kerviel, trader en 2008 à la Société Générale.^26(*)Plusieurs préconisations ont été formulées pour renforcer les procédures internes de contrôle des établissements :

· renforcer les procédures de contrôle relatives aux opérations de marchés ;

· mieux identifier la fraude interne comme un élément à part entière du contrôle interne et créer ainsi un département dédié à cette tâche ;

· surveiller les comportements atypiques des salariés notamment ceux qui ne prennent pas de congés.

1.4.5. Arrêté du 03 novembre 2014

Cet arrêté qui remplace le Règlement CRBF 97-02 abrogé^27(*). Il s'applique aux établissements de crédit, aux sociétés de financement, aux établissements de paiement et aux établissements de monnaie électronique. Il sert à limiter le risque de fraude en cas de bonne application. Il précise les objectifs et les obligations à respecter en matière de contrôle interne. Cet arrêté suggère :

· une mise en place d'un dispositif de contrôle des opérations et des procédures internes : un dispositif de contrôle permanent et un dispositif de contrôle périodique. La bonne application permet ainsi de limiter le risque de fraude interne et de fraude externe de l'entreprise ;

· une séparation des tâches pour mieux limiter le risque de fraude interne notamment par l'indépendance entre les unités chargé de l'engagement des opérations et ceux de la validation ;

· une mise à disposition de moyens matériels et humains suffisant : un nombre suffisant et une qualification des personnes affectées au contrôle permanent et périodique avec des moyens mises à leur disposition qui sont adaptés à leur activité ;

· de mettre en place un dispositif de contrôle de conformité destiné à limiter le risque de fraude car une opération frauduleuse est une opération non conforme ;

· la mise en place d'un plan d'urgence et d'un plan de continuité d'activité permettant à la banque de poursuivre ses activités en cas de malveillance ;

· de décrire les procédures mises en place en cas de cyber-attaque. Le terme cyber-attaque signifie « un ou plusieurs évènements inattendus ou indésirables fortement susceptibles de compromettre la sécurité des informations et d'affaiblir ou de nuire à l'activité de l'établissement, notamment pour les impacts majeurs c'est-à-dire ceux dont l'impact financier est soit supérieur à 25 millions d'euros soit 0,5% du CET1 de l'établissement ».^28(*)

Chapitre II- Enjeux de la lutte contre la fraude par ingénierie sociale

L'ingénierie sociale est tout simplement une technique de manipulation mentale ou psychologique de son interlocuteur pour qu'il fournisse une information secrète ou effectue une opération. Depuis l'obligation de publication et de transparence qui pèse sur les entreprises, ce phénomène est en explosion dans le monde. Au départ, les grandes multinationales étaient ciblées. Désormais, cette escroquerie vise également les PME. Chaque année, de grands cabinets d'audit et de conseil, des institutions et des bureaux d'enquête, effectuent plusieurs études afin de déterminer l'ampleur du phénomène.

Ce chapitre détaille les résultats de ces dernières enquêtes. Il fait ressortir également le profil type du fraudeur ainsi que les conséquences désastreuses de ces nouvelles formes de fraudes pour les banques et leurs clients entreprises.

2.1. Explosion de la fraude par ingénierie sociale aujourd'hui

Depuis ces dernières années, de nombreuses enquêtes sont réalisées dans le monde afin d'apprécier l'ampleur du phénomène de fraude par ingénierie sociale. Ces études se basent sur les échantillons d'entreprises de toutes les tailles et de secteurs d'activités différents. En grande partie, ces études ont été réalisées par des institutions (ACFE)^29(*), des grands cabinets d'audits internationaux(PWC et KPMG) et des bureaux de police (FBI, OCGRDF, la police judiciaire fédérale belge, la sureté du Québec et FEDPOL en Suisse^30(*)). Tous débouchent sur un même constat : la fraude par ingénierie sociale est en explosion dans le monde et particulièrement en France et aux Etats-Unis. Les résultats présentés dans les paragraphes suivants ressortent de :

· l'enquête mondiale réalisée par PWC en 2016 sur la fraude en entreprise, sur 6000 entreprises dans plus de 100 pays ;^31(*)

· l'enquête du FBI en 2016 sur la fraude au président, sur 22143 entreprises concernées et dans 100 pays ;

· d'une soixantaine de plaintes reçues par la Sûreté du Québec concernant les fraudes au faux ordre de virement international, dont cinquante entreprises ont été touchées au Québec entre 2014 et 2016 ;

· des milliers de plaintes déposées à l'OCRGDF concernant la fraude au président et la fraude au changement de RIB, dont les entreprises françaises sont touchées depuis 2010 ;

· des 32 enquêtes ouvertes par la police judiciaire fédérale de Bruxelles sur les cas d'arnaques au président en Belgique entre 2010 et 2015 ;

· l'enquête de la DFCG (l'association nationale des directeurs financiers et de contrôle de gestion) et d'Euler Hermès (leader mondial de l'assurance-crédit), auprès de 150 directions des finances et portant sur le risque de fraude en entreprise en France en 2016 ;^32(*)

· l'investigation de KPMG sur 750 fraudeurs dans 81 pays entre 2013 et 2015 afin de ressortir le profil type du fraudeur ;^33(*)

· l'enquête réalisée par l'ACFE (« Report to the Nation 2016 ») qui résume 2410 cas de fraudes investigués par les « fraud examiners » dans 114 pays.^34(*)

2.1.1. Importance de la fraude par ingénierie sociale

La fraude par ingénierie sociale a un coût très significatif pour les entreprises dans le monde. Selon le FBI, elle aurait couté 3.1 milliards de dollars dans le monde. Soit 2,3 milliards rien que pour les entreprises américaines. Les montants que les escrocs ont tenté de voler auraient bondi de 1300 % depuis janvier 2015. Selon l'ACFE, la perte moyenne se situe entre 25 000 $ et 75 000$. Dans 23.2% des cas, elle aurait couté plus d'un million de dollars et dans 56% des cas les coûts sont moins de 200,000$.

Au Québec, la Sureté du Québec affirme qu'une soixantaine d'entreprises ont été touchées par cette escroquerie depuis 2014, pour un préjudice global de 16 millions d'euros. De plus, la gendarmerie royale du Canada estime que 95% de fraude ou de tentative de fraude ne sont pas dénoncées dans ce pays.^35(*)

L'Europe n'est pas épargnée par ce fléau économique et social. Selon l'enquête de PWC,la France devient le pays le plus touché par la fraude à cause de l'explosion de la cybercriminalité qui a doublé (+25%) : soit 53% en 2016 contre 28% en 2014. Son coût a été estimé à 3.7 milliards de dollars en France.

De nouvelles formes de fraudes externes se sont accentuées ces derniers 24 mois (+8%) pour la fraude au président et ses variantes (« délinquances astucieuses »). Elles ont couté 485 millions € aux entreprises françaises depuis 2010 tandis que les tentatives sur cette même période seraient de 865 millions d'euros. En 5 ans, 2340 plaintes ont déjà été déposées pour 1550 sociétés victimes. Entre 2010 et 2014, seulement 8 personnes ont été arrêtées en France pour ce type d'escroquerie et 5 millions d'euros de biens ont été saisies (source : Office Centrale de Répression de la Grande Délinquance Financière - OCRGDF). Cela montre la difficulté pour la police à interpeller ces escrocs ou à récupérer rapidement les sommes frauduleuses virées.

D'après Euler Hermès, 93% des entreprises françaises déclarent avoir été victimes d'une tentative de fraude en 2015 : une hausse de 16% comparé à 2014 (77%). L'OCRGDF dénombre 2 tentatives par jour pour les grandes entreprises (CAC40). La fraude au président est en tête des tentatives de fraudes réalisées en France en 2015 (55%).

Il en va de même pour notre voisin belge. Depuis septembre 2010, la police judiciaire fédérale de Bruxelles a ouvert 32 enquêtes sur des cas d'arnaques au président, pour un montant d'environ 37 millions d'euros. Parmi cette somme, 13 millions d'euros ont pu être virés à l'étranger aux escrocs. Les 24 millions restants représentent les tentatives de virements déjouées.

Pour la même période en Wallonie, 31 enquêtes ont été ouvertes pour un préjudice total de 24 millions d'euros donc 4 millions ont été virés aux escrocs. Enfin, en Flandre, 8 enquêtes ont été ouvertes pour un montant total de 2 millions d'euros virés sur le compte des escrocs à l'étranger et 3.5 millions d'euros constitue des tentatives de virement. Ces résultats communiqués par la police ne tiennent pas compte des autres formes d'arnaques comme celle au changement de coordonnée bancaire du fournisseur ainsi que la fraude par ingénierie sociale survenue en janvier 2016 au sein de la Banque Crelan et dont le préjudice est estimé à 70 millions d'euros.^36(*)

En Suisse, plusieurs sociétés ont également été victimes depuis 2010 et le préjudice s'élève à plusieurs millions d'euros. L'office fédéral de la police (FEDPOL) rapporte que les quatre escroqueries survenues entre novembre 2014 et mars 2015 dans trois cantons suisses (Vaud, Neuchâtel et Berne) ont rapportées environ 5.6 millions d'euros aux fraudeurs.

