3.4.3. Traitement
et mise en place des actions correctrices
3.4.3.1. Traitement de la fraude par ingénierie
sociale
La mise en place des outils de prévention et de
détection ne garantit pas un risque zéro de fraude. Le
traitement de la fraude par ingénierie sociale s'avère
très délicat car le temps qui passe joue en faveur des escrocs.
En effet, il faut maximum 4 jours pour perdre complètement la trace des
fonds. Ainsi, la récupération des sommes frauduleuses
virées dépend des actions engagées par trois acteurs
majeurs : l'entreprise, la banque et la police.
En cas de fraude détectée, l'ordonnateur du
virement (salarié) doit respecter strictement les procédures
internes de l'entreprise.Il ne doit pas essayer de jouer les héros. Il
doit impérativement alerterson supérieur hiérarchique,
notamment le responsable du département, afin d'échanger leurs
informations sans tarder. Les deux doivent identifier
immédiatementl'ensemble des virements déjà
exécuté, les demandes de paiement en instance ou à venir
utilisant les coordonnées bancaires frauduleuses. Un technicien en
informatique doit également intervenir afin de vérifier si un
logiciel frauduleux n'a pas été installé.
Dans les minutes suivantes, le responsable doit contacter la
banque pour lui signaler l'ordre frauduleux et lui demander d'une part de
recourir à la procédure de coopération interbancaire qui
permet à la banque de contacter son homologue à l'étranger
afin d'exiger le blocage d'une partie des fonds frauduleux virés et un
revirement des fonds transférés. D'autres parts, elle peut aussi
demander à sa banque d'effectuer immédiatement une
déclaration de soupçon auprès de TRACFIN qui dispose
également de possibilités au planinternational, grâce
à ses homologues européens, de bloquer une partie desfonds
transférés.
Dans les 24 heures, le responsable du département doit
informer le service compétent pour traiter les dossiers frauduleux s'il
en existe en interne (Service fraude, Audit interne, Contrôle interne,
etc.) ou recourir à un auditeur externe en urgence afin de garantir
l'indépendance,la confidentialité des éléments qui
seront recueillis et gérer cette situation d'urgence.L'auditeur en
collaboration avec le responsable du département doiventfaire les
premières investigations. Ces derniers doivent fixer rapidement par
écritles premières déclarations des collaborateurs,
retracer la chronologie des faits ayant permis cette fraude et le mode
opératoire utilisé par les escrocs. Puis, ils doivent transmettre
une copie du dossier constitué au département juridique qui va se
chargerde déposer plainte à l'étranger auprès de la
police locale. Ce processus est nécessaire pour demander un gel de fond
notamment dans les pays de l'Europe de l'Est et d'Asie.
Dans les jours suivants, l'auditeur doit lancer une importante
mission d'investigation dont l'objectif est, d'une part, de rassembler les
indices, les preuves pour une éventuelle poursuite en cas de
complicité interne ou disculper une personne dénoncée
à tort, et d'autres parts, rechercher les failles dans le système
qui a permis la fraude et mettre en place des plans d'action correctrices.
Celaconsiste à cibler les anomalies dans les systèmes
informatiques et à récupérer les preuves
matérielles. Ainsi, il doit constituer un dossier avec les
références des virements effectués et des suspects
(coordonnées téléphoniques ou adresses email, pseudo ou
noms utilisé ou usurpés, copie des courriels frauduleux,
enregistrements des appels, etc.) ainsi que mener des entretiens afin d'obtenir
des explications. Il doit ainsi intégrer dans l'enquête, la
Direction des ressources humaines dans le cas où il y aurait un
soupçon de complicité interne.
Enfin, Il doit ensuite envoyer ce dossier au
département juridique pourqu'il puisse alerter le Service
régional de police judiciaire (SRPJ) et déposer plainte
auprès de ce service en apportant un maximum d'éléments.
La SRPJvaaviser l'OCRGDF qui se chargera de contacter la police locale à
l'étranger, faciliter la demande de gel de fonds par des
intermédiaires comme Europol ou Interpolet identifier le titulaire du
compte destinataire.
Une procédure de sanction disciplinaire doit être
ouverte à l'encontre des collaborateurs qui n'auraient pas
respecté les procédures internes ou des complices. Il est
également important de communiquer en interne lorsquela présence
d'une fraude intervient car les escrocs savent que très souvent,
l'entreprise gardera cette information confidentielle et ceux-ci
n'hésiteront pas à effectuer de nouvelles tentatives qui pourront
aboutir à nouveau.
L'entreprise doit également contacter son assureur au
cas où il est couvert contre le risque de pertes financières, le
risque d'image,le risque de réputation etle coût des
procédures judiciaires associées.Enfin,l'entreprise doit
déterminer l'opportunité de mettre en cause la
responsabilité de la banque face à son obligation de surveillance
et de vigilance, ainsi que son absence de réaction face à
plusieurs éléments qui auraient dû attirer son attention
(destinations inhabituelles, montants exorbitants au regard de
l'activité habituelle, ...).
Vu le contexte actuelle, il est préférable pour
les banques de procéder plutôt à un arrangement à
l'amiable avec leur clientafin de partager les pertes car il y'a de forte
chance que ces banques ont été défaillantes dans leur
dispositif de contrôle, de surveillance et de vigilance. Ainsi, la
sanction des régulateurs pourrait être lourde.
Figure 8 : traitement de la fraude par
ingénierie sociale
Source : l'auteur
| 