2.1.2. Secteurs d'activités concernés

Selon l'enquête de PWC, la fraude touche tous les secteurs d'activités. Plus l'entreprise est grande, plus les risques sont importants. Le secteur financier demeure le plus touché dans le monde avec un taux de 48%. Parmi les plus fortes évolutions, on note le secteur aérospatial et défense (+9%), le transport et logistique (+8%), l'énergie (+6%) et le secteur public (+3%).

2.1.3. Importance des dispositifs anti-fraude

D'après les enquêtes, la fraude survient majoritairement aux moments suivants : les périodes de congés (juillet à septembre), les voyages du président, les veilles de long week-end (la fraude survient alors vers 16h, lorsque le collaborateur n'a plus la même attention que le reste du temps). Euler Hermès constate dans son étude que 71% des entreprises n'ont pas de fonctions dédiées pour piloter la lutte contre la fraude. Cette dernière est donc pilotée par la Direction financière suivit de la Direction générale. 68% des entreprises en France n'ont pas un plan d'urgence à activer en cas de fraude et 58% ne connaissent pas de solution d'assurance en cas de risques de fraude.

La hausse des fraudes externes notamment les fraudes bancaires par ingénierie sociale ont modifié significativement les modes de détection en 2016. En effet, on constate une baisse du dispositif de contrôle, soit 44 % en 2016 contre 65% en 2014. Par contre, la culture de l'entreprise (codes éthiques, systèmes d'alertes, etc.) est en hausse de 10 points soit 23% en 2014 contre 32% en 2016.

Plus de 29 % de fraudes survenues ont été causées par un manque évident de contrôles internes adéquat. 20.3% d'entreprises indiquent le contournement des contrôles en place et 20% l'absence de vérification de la Direction.

2.1.4. Profil du fraudeur dans le monde

La Chartered Institute of Management Accountants (CIMA), l'Association Certified Fraud Examiners (ACFE), KPMG et PWC décrivent des faits et avancent des chiffres relatifs au portrait-robot du fraudeur. La synthèse de ses analyses montre que :

· 55 % de fraudes sont externes à l'entreprise contre 30% internes et 15% sont mixtes.

· les fraudeurs ont généralement atteint une position de confiance. Ils n'ont aucun antécédent judiciaire lié à la fraude (83%), parfois rendant des services religieux. Dans le cas où ils ont un antécédent judiciaire (5,2%), le bulletin numéro 3 du casier judiciaire est demandé dans les entreprises. Celui-ci présente des inconvénients de ne pas faire apparaitre certaines condamnations mentionnées dans le bulletin numéro 1 et 2 du casier judiciaire (condamnation avec sursis).

· sur le plan personnel, c'est une personne respectée, qui mène une vie normale. Il est marié et a des enfants dans 38% des cas.

· la proportion des fraudeurs augmente au fur et à mesure que l'on monte dans l'organigramme de l'entreprise. Lorsque la fraude est commise par un employé, il peut s'agir d'un homme (59%) ou une femme (41%). Mais lorsqu'il s'agit des cadres ou des propriétaires, 80% de fraudeurs sont les hommes soit 4 fraudeurs hommes pour 1 femme. Ceci s'explique par le fait que les hommes occupent plus de poste à responsabilité que les femmes dans le monde ;

· l'âge et le niveau d'étude influencent toujours le montant de pertes. En effet, les fraudeurs avec un diplôme universitaire ont provoqué une perte médiane de 200.000$. Pour ceux ayant un diplôme de troisième cycle, la perte médiane passe à 300,000$. Ainsi, les cadres et les dirigeants d'entreprise possèdent généralement un diplôme de troisième cycle et donc le montant des pertes n'en est que plus élevé ;

· le fraudeur agit généralement seul. Le montant de pertes est plus lourd s'il complote ;

· L'âge du fraudeur a diminué. Dorénavant, il est âgé de 31 à 45 ans contre 36 à 55 ans en 2015 à cause de la cybercriminalité perpétrée par des jeunes hommes.Toutefois, les pertes augmentent généralement avec l'âge du fraudeur ;

· Les pertes moyennes causées par les hommes sont deux fois plus grandes que celles causées par les femmes ;

· Les fraudeurs travaillent le plus souvent dans le département des finances, opérations / ventes ou en tant que PDG ;

· Les pertes causées par les gestionnaires sont généralement plus que le double de celles causées par les employés ;

· Les pertes moyennes causées par la haute direction (les propriétaires et les cadres) sont près de 12 fois supérieures à celles causées par les employés ;

· Les employés à plus long terme ont tendance à commettre de plus grande fraudes ;

· dans 97% des cas, la technologie n'est pas le moyen approprié pour détecter les fraudes. Dans 24% des cas, elle a accentuée la fraude en permettant par exemple d'accéder à des informations confidentielles.

· lorsqu'une d'une fraude est commise par un employé, il s'écoule en moyenne une période de 1 an entre la commission de l'acte et la détection. Par contre lorsqu'elle est perpétrée par un cadre ou dirigeant, la durée est en moyenne de 18 mois soit 1 an et demi.

2.2. Enjeux de lutte contre la fraude par ingénierie sociale

Les conséquences de la fraude par ingénierie sociale sont extrêmement coûteuses pour les banques et leurs clients. Le préjudice humain dépasse le préjudice financier. Les principaux risques sont :

· Risques d'atteinte à l'image de l'entreprise (vis-à-vis de ses clients, ses fournisseurs, etc.) et à la réputation du Groupe

Le nom de l'entreprise et du Groupe peuvent être cités dans les médias (presse, journal, télévision, radio...) ce qui fait plus mal qu'une sanction financière. Aux titres d'exemples, en février 2013, la banque HSBC Francea vu son nom cité dans les médias pour avoir « manqué gravement à ses obligations de surveillance, de contrôle et de vigilance » en exécutant un virement frauduleux de 2.39 millions € sur la demande de la comptable de la chaine sportive BeIN Sports.^37(*) Il en va de même pour la banque CIC qui a effectué un virement frauduleux de 100.000€ aux escrocs sur la demande de la comptable de la société Etna Industries dirigée par Carole Gratzmuller.Beaucoup d'autres banques choisissent l'option de rester silencieuse sur les faits pour des raisons d'image.

En général, les fonds détournés ne sont presque jamais récupérés en totalité à cause de la rapidité du virement. En effet il faut environ 3 à 4 jours pour perdre complètement la trace des fonds. Les pertes subies par des entreprises en France en 2016 seraient de 480 millions d'euros. En Europe, la plus lourde perte est attribuée à la banque Crelan de Belgique qui aurait subi récemment, suite à la fraude par ingénierie sociale organisée depuis l'étranger et orchestrée par mail, un préjudice de 70 millions d'euros.^38(*) Cependant, la fraude n'a pas impacté ses clients suite à d'importantes réserves antérieures effectuées par la banque. Il en va de même pour une entreprise autrichienne d'aéronautique FACC qui fournit des équipementiers à Airbus etBoeing. Le montant du préjudice subit en mai 2016 suite à la fraude au président est de 41,9 millions d'euros.^39(*)

· Risques de cessation de paiement et de liquidation judiciaire de l'entreprise

La fraude au président a entrainé la fermeture de plusieurs entreprises, puisqu'il arrive que les fonds détournés dépassent le découvert autorisé sur le compte de l'entreprise. Les montants détournés sont alors colossaux. A titre d'exemple l'entreprise BRM Mobilier qui fabriquait depuis 60 ans des meubles pour bibliothèques et médiathèques s'est trouvée en cessation de paiement en Septembre 2015 et a été liquidée en Janvier 2016, suite à une arnaque au président de 1.6 millions d'euros.^40(*)

La fraude aux faux ordres de virement a entrainé régulièrement des licenciements pour faute grave ou démission de l'exécuteur du virement ou du PDG, au regard du préjudice et de la bévue commise. Les entreprises telles que la Banque Postale ou Michelin n'ont pas conservé leur comptable. Ces salariés en majorité n'ont plus jamais travaillé.

A titre d'exemple, suite à la fraude au président qui a touché en 2016 l'entreprise d'équipementier autrichienne FACC de 41.9 millions d'euros, le PDG a été viré pour faute grave.^41(*)

Le salarié licencié peut être poursuivi pour complicité ou co-auteur de l'acte frauduleux parce qu'elle n'a pas référé à son supérieur hiérarchique.

La majorité des salariés qui ont validé le transfert des fonds frauduleux, connaissent des difficultés. D'importantes séquelles psychologiques sont restées (dépression, moqueries des collègues, honte...), d'autres non jamais repris le travail. Une seule personne aurait eu le courage d'affronter son arnaqueur lors du procès de Gilbert Chikli contre la Poste en 2005. On dénombrerait aussi des cas extrêmes de suicides et de tentatives de suicide dû à ces arnaques.

Les banques peuvent être sanctionnées pour avoir manqué à leur obligation de lutte contre le risque de blanchiment caractérisé par une négligence ou un manque de procédure de contrôle interne avant d'effectuer un virement. S'il est prouvé qu'elles ont effectué un virement frauduleux sans vérification au préalable (Art. L561-15 et L151-6 du Code monétaire et financier), elles devront restituer l'intégralité des sommes virées. C'est l'article L1147 du Code civil qui le prévoit, en permettant aux titulaires de comptes bancaires de se retourner contre les organismes financiers pour obtenir des dommages et intérêts. Deux banques ont déjà été condamnées à rembourser les sommes frauduleuses virées en France. Le « principe de non-ingérence » évoqué lors du procès par la banque n'a pas été retenu.

Aux titres d'exemples, le 30 octobre 2014, la 6ème chambre du Tribunal de Commerce de Paris a condamné la banque CIC à rembourser les 100.000 euros escroqués à la société Etna Industrie dirigé Carole Gratzmuller, et plus de 5000 € de frais d'avocat. En effet,la banque a manqué ses obligations de vigilance en autorisant un virement frauduleux^42(*). Cette condamnation s'accompagne d'une exécution provisoire du jugement, soit une obligation pour la CIC de rembourser même si elle a intention de contester le jugement devant la Cour d'appel.

Il en va de même pour la HSBC France qui été condamné en Mars 2015 par le tribunal de commerce de paris à verser 2,39 millions d'euros à la chaine qatarienne BeIN Sport au titre de dommages et intérêts suite à l'escroquerie au faux ordre de virement dont a été victime. La banque a gravement manqué à « ses obligations de surveillance, de contrôle et de vigilance ».^43(*)

Chapitre III- Fraude par ingénierie sociale : définition, mode opératoire et dispositif de lutte

La fraude par ingénierie sociale est la plus crainte actuellement au vu d'importants risques qui pèsent sur les banques et leurs clients. Elle n'a cessé d'évoluer ces cinqdernières années. En effet, les virements frauduleuxeffectuésen 2010 aux escrocs étaient chiffrés à 250 millions d'euros en France. Puis, ce montant est passé en 2013 à 350millions d'euros. Et aujourd'hui,il serait de 480 millions d'euros tandis que les tentatives sont de 865 millions d'euros (source : OCRGDF). On assiste également à de nouvelles variétés de fraude : fraude au Président, fraude au changement de RIB, fraude au test informatiquedémontrant ainsi la créativité de ces escrocs.

Ce chapitre définit d'abord clairement la notion d'ingénierie sociale afin d'en illustrer les différentes perceptions, ensuite il fait ressortir les différents modes opératoiresutilisés par ces escrocs de plus en plus créatifs. Enfin, le chapitrepréconise des solutions permettantd'identifier, déjouer et prévenir ces attaques.

3.1. Définition de l'ingénierie sociale

L'ingénierie sociale est tout simplementl'art de manipuler son interlocuteur afin que ce dernier réalise une opération frauduleuse ou divulgue une information sensible sur l'entreprise. Autrement dit,c'est une technique de manipulation psychologique humaine qui sert à acquérir invisiblement et de manière déloyale les informations d'une personne ciblée dans l'optique d'obtenir d'autrui l'exécution d'une opération frauduleuse (par exemple un virement).

Cette technique utilise d'avantage des moyens de communications traditionnels comme le téléphone, les mails et même le contact direct, en exploitant la confiance, l'ignorance ou la crédulité de tierces personnes. C'est l'une des technique de piratage les plus simples et les plus facilesà faire. Elle peut être utilisée partout et à tout moment.

Beaucoup de personnes aujourd'hui ne connaissent pas la valeur de l'information qu'elles possèdent et la nécessité de la garder confidentielle. Il faut en réalité s'adapter à la victime suivant le technique de l'attaque : apparence, charisme, flatterie, niveau de langage, persuasion, savoir mentir, c'est-à-dire apprendre à exploiter les failles humaines, confiance, manque d'information, etc. Il s'agit d'exploiter le facteur humain qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d'information.

3.2. Mode opératoire de la fraude par ingénierie sociale

3.2.1. Préparation de l'attaque ou collecte des informations

Les escrocs vont collecter pendant plusieurs mois le maximum d'informations sur l'entreprise ciblée. Ils vont se renseigner en détail à l'aide d'internet et des moteurs de recherche sur :

· les rapports annuels de l'entreprise, le K-bis, les statuts et le registre de commerce;

· les procès-verbaux d'assemblée générale et les comptes rendus des comités ;

· les sites Internet comme YouTube comportant des vidéos avec les mots des dirigeants ;

· la presse et les réseaux sociaux personnels (Facebook et Twitter) et professionnels (LinkedIn, Viadeo, etc.). Il y'a quelques années, il était possible de visionner et de télécharger des photos privées sur Facebook de tout le monde en mettant la langue de sa page en US.

Les fraudeurs vont utiliser également les méthodes du Google Dork et du Google hacking lesquelles sont très efficaces pour trouver des informations sensibles et précises sur l'entreprise ciblée. Par exemple ajouté après le mot recherchésur Google la mention « filetype : pdf ou doc ou xls» pour retrouver uniquement des fichiers de l'entreprise en version numérique, Powerpoint, Excel...Ainsi, ils pourront obtenir un maximum de renseignements concernant l'organigramme de l'entreprise, des adresses de messageries, les éventuels départs et nominations, les personnes chargées d'ordonner et de valider les virements et récupérer la signature des dirigeants en bas des documents officiels. Ils approfondiront sur les documents de communication interne afin de comprendre la stratégie de l'entreprise, adopté le langage et le vocabulaire qui leur sont propres ainsi que les phrases préférées des dirigeants.Ils peuvent également bénéficier de complicité dans l'entreprise pour obtenir par exemple les plans de congé de certaines personnes clés et les procédures.

Le coût pour obtenir tous ces informations serait d'environ 60 euros, d'où un retour sur investissement hallucinant. Ce travail de bénédictin qui demande notamment beaucoup de patience dure généralement 6 mois. Ainsi, l'escroc va décider de passer à l'action ou revendre ses précieuses informations à prix d'or à des personnes qualifiées généralement de « Roi des bagouts » c'est-à-dire des personnes avec une éloquence confirmée, une aisance de la parole et capable de convaincre facilement son interlocuteur.

3.2.2. Passage à l'action

L'escroc est généralement basé à l'étranger,plus précisément dans les pays où les procédures d'extradition permettant de renvoyer l'escroc vers son pays d'origine n'existent pas comme la France et Israël. Ils ont une double nationalité et opèrent depuis les villes côtières israéliennes baptisées « Silicon Valley israelienne » par les escrocs. Ces villes sont Netanya, Ashdod et Herzliya (source : OCRGDF).

Le Fraudeurusurpe l'identité d'une personne influente dans l'entreprise (président, directeur, etc.) ou un fournisseur. Ensuite,il entre en contact avec sa victime, généralement un employé du service comptable ou financier ou la personne en charge de valider le virement. Le contact s'effectue pendant les congés du Président ou la veille du week-end, plus précisément le vendredi à 16h lorsque la vigilance est faible car l'employé est pressé de rentrer chez soi ou de partir en voyage. A l'aide de moyens de communication notamment des dispositifs leur permettant d'être anonymes (plateformes téléphoniques) où ils louent des numéros de téléphone et de fax, des adresses IP aléatoires, il pousse sa victime à lui révéler des informations confidentielles ou à effectuer un transfert en urgence en demandant de garder le secret confidentiel.Pour parvenir à ses fins, il utilise des techniques de flatterie, de charisme et de pression.

3.2.3. Virement des fonds, récupération et réinvestissement

Le virement est exécuté toujours vers un pays situé en Europe de l'Est (Chypre, Grèce, Pologne, Lettonie..). Il transite d'abord sur un «compte rebond», aussi appelé «compte taxi». Puis, il arrive en Chine. Ainsi, les complices auront sept heures d'avance sur l'Europe grâce au décalage horaire. Leur partenaire, le plus souvent la mafia chinoise, va leur remettre du cash en France ou en Israël en échange des virements malhonnêtes envoyés dans des banques en Chine. Les sommes escroquées seront réinvesties en Europe généralement dans l'immobilier.

Si la fraude a pu être déjouée, l'escroc va se faire passer pour des policiers de la brigade financière, Interpol ou services secretset rappeler son interlocuteur pour lui demander l'exécution du virement sous prétexte que ces escrocs ont été localisés et ce virement servira à les piéger et à les arrêter.

La figure ci-dessous illustre parfaitement les différents modes opératoires utilisés par ces escrocs.

3.3. Type de fraude par ingénierie sociale

3.3.1. Fraude au Président

3.3.1.1. Définition

La « fraude au président » est une escroquerie par usurpation d'identité. Elle consiste pour l'escrocà se faire passer pour un dirigeant de l'entreprise afin de persuader lesemployés d'effectuer en urgence un virement important à un tiers sous prétexte d'une dette à régler,un contrôle fiscal ou uneOPA à réaliser. Gilbert Chikli est considéré comme l'inventeur de cette escroquerie, qui est né en 2005 et donc la première victime fût La Poste.^44(*) Mais le phénomène s'est développé à partir de 2010 à cause de la montée en puissance d'internet.

3.3.1.2. Scénario

Apres s'être bien renseigné sur l'entreprise,l'escroc téléphone au service comptable ou financier de l'entreprisela veille du Week-end et se fait passer pour le président de la société en imitant sa voix et en utilisant les plateformes téléphoniquesqui font croire qu'il est dans le même pays oùse situe la banque et l'entreprise.Il va exigerau comptable un virement urgent et confidentiel, censé s'inscrire dans une OPA d'une entreprise à l'étranger.

Il va mettre la pression à sa victime. Par exempleen rappelant3fois en 10minutes. Il envoie ensuite un mail frauduleux censé provenir des dirigeantsgrâceaux signaturesrécupérées sur infogreffe pour confirmation. Le virement va ainsi être exécuté vers un compte à rebond situé vers les pays d'Europe de l'Est où il sera intraçable par la suite et impossible de le récupérer.L'annexe 1^45(*) et l'annexe 2^46(*) présentent respectivement des discussions téléphoniques réelles entre le fraudeur et l'opérationnel ainsi qu'un exemple de mail rédigé par cesescrocs.

3.3.1.3. Signaux d'alerte

Plusieurs critères pourraient laisser penser à une tentative de fraude au président :

· une prise de contact généralement le vendredi après-midi ou pendant les congés : l'interlocuteur qui se fait passer pour le PDG,n'a pas l'habitude d'appeler ;

· une demande exceptionnelle qui ne respecte pas les procédures habituelles de l'entreprise ;

· une demande urgente et ultra confidentielle : il prétend un motif d'OPA ou un contrôle fiscal et demande de n'en parler à personne ou donne un numéro servant à crypter les conversations. L'utilisation des termes comme (« ce projet doit rester confidentiel »), (« n'en référer à personne »), (« c'est une affaire de très haute importance »), etc. ;

· les flatteries : (« il m'a dit que je pouvais compter sur vous ») ; (« vous serez récompensez ») ;

· une forte pression exercée sur le salarié et intimidation: il rappelle à plusieurs reprises et utilise des termes comme (« est ce que vous écoutez ce que je dis ? Je vous dis que c'est très urgent ! ») ; (« c'est un ordre ») ; (« ne me décevez pas »), etc.

· une opération inhabituelle dont le montant est élevée et vers des comptes ou des bénéficiairesinconnus ouencore vers les pays ou la société n'a pas d'activité.

3.3.2. Fraude au Changement de coordonnées bancaires

3.3.2.1. Définition

La Fraude au changement de RIB consiste pour l'escrocà envoyer un mail ou un courrier frauduleux à un collaborateur du service de trésorerie ou de comptabilité de l'entreprise en se faisant passer pour le nouveau comptable du fournisseur de l'entreprise, et lui demander de diriger ses versements vers un autre compte bancaire appartenant aux escrocs, généralement situé à l'étranger

3.3.2.2. Scénario

Apres s'être suffisamment renseigné sur l'entreprise, l'escroc envoie un courriel ciblé au service comptablede l'un de ses sous-traitants, l'informant que suite à des dysfonctionnements, le paiement des prochaines factures devraient s'effectuer sur un supposé compte plus sécurisé et ouvert dans une banque installé vers les pays de l'Est (compte à rebond). Il joint à sa demande un faux courrier avec l'en-tête de l'entreprise et portant des mentions d'identification exactes du fournisseur. Ensuite, Il exerce une pression psychologique intense sur la personne en la rappelant à plusieurs reprises. Ainsi, le concerné modifie les coordonnées bancaires du fournisseur.Plusieurs paiements seront ensuite réglés sur ce compte à rebond à destination finale la Chine et réinvestis en Europe.

Les règlements de factures doivent dorénavant être virés sur un compte à rebond ouvert à l'étranger (pays de l'Est) avec pour destination finale la Chine.

3.3.2.3. Signaux d'alerte

· toute demande de modification de RIB d'un bailleur ou fournisseur par courriel, email, téléphone, fax,etc. ;

· des emails similaires à ceux de l'entreprise mais portant des mentions « Gmail ou Hotmail » ou un chiffre ou une lettre rajouté ;

· d'importantes fautes d'orthographes, généralement pas d'accents ni de « s » ;

3.3.3. Fraude au faux technicien bancaire ou Fraude SEPA

3.3.3.1. Définition

Cette technique consiste à se faire passer pour le service télématique d'une banque et prétexter des tests de compatibilité avec l'entreprise cliente pour demander à la victime d'effectuer un virement bancaire test. Pour faciliter la fraude, l'escroc peut demander à prendre la mainsur l'ordinateur de la victime. Il va utiliser un site de support informatique afin de voir tout ce qui se passe sur l'ordinateur à distance et d'en prendre le contrôle.

3.3.3.2. Scénario

Apres avoir collecté les informations sur la personne en charge du virement ainsi que son outil utilisé, le faux technicien escroc contacte(généralement le vendredi vers 16 h) le service comptable d'une entreprise et généralement la personne en charge des virements à l'aide de numéro affichant « 0800 ». L'escroc prétexte une migration vers une nouvelle version du site ou les paiements sont réalisés. Le fraudeur posebeaucoup de question sur le fonctionnement de l'entreprise: virement manuel ?, Qui valide ? Quels moyens utilisés? De plus, le fraudeur s'exprime très bien : il est courtois et connaitparfois parfaitement l'outil utilisé. Il cherche à trouver le meilleur moyen pour effectuer cette migration. Il communique par la suite un lien comportant les termes comme « migration ou sepa » permettant de prendre la main sur l'ordinateur de la victimesans attirer son attention (par exemple, www.migre.com/sepa07821).

Apres que la victime ait cliqué, l'escroc lui donne un code à saisir dans l'interface. Puis, ils vont vérifier ensemble le paramétrage de l'outil : les virements, les relevés de comptes, les plafonds et demande à la victime de faire un virement test vers un compte bénéficiairedans un pays de l'Europe de l'Est.Celui-civa se remplirautomatiquement, la comptable n'aura alors qu'à valider. Si l'entreprise utilise un contrat EBICS TS, en validation simple, le virement est automatiquement envoyé et exécuté. En raccrochant, l'escrocdemandeà sa victime de ne pas se connecter pendant 2 à 3 jours, et d'effectuer les paiements en mode manuel pendant le temps de la migration.

3.3.3.3. Signaux d'alerte

Plusieurs signaux d'alarme permettent d'attirer l'attention sur ce type de fraude :

· tout interlocuteur proposant de l'aide sur des outils de paiement alors qu'on ne l'a pas contacté aux coordonnées habituelles ;

· la communication par téléphone ou par email d'un lien inconnu. Ce lien contient des termes comme : sepa, migration ou abréviation du nom de la banque (par exemple des réducteurs d'adresse du type : www.yin.com/sepa98bfm/migration);

· la demande de reconnexion après plusieurs jours (habituellement 2 à 3 jours).

3.3.4. Fraude par Phishing

3.3.4.1. Définition

Ce terme provient de l'anglais « password harvesting fishing » c'est-à-dire « la pêche aux mots de passe ». Il est qualifié de filoutage en français et d'hameçonnage en québécois.

Le« Phishing »est une pratique frauduleuse effectuée par SMS ou mail(Smishing) ou par téléphone (Vishing) pour soutirer des informations bancairesconfidentielleset usurper l'identité de la personne pour effectuer un virement frauduleux.En effet, il s'agit surtout d'envoyer un mail comportant l'en-tête de la banque d'origine et d'attirer la personne responsable du virement vers un faux site afin que celle-ci entre ses données confidentielles qui seront réutilisées par la suite par l'escroc pour effectuer le virement frauduleux. Généralement les codes ciblés sont souvent les données personnelles, les identifiants bancaires ou les identifiants de connexion.

3.3.4.2. Scénario

Le pirate va se faire passer pour la banque de l'entreprise. Il envoie un mail alarmant à l'entreprise avec entête le logo de sa banque. Ce dernier va recevoir le message et va être sûr que celui-ci provient de sa banque. Le contenu du message demande généralement de confirmer les codes bancaires sous peine de fermeture. La victime clique sur le lien et entre ses codes confidentiels. Elle est ensuiteredirigée vers une phishing page ou un faux site similaire à celui de sa banque. Ainsi, l'escroc disposera des coordonnées bancaires de la victime et lui-même va effectuer le virement frauduleux. Les schémas ci-dessous illustrent nos propos :

3.3.4.3. Signaux d'alertes

· Adresse email approximative avec des termes comme « Gmail » et non celui de la banque ;

· Des liens vers des pages phishing ne mentionnant aucun nom de la banque sur l'URL ;

· Caractère urgent voir menaçant à la fin du message, généralement colorié en rouge.

3.3.5. Fraude par Malware

3.3.5.1. Définition

Cette technique consiste à envoyer un mail contenant un fichier contaminé (par exemple Cheval de Troie). Une fois installé, celui-ci permettra au fraudeur de prendre le contrôle du poste de travail de la victime et de récupérer les données confidentielles (identifiants, codes secrets, etc.). Ces derniers seront utilisés à l'insu de la victime pour exécuter les ordres de paiements.

3.3.5.2. Scénario

L'escroc envoie un mail avec une pièce jointe évoquant une facture impayée. Le comptable va cliquer sur le lien ou télécharger la pièce jointe. Le programme infecté (malware) contenu va s'installer sur l'ordinateur à l'insu de la victime. L'escroc pourra alors accéder à distance aux données confidentielles (identifiants, mot de passe de la victime, etc) car il peut voir son écran à distance et même le contrôler à distance.

La victimeva constater que son écran subit des lenteurs et des pages sont indisponibles. Un logiciel espion récupère les numéros de comptes, les noms des responsables financiers, leur signature, leur numéros fixe et mobile... Les jours suivants, l'escroc va envoyer des virements par fax en prétextant par exemple une panne informatique et si la banque se contente uniquement d'appeler le numéro de l'escroc, ce dernier va confirmer le virement vers des pays de l'Europe de l'Est. Cette technique a été utilisée lors de la fraude par ingénierie sociale subie par BeIn Sports en 2013.

3.3.5.3. Signaux d'alerte

· des emails à caractère inhabituel comportant des pièces jointes inconnus ;

· la lenteur du site bancaire constatée après l'ouverture de la pièce jointe ;

3.4. Dispositif de lutte contre la fraude par ingénierie sociale

3.4.1. Dispositif de prévention

L'adage : « il vaut mieux prévenir que guérir » ne fait pas exception en ce domaine. Ainsi, la prévention demeure la première mesure à prendre pour lutter contre ces escrocs de plus en plus créatifs avec des techniques sophistiquées. Nous préconisons dans les paragraphes suivants les mesures à adopter.

3.4.1.1. Limiter la diffusion de l'information

Les entreprises doivent publier uniquement ce qui est obligatoire dans le respect des exigences de transparences qui leurs sont imposées. Ainsi, elles doivent limiter leur communication sur la société, ses salariés, son organisation (organigramme), son fonctionnement, notamment en sécurisant son intranet. Elles doivent contrôler les informations présentes sur le site internet de l'entreprise et supprimer notamment l'organigramme de l'entreprise.Il est nécessaire de recommander aux salariés de ne pas diffuser des informations sensibles sur les réseaux sociaux personnels (Facebook, Twitter, WhatsApp...) et professionnels (LinkedIn, Viadeo..). Les salariés pourront par exemple être contraints de signer une charte de confidentialité leur interdisant cette divulgation sur leur page personnelle.

L'entreprise doit notamment veiller à limiter l'accès aux documents sensibles en interne comme des modèles de fax ou demander à ses salariés de ne rien jeter de sensibles dans les poubelles. Il faut également broyer tout document obsolète dans l'entreprise. Enfin il faut impérativement conserver la confidentialité des signatures manuscrites des dirigeants ou des personnes qui ont l'autorisation de valider les opérations.

Les escrocs sont parfaitement informés des obligations légales de publication qui obligent les entreprises à dévoiler une grande quantité de documents disponibles sur des sites comme «www.infogreffe.fr». Comme il n'est pas possible d'enfreindre ces obligations, il est préférable de publier uniquement ce qui est nécessaire ou rendu obligatoire par la loi (statuts à jour, procès-verbaux).Malheureusement, ceux-ci contiennent la signature des associés ou du président, ce qui est favorable aux escrocs. En plus des obligations légales, l'entreprise a également une obligation de transparence vis-à-vis du marché, surtout lorsqu'elle est cotée. Ainsi, il faut trouver un équilibre entre ce soucide transparence et le risque de fraude.

Les salariés doivent être prévenus qu'en cas de non-respect des règles de procédures internes, un licenciement sera envisagé, et cela sans indemnités.

3.4.1.2. Sensibilisation des collaborateurs

La sensibilisation reste le plus grand principe de lutte contre le risque de fraude à l'ingénierie sociale. Les responsables ou les dirigeants doivent être capables de sensibiliser continuellement leurs collaborateurs.

Cette sensibilisation doit être pilotée notammentpar le Président, dans l'optique de signaler clairement à tous les salariés l'importance qu'accorde la haute direction de l'entreprise à ce fléau. Elle doit non seulement cibler ceux qui ont accès aux fonds de l'entreprise ou qui ont l'autorisation nécessaire pour déclencher des transferts notamment les équipes comptables et financières, mais aussi tous les collaborateurs « filtres » c'est-à-dire ceux généralement contactés par l'escroc lors de phase préliminaire de collecte d'information (assistante de direction, standardiste, secrétaire, etc.).Ces derniers sont des personnes sur lesquellespèse fortement le risque.

Cette campagne de sensibilisation doit fournir des exemples de modes opératoires de fraudes par ingénierie sociale, les moments où ces attaques peuvent intervenir (veille du Week-end, congé du président, etc.) et mettre la priorité sur les moyens permettant de les reconnaitre comme mentionnées dans la partie précédente : les demandes urgentes et confidentielles émanant de la haute direction, des adresses de courriel factices ou des noms de domaine qui présentent de légères différences par rapport à ceux de l'entreprise.

Le deuxième objectif d'une telle campagne est de développer chez les employés les bons réflexes en cas de situations suspectes. Le réflexe le plus important consiste à ne jamais accepter de procéder à un virement, de divulguer de l'information ou de modifier des coordonnées bancaires sans une deuxième vérification, en dehors du système de courriel. Il faut vérifier l'historique du fournisseur, par exemple vérifier si les transactions avec ce dernier porte sur des montants élevés et accepter uniquement un RIB original.

Un simple appel téléphonique suffit la plupart du temps, à condition de ne pas se fier aux numéros de téléphone contenus dans les courriels suspects et d'utiliser une source fiable pour valider les coordonnées des personnes responsables. En cas de changement de coordonnées bancaires, il est également d'une importance vitale de sensibiliser tous les employés aux dangers que pose la diffusion d'informations confidentielles. Les voyages prévus par le président ou les dirigeants de l'entreprise ne devraient jamais être rendus publics car les malfaiteurs se servent de ce type de renseignements pour perpétrer leurs actes.

Il est nécessaire d'apprendre aux collaborateurs à se méfier des demandes de virements imprévues en direction des pays situés vers l'Europe de l'Est lorsqu'elles présentent un prétendu caractère exceptionnel, urgent et ultra confidentiel. Cette méfiance doit être renforcée si la société n'as pas d'activité dans ce pays et si le montant est inhabituel

Enfin l'entreprise devrait encourager les acteurs ayant déjoué cette tentative.

3.4.1.3. Sécuriser les procédures de contrôle interne et les outils de virement

Le renforcement du contrôle interne est aussi une solution idéale pour limiter ces risques.Les dirigeants doivent améliorer l'efficacité de leurs outils et de leurs procédures de contrôles internes. Il est impératif que ces outils soient suffisamment sécurisées et contrôlées. Ils doivent limiter l'accès aux données qui sont sensibles et instaurer les procédures spécifiques pour des virements manuels et des virements en urgence.Un réfèrent compétent doit être désigné pour traiter ces procédures d'urgence. Il faut limiter au maximum le nombre de salariés qui ordonnent les paiements manuels ainsi que définir le montants autorisés pour la France et l'étranger et les plafonds périodiques d'opérations. Une personne compétente doit également être désignée pour cette fonction.

Une séparation des tâches est également nécessaire. En effet, il est important de dissocier le collaborateur qui saisit le virement de celui qui valide les ordres de virements. L'entreprise doit instaurer des signatures multiples ou une double autorisation pour des paiementsau-delà d'un certain montant à l'étranger.Les banques et les entreprises doivent coopérer pour améliorer la sécuritédes procédures de virement notamment par des contre appels téléphoniques pour confirmer oralement des virements au-delà d'un certain montant.

Tout ceci devra être formalisé dans une procédure et veiller à la bonne application de cette procédure

3.4.1.4. Sécuriser les échanges entre la banque et l'entreprise

Il est surtout nécessaire ici de limiter au maximum ou supprimer définitivement le virement papier car le risque de fraude reste trèsélevé. L'entreprise doit privilégier les canaux web sécurisés, automatisés et alerter rapidement sa banque en cas de doute.

3.4.1.5. Souscrire un contrat d'assurance

Plusieurs entreprises pensent que ces nouvelles formes de fraude n'arriveront jamais dans leur établissement. Selon l'enquête d'Euler Hermès, l'un des leaders en France des solutions d'assurance des entreprises, 60% des entreprises ne savent pas qu'il existe une solution d'assurance contre ce risque de fraude par ingénierie sociale.L'entreprise devrait souscrire à une assurance qui couvre le montant de pertes financières, la réputation de l'entreprise qui pourrait être entachée et les frais de justice qui pourront intervenir. Euler Hermes propose ce type de contrat.^48(*)L'assurance contre ce type de risque reste un pare feu indispensable tout comme la sensibilisation et la formation des collaborateurs.

3.4.2. Dispositif de détection

La gestion du risque de fraude ne peut reposer uniquement que sur la prévention, car ce dernier peut échouer en cas d'inadéquation ou d'inefficacité des contrôles de prévention. C'est la raison pour laquelle les organisations doivent élaborer des programmes pour lutter contre la fraude et notamment celui de la fraude aux faux ordres de virement internationaux. Ces programmes doivent être associés aux évolutions technologiques. On distingue également les signaux d'alerte pour détecter la fraude par ingénierie sociale comme démontrer dans les différents scenarii évoqués dans ce chapitre. Nous préconisons dans les paragraphes suivants les mesures à adopter.

3.4.2.1. KYC et lutte contre la fraude par ingénierie sociale

C'est sur ce principe que les entreprises victimes ont été remboursées par leurs banques des montants frauduleux virés aux escrocs. En effet, dans leur obligation de lutte contre les risques de blanchiment d'argent et du financement du terrorisme, les banques doivent avoir une connaissance actualisée de leurs clients, faire preuve de vigilance et faire un examen renforcé dans certain cas.Elles doivent se renseignerauprès du client sur l'origine des fonds, le motif économique, la destination de ces virements et les bénéficiaires effectifs. Ainsi, elles pourront détecter les tentatives de fraudes par ingénierie sociale et bloquer un virement d'un client à l'international si elle trouve l'opération complexe ou que le montant est inhabituellement élevé et sans cohérence avec le motif. Elles peuvent se baser sur les opérations antérieures réalisées par leurs clients et confirmer de vive voix par le dirigeant.

3.4.2.2. Outils de sécurisation des virements internationaux : logiciel, support de communication et biométrie

Pour détecter les fraudes aux faux ordres de virement internationaux, il est préférable d'associer les outils de détection aux évolutions technologiques. Nous préconisons que la banque ou l'entreprise se dote pour lutter efficacement contre ce type de fraude des outils de sécurisation des virements internationaux. Nous préconisons ainsi certain outil :

Premièrement, Un logiciel similaire à celui utilisé pour la lutte anti-blanchiment et financement du terrorisme notamment capable de :

· détecter les transactions effectuées pour la première fois vers un compte bénéficiaire situé à l'étranger notamment vers les pays de l'Est ou les pays exotiques ;

· bloquer sans délai toute opération ne respectant pas le paramétrage indiqué par le client (montant, fréquence, etc.) ;

· signaler directement au DG par support de communication (montre connectée« iWatch », Tablette, PC, etc.) pour valider ou rejeter directement les paiements à destination de l'étranger).

Deuxièmement, d'autres innovations technologiques peuvent aider à lutter contre ces nouvelles formes de fraudes : la biométrie, notammentavec la reconnaissance et l'authentification vocale biométrique.

Concernant la reconnaissance vocale biométrique, elle pourrait permettre de contrer l'utilisation des plateformes dedématérialisation permettant de changer le numéro de l'escroc et faire croire qu'il se trouve dans le pays ou sa banque se situe. Ainsi, elle pourrait permettre aux personnes « filtres » notamment les conseillers, standardistes ousecrétaires, de reconnaitre les escrocs qui utiliseraient les numérosdifférents ou les mêmes numéros que leurs clients. Cependant, cet outil pourrait se heurter aux exigences de la CNIL.

Enfin, l'authentification biométrique vocale pourraitextrêmement être sécuritaire car la voie humaine est unique à chaque personne. D'après les médecins, elle est modifiée par le larynx (vibration des cordes vocales, mâchoires, lèvres, les dents..) ainsi que les poumons (production de souffle d'air). En combinant tous ces facteurs biométriques, les algorithmes parviennent à reconnaitre avec précision la bonne personne. Elle permettrait de différencier parfaitement la véritable voix du président, d'un simple enregistrement (reconnaissance vocale).

3.4.2.3. Outils de sécurisations des installations informatiques

L'entreprise devrait se doter d'un outil qui vérifiera et filtrera les courriels. Ceci permettra d'éliminer certaines menaces. L'outil doit impérativement identifier visuellement les courriels externes, alerter sur les courriels qui utilisent les noms similaires à celui de la boite et bloquer automatiquement ces courriels dangereux.

L'entreprise doit avoir des logiciels de sécurité non seulement opérationnels mais aussi régulièrement mis à jour : antivirus, pare-feu et détecteur de malware. Il est important de rappeler aux collaborateurs de ne jamais cliquer sur un lien sans avoir lu le message et de toujoursvérifier les URL. Généralement, ces URLprésentent des fautes et aucun nom de la banque n'y est mentionné.

L'annexe 3^49(*) dévoile une méthode d'évaluation du risque de fraude par ingénierie sociale sous forme d'un questionnaire afin de déterminer le risque encouru par l'établissement.

3.4.3. Traitement et mise en place des actions correctrices

3.4.3.1. Traitement de la fraude par ingénierie sociale

La mise en place des outils de prévention et de détection ne garantit pas un risque zéro de fraude. Le traitement de la fraude par ingénierie sociale s'avère très délicat car le temps qui passe joue en faveur des escrocs. En effet, il faut maximum 4 jours pour perdre complètement la trace des fonds. Ainsi, la récupération des sommes frauduleuses virées dépend des actions engagées par trois acteurs majeurs : l'entreprise, la banque et la police.

En cas de fraude détectée, l'ordonnateur du virement (salarié) doit respecter strictement les procédures internes de l'entreprise.Il ne doit pas essayer de jouer les héros. Il doit impérativement alerterson supérieur hiérarchique, notamment le responsable du département, afin d'échanger leurs informations sans tarder. Les deux doivent identifier immédiatementl'ensemble des virements déjà exécuté, les demandes de paiement en instance ou à venir utilisant les coordonnées bancaires frauduleuses. Un technicien en informatique doit également intervenir afin de vérifier si un logiciel frauduleux n'a pas été installé.

Dans les minutes suivantes, le responsable doit contacter la banque pour lui signaler l'ordre frauduleux et lui demander d'une part de recourir à la procédure de coopération interbancaire qui permet à la banque de contacter son homologue à l'étranger afin d'exiger le blocage d'une partie des fonds frauduleux virés et un revirement des fonds transférés. D'autres parts, elle peut aussi demander à sa banque d'effectuer immédiatement une déclaration de soupçon auprès de TRACFIN qui dispose également de possibilités au planinternational, grâce à ses homologues européens, de bloquer une partie desfonds transférés.

Dans les 24 heures, le responsable du département doit informer le service compétent pour traiter les dossiers frauduleux s'il en existe en interne (Service fraude, Audit interne, Contrôle interne, etc.) ou recourir à un auditeur externe en urgence afin de garantir l'indépendance,la confidentialité des éléments qui seront recueillis et gérer cette situation d'urgence.L'auditeur en collaboration avec le responsable du département doiventfaire les premières investigations. Ces derniers doivent fixer rapidement par écritles premières déclarations des collaborateurs, retracer la chronologie des faits ayant permis cette fraude et le mode opératoire utilisé par les escrocs. Puis, ils doivent transmettre une copie du dossier constitué au département juridique qui va se chargerde déposer plainte à l'étranger auprès de la police locale. Ce processus est nécessaire pour demander un gel de fond notamment dans les pays de l'Europe de l'Est et d'Asie.

Dans les jours suivants, l'auditeur doit lancer une importante mission d'investigation dont l'objectif est, d'une part, de rassembler les indices, les preuves pour une éventuelle poursuite en cas de complicité interne ou disculper une personne dénoncée à tort, et d'autres parts, rechercher les failles dans le système qui a permis la fraude et mettre en place des plans d'action correctrices. Celaconsiste à cibler les anomalies dans les systèmes informatiques et à récupérer les preuves matérielles. Ainsi, il doit constituer un dossier avec les références des virements effectués et des suspects (coordonnées téléphoniques ou adresses email, pseudo ou noms utilisé ou usurpés, copie des courriels frauduleux, enregistrements des appels, etc.) ainsi que mener des entretiens afin d'obtenir des explications. Il doit ainsi intégrer dans l'enquête, la Direction des ressources humaines dans le cas où il y aurait un soupçon de complicité interne.

Enfin, Il doit ensuite envoyer ce dossier au département juridique pourqu'il puisse alerter le Service régional de police judiciaire (SRPJ) et déposer plainte auprès de ce service en apportant un maximum d'éléments. La SRPJvaaviser l'OCRGDF qui se chargera de contacter la police locale à l'étranger, faciliter la demande de gel de fonds par des intermédiaires comme Europol ou Interpolet identifier le titulaire du compte destinataire.

Une procédure de sanction disciplinaire doit être ouverte à l'encontre des collaborateurs qui n'auraient pas respecté les procédures internes ou des complices. Il est également important de communiquer en interne lorsquela présence d'une fraude intervient car les escrocs savent que très souvent, l'entreprise gardera cette information confidentielle et ceux-ci n'hésiteront pas à effectuer de nouvelles tentatives qui pourront aboutir à nouveau.

L'entreprise doit également contacter son assureur au cas où il est couvert contre le risque de pertes financières, le risque d'image,le risque de réputation etle coût des procédures judiciaires associées.Enfin,l'entreprise doit déterminer l'opportunité de mettre en cause la responsabilité de la banque face à son obligation de surveillance et de vigilance, ainsi que son absence de réaction face à plusieurs éléments qui auraient dû attirer son attention (destinations inhabituelles, montants exorbitants au regard de l'activité habituelle, ...).

Vu le contexte actuelle, il est préférable pour les banques de procéder plutôt à un arrangement à l'amiable avec leur clientafin de partager les pertes car il y'a de forte chance que ces banques ont été défaillantes dans leur dispositif de contrôle, de surveillance et de vigilance. Ainsi, la sanction des régulateurs pourrait être lourde.

3.4.3.2. Mise en place des actions correctrices

Cette étape permet d'enrichir la procédure de prévention tout en prenant compte du traitement de la fraude par ingénierie sociale. Elle consiste surtout à renforcer le dispositif de lutte contre la fraude par ingénierie sociale par la mise en place d'actions correctrices permettant d'assurer la pérennité du nouveau système de contrôle, de renforcer la supervision des opération et d'améliorer la sécurité des systèmes informatique. Ainsi, il faudra :

· renforcer l'implication des organisations chargées de la surveillance : Direction Générale, Contrôle interne et audit interne, etc.) ;

· améliorer les mesures de contrôle anti-fraude en se basant sur les cas relevés.

Conclusion

Au terme de ces développements, il ressort que la lutte contre la fraude par ingénierie sociale est un véritable enjeu pour les banques et leurs clients entreprises. Environ 3,1 milliards de dollars ont déjà été dérobés par ces escrocs. Toutes les entreprises sont attaquées : les banques, les cabinets d'audit, les sociétés du CAC 40, etc.Ces nouvelles formes de fraudes peuvent non seulement conduire à d'importantes pertes financières pour les banques et leurs clients entreprises, mais aussi au suicide de la part des victimeset à la fermeture de certaines entreprises. Face à ces nouvelles techniques de fraude de plus en plus sophistiquées, il faut impérativement un bon dosage entre les contrôles de préventionqui servent à éviter la fraude et les contrôles de détection qui garantissent une détection rapide des fraudes.

S'agissant des contrôles de prévention, la sensibilisation et la formation de tous les salariés et le renforcement des procédures internes d'exécution de virements, constituent de bons points de départ de la lutte. Pour être efficace, la sensibilisation des collaborateurs doit êtreconduite par la plus haute direction afin de signaler l'importance qu'accordela direction dans la lutte contre ce fléau. Cette formation doit intégrer les nouvelles techniques de fraudes, les signaux d'alerte à surveiller et les conséquences désastreuses de cette fraude.

Parfois, le coût de prévention de la fraude est supérieuraux effets attendus. Ainsi,il est nécessaire d'avoir en complément des outils de détection associés aux évolutions technologiques dans ce type de fraude. Par exemple, les logiciels qui détectent les premiers virements du client vers un nouveau compte à l'étranger et d'un montant inhabituellementélevé, la connaissance du client, les outils de reconnaissance et d'authentification biométrique vocale. Ces derniers permettent à l'entreprisede ne pas se tromper sur celui qui ordonne levirement. Il faut également des logiciels de sécurité opérationnels et à jour. L'entreprise doit également souscrireàune assurance risque de fraude.

Cependant, bien que la lutte contre cette fraude doiveêtreassociéeaux évolutionstechnologiques plusieurs éléments continuent à accentuer les risques de fraude par ingénierie socialeplutôt que de les limiter : les règlementationset les nouvelles technologies, lesobligations de publication et de transparence des entreprises, la CNIL et l'incompatibilité avec certains outils de détection contre la fraude notamment la reconnaissance vocale et la confusion du banquier entre « le principe de non-ingérence et le devoir de vigilance».^50(*) Il est important que les banques sachent que ce principe n'a jamais revêtu un caractère absolu. Ses limites résident dans le devoir de vigilance qui leur est imposé par le dispositif préventif de lutte contre le blanchiment et le financement du terrorisme car ils sont susceptibles de générer des risques pour les clients et les tiers. Ainsi, le banquier ne saurait se retrancher derrière ce principe pour justifier qu'il n'aurait pas accompli ou mal accompli les obligations émises par le législateur notamment ses obligations de vigilance, toutefois si l'opération présente des anomalies apparentes (surcharges ou ratures sur les documents)ou qu'elles imposent même une surveillance renforcée puisqu'elles paraissent illicites.^51(*)

Annexe 1. Infractions et sanctions

	Infractions	Articles	Prison et amendes
Code pénal	Escroquerie	313-6 à 6	5 ans et 375 000 €
	Abus de confiance	314-1 à 4	3 ans et 375 000 €
	Abus de faiblesse	2232-15-2	3 ans et 375 000 € d'amende ou 5 ans et 750 000 € d'amende
	Faux et usage de faux	441-1	3 ans et 45 000 €
	Corruption active ou passive	445-1	5 ans et 75 000 €
	Accès frauduleux	323-1	2 ans et 35 000 €
	Atteinte au système	323-2	5 ans et 300 000 €
	Atteintes frauduleuses aux données	323-3	5 ans et 300 000 €
Code du travail	Corruption de salarié	152-6	2 ans et 30 000 €
Code du commerce	Abus de biens sociaux	241-3 al 4	5 ans et 375 000 €
	Publication ou présentation des comptes annuels infidèles	241-3 et 242-6 2°
	Distribution des dividendes fictifs	232-12 et 241-3
Code monétaire et financier	Délit d'initié	245-1	2 ans et 1,5 M€ d'amende ou 10 fois le profit réalisé
Code monétaire et financier	Manipulation des cours	465-2	2 ans et 1,5 M€ d'amende ou 10 fois le profit réalisé
Code général des impôts	Fraude fiscale	1741	5 ans et 500 000 € et 2 M€ si fait commis en bande organisée

Source :l'auteur à partir du Code pénal, Code de commerce, Code du travail, COMOFI et CGI

Annexe 2. Exemple de tentative de Fraude au président par téléphone

- Excusez-moi de vous déranger Madame. Puis-je avoir s'il vous plait, le service comptabilité. C'est maitre Pasteur de la société KPMG (escroc)

- Enchanté mes respects du matin, je reviens vers vous concernant, Madame, le mail que mon assistante vous a fait partir fin de semaine dernière et sur lequel j'attendais un retour (escroc).

- KPMG, KPMG, Je n'ai pas de KPMG, pas de maitre Pasteur, je n'ai rien réceptionné du tout. (victime).

- C'est vrai ça peut être un petit problème informatique, je ne peux pas vérifier si vous l'aviez reçu, mon assistante n'est pas là. (escroc)

- Pour vous faire une petite confidence. Je fais partie de ces hommes qui, sans leur femme à côté, sont un petit peu perdu comme la plupart des hommes. (escroc)

- ce n'est pas tout à fait une confidence (victime) (rires : victime et escroc)

- Je vous contacte ainsi de la part du Président du Conseil d'Administration qui est actuellement en vacances.

- Vous devez envoyer un virement ultra-urgent et ultraconfidentiel pour finaliser l'acquisition d'une filiale en Pologne, qui permettra à l'entreprise en difficulté, de s'étendre à l'international.

- Je crois que l'opération va s'élever entre 800 000€ et 1 000 000€ pas plus

- Non, si vous voulez en aviser votre hiérarchie, je peux le faire moi-même. ce que je vous demande puisque c'est vous qui êtes en charge des paiements, c'est de n'en référer à personne. Je cherche une personne de confiance qui est entièrement avec moi et qui garde la discrétion avec moi. La confirmation vous l'aurez par le mail du Président ainsi que sa signature dans le bordereau.

- Par rapport à ça madame, est ce que vous avez la possibilité de me redonner votre nom et email, je vais le refaire partir directement ? Est-ce que vous avez un numéro de téléphone direct auquel je peux vous joindre ?(escroc)

- Oui ! mon mail est ..... et mon numéro de téléphone c'est le............ (victime)

- C'est bien vous qui est en charge du règlement dans la société hein ? (escroc).

Source :l'auteur à partir de la synthèse desécoutes téléphoniques provenant des vidéosmises en ligne par BFM Business et Francetv info et LCI sur les fraudes au sein des entreprises BRM mobilier, La Poste et Etna Industrie.

Annexe 3.Exemple de tentative de fraude au président par mail

Mon avocat conseil Maitre Dufour devrait vous contacter au sujet d'une OPA confidentielle que nous menons conjointement.

En effet, nous effectuons actuellement une opération financière confidentielle et urgente au sujet d'un rachat de société.

Cette OPA doit resterultra confidentielle, personne d'autres ne doit être au courant pour l'instant.

L'annonce publique de cette OPA aura lieu le 16 Septembre 2016 dans nos locaux avec la présence de toute l'administration.

Je vous ai donc choisi pour votre discrétion et votre travail jusqu'ici irréprochable au sein de notre groupe pour le traitement de cette opération.

Merci de prendre contact immédiatement avec notre cabinet juridique pour la remise des coordonnés bancaires afin d'effectuer le virement en date de valeur de ce jour.

Par mesure de sécurité concernant ce type d'opération nous dialoguons uniquement par mon mail personnel pour le moment, ceci afin d'éviter tout risque de divulgation et de respecter les normes de cette OPA comme imposée par l'AMF.

Merci de ne faire aucune allusion sur ce dossier de vive voix, ni même par téléphone uniquement sur mon mail personnel selon la procédure imposée par l'AMF (autorité des marchés financiers).

Annexe 4. Evaluation du risque de fraude par ingénierie sociale

Bibliographie

o Olivier Gallet.Haltes aux fraudes -Guide pour managers et auditeurs.3^eEd. Paris : Dunod, 2014, 320p.

o Mikael Ouaniche. La fraude en entreprise - Comment la prévenir, la détecter, la combattre. 5^eEd. Paris: Maxima, 2009, 408p.

o Fernandez E., Koessler L., et Siruguet J.Le contrôle interne bancaire et la fraude. 1^ereEd. Paris : Dunod, 2006, 278 p.

o Kranacher M., Riley R., et J., Wells J. Forensic Accounting and Fraud Examination.1^ereEd. New York : John Wiley & Sons, 2011, 542 p.

o IFACI. Manuel d'audit interne : améliorer l'efficacité de la gouvernance, du contrôle interne et des managements des risques. 1ère Ed. Paris : Eyrolles, 2015, Chap. 8, p.8.

o IFAC. International Standard on Auditing (ISA) 240 - The Auditor's Responsibilities Relating to Fraud in an Audit of Financial Statement. New York, 2009, p.159.

§ Règlement n° 97-02 du 21 février 1997 ; JORF n°0036 du 12 février 2010 page 2532 texte n° 35 (modifié par l'arrêté du 03 novembre 2014)

§ Arrêté du 21 juin 2011. JORF n°0178 du 3 août 2011 page 13249 texte n° 20 page 18598 ;

§ Arrêté du 3 novembre 2014relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement. JORF n°0256 du 5 novembre 2014 page 18598 texte n° 10.

§ Arrêté du 20 février 2007 relatif aux exigences de fonds propres applicables aux établissements de crédit et aux entreprises d'investissement.

§ Rapport du 4 février 2008 au Premier ministre, concernant les enseignements à tirer des événements récemment intervenus à la Société Générale, dit « Rapport Lagarde ».

§ Public Law 107-204, 107th Congress, du 30 juillet 2002 dite «Sarbanes-Oxley»

o « principe de non-ingérence », Cass. Com. 26 janvier 2010, n^o16 mars 2010, n^o091

o Chantal Cutajar,Lutte contre le blanchiment et « devoir d'ingérencedu banquier, commentaire, la semaine Juridique Entreprise et Affaires n° 18, 6 Mai 2010, 1434

o PWC.Global Economic Survey 2016 - La fraude explose en France, la cybercriminalité au coeur de toutes les préoccupations. [Document électronique].Mars 2016, p. 40.

o ACFE, Report to the nations on occupational fraud and abuse.[Documentélectronique]. Avril 2016, p. 92.

o Dorothée GOETZ (2016, 8janvier).Fraudes à l'ingénierie sociale et responsabilité de la banque. lepetitjuriste, sur le site lepetitjuriste. Consulté le 10mars 2016.

o TVS, Arnaque au président - BRM délestée de 1.6 millions d'euros,récit des faits, [vidéo en ligne]. YouTube, 09/09/2015 [consulté le 7 avril 2016]. 1 vidéo, 5min04s. https://www.youtube.com/watch?v=bw5gIn2UudQ

o Euler Hermes France, L'assurance fraude pour protéger son entreprise - assurance contre la fraude au président, présentation, [vidéo en ligne]. YouTube, 27/01/2015 [consulté le 15 avril 2016]. 1 vidéo, 2min20s. https://www.youtube.com/watch?v=nTq-M81zZsw

o BFMTV, Arnaque de l'Elysée : un modus operandi répondu présentation, [vidéo en ligne]. YouTube, 20/04/2011 [consulté le 20 Mars 2016]. 1 vidéo, 1min23s. https://www.youtube.com/watch?v=nTq-M81zZsw

o i24news FR, Interview du père des arnaques aux faux présidents, Part 1 et 2 - Gilbert Chikli, interview, [vidéo en ligne]. YouTube, 29/12/2015 [consulté le 12 avril 2016]. 1 vidéo, 16min. Part 1- https://www.youtube.com/watch?v=YRIa5SD_Pag

o Francetvinfo,Les dessous de l'arnaque dite "au président - Fraude au sein d'Etna Industries, récit des faits, [vidéo en ligne]. Francetv, 19/06/2015 [consulté le 4mai 2016]. 1 vidéo, 3min09s. https://www.youtube.com/watch?v=bw5gIn2UudQ

o Francetvinfo, Envoyé spécial" : L'habile scénario de ces escrocs qui se prétendent PDG - Fraude au sein d'une agence bancaire de Seine et Marnes, récit des faits, [vidéo en ligne]. Francetv17/06/2015 [consulté le 4 mai 2016]. 1 vidéo, 3min09s. https://www.youtube.com/watch?v=bw5gIn2UudQ

o Les cinémas Gaumont Pathé, Je compte sur vous - la fraude au président portée sur grand écran, Bande annonce, [vidéo en ligne]. Youtube, 10/11/2015 [consulté le 4 avril 2016]. 1 vidéo, 1min37s. https://www.youtube.com/watch?v=giWuDfxipWw&feature=youtu.be

o Pascal Elbé, Je compte sur vous avec Vincent Elbaz, Julie Gayet, Zabou Breitman Comédie dramatique /Thriller, France, 30 décembre 2015, 98min.

Liste des abréviations

Traitement du renseignement et action contre les circuits financiers clandestins.

Table de matières

* ³ Rapport du 4 février 2008 au Premier ministre, concernant les enseignements à tirer des événements récemment intervenus à la Société Générale, dit « Rapport Lagarde », disponible sur http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/084000062.pdf

* ⁶ Association of Certified Fraud Examiners (ACFE) est la première institution de professionnalisation et de formation en matière de lutte contre la fraude dans le monde.

* ¹⁰ « Principe de non-ingérence », Cass. Com. 26 janvier 2010, n^o16 mars 2010, n^o09-11.210

* ¹¹ Chantal Cutajar, Lutte contre le blanchiment et « devoir d'ingérence » du banquier, commentaire, la semaine Juridique Entreprise et Affaires n° 18, 6 Mai 2010, 1434

* ¹³ Conseiller honoraire à la Cour d'appel de Versailles et Officier de l'Ordre National du Mérite.

* ¹⁵ Comité de Bâle sur le contrôle bancaire, Convergence internationale de la mesure et des normes de fonds propres, Avril 2003, p.333. Disponible sur http://www.bis.org/publ/bcbs128fre.pdf

* ¹⁶ IFACI. Manuel d'audit interne : améliorer l'efficacité de la gouvernance, du contrôle interne et des managements des risques. 1^ère Ed. Paris : Eyrolles, 2015, Chap. 8, p.8.

* ¹⁸ IFAC.International Standard on Auditing (ISA) 240 - The Auditor's Responsibilities Relating to Fraud in an Audit of Financial Statements. New York, 2009, p.159.

* ²¹ Donald Cressey. Other People's Money: A Study in the Social Psychology of Embezzlement. New York : Free Press, 1953, 191 p

* ²²Picture designed by Matt Brooks, Public Domain, available on http://thenounproject.com/term/deep-web/62765/

* ²⁹ ACFE (Association of Certified Fraud Examiners) est la première institution de formation et de professionnalisation en matière de lutte anti-fraude dans le monde.

* ³⁰FEDPOL (Office fédéral de la police) est l'office compétent en matière de police en Suisse.

* ³¹ PWC (2016). Global Economic Survey 2016, la fraude explose en France, la cybercriminalité au coeur de toutes les préoccupations. 40p : http://www.pwc.fr/fr/assets/files/pdf/2016/03/pwc_ad_fraude_mars2016_v3.pdf

* ³² Euler Hermes et DFCG, Risque de fraude en France: conséquences et enjeux pour l'entreprise, Avril 2016. Disponible sur http://www.eulerhermes.fr/mediacenter/actualites/Pages/etude-fraude-2016.aspx

* ³⁵ TVA Nouvelles, La fraude du président fait de plus en plus de victimes au Québec, reportage [vidéo en ligne]. Canoe.ca, 18/08/2015, 1 vidéo, 1min47s. Disponible sur http://fr.canoe.ca/infos/videos/la-fraude-du-president-fait-de-plus-en-plus-de-victimes-au-quebec-reportage/4430372151001

* ⁴⁴ Francetvinfo, Envoyé spécial" : L'habile scénario de ces escrocs qui se prétendent PDG - Fraude au sein d'une agence bancaire de Seine et Marnes, récit des faits, [vidéo en ligne]. Francetv17/06/2015 [consulté le 4 mai 2016]. 1 vidéo, 3min09s. Disponible sur https://www.youtube.com/watch?v=bw5gIn2UudQ

* ⁴⁵ Voir Annexe 1 : exemple de tentative de Fraude au président par téléphone, p.44.

* ⁴⁶ Voir Annexe 2 : exemple de tentative de fraude au président par mail, p.46.

* ⁴⁸ Euler Hermes France, L'assurance fraude pour protéger son entreprise - assurance contre la fraude au président, présentation, [vidéo en ligne]. YouTube, 27/01/2015, 1 vidéo, 2min20s.

* ⁴⁹ Voir Annexe 3 : évaluation du risque de fraude par ingénierie sociale

* ⁵⁰ Chantal Cutajar, Lutte contre le blanchiment et « devoir d'ingérence » du banquier, commentaire, la semaine Juridique Entreprise et Affaires n° 18, 6 Mai 2010, 1434

La lutte contre la fraude par ingénierie sociale, enjeu majeur aujourd'hui pour les banques et leurs clients entreprises