Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


L'escroquerie au président : ce qu'elle nous révèle


Ce type de fraude a connu une recrudescence récemment et se chiffre aisément en millions d’Euro.
Son relatif « succès » nous en dit long sur l’ambiance en entreprise.
On peut en tirer quelques enseignements.



copyright Duquesne Group
copyright Duquesne Group

Qu'est-ce que c'est ?

Le principe est simple : un fraudeur arrive à convaincre quelqu'un en entreprise de faire un virement en sa faveur.

Le fraudeur passe un coup de téléphone en se faisant passer pour un Directeur Général ou le Président de la Société. Il cible une assistante comptable dévouée qui ne peut rien « refuser au Directeur ». Elle se mettra en quatre pour faire ce que le « Directeur » demande.

Or, dans ces fraudes, la demande est assez exorbitante : effectuer un virement vers un compte en banque (au bénéfice inavoué du fraudeur évidemment). Le côté exorbitant de la chose –ou anormal- est d’ailleurs mis en avant par le fraudeur. Il insiste sur le fait que c’est urgent, sensible et qu’il doit donc bipasser les procédures en place. Des marchés en négociation sont en jeu ; il faut rester discret… « je compte sur vous … ».

Remarque : pour que cela marche, il faut que le DG imité soit absent de la société ce jour-là, sinon il est facile d’aller lui demander et de vérifier (quoique…). Le fraudeur s’est certainement assuré auparavant que le DG imité était en voyage d’affaire par exemple. Selon les sociétés, c’est une information plus ou moins facile à obtenir. On ne le répétera jamais assez : il faut rester discret sur les agendas des uns et des autres. « Monsieur Dupont est absent toute la semaine : il est en voyage au Qatar » : voilà une phrase qui vaut de l’or pour le fraudeur. Il suffit de passer deux heures dans le hall d’accueil pour l’entendre. Moralité : ne jamais en dire plus que nécessaire et faire évacuer les halls d’accueil de ceux qui n’ont rien à y faire !


Qu'est-ce qui cloche ?

En prenant la casquette de Responsable sécurité (RSSI), on peut constater les anomalies suivantes :

  • L’inexistence ou le non-respect de procédures : soit il n’y a pas de procédures pour les virements, soit il y en a et elles ne sont pas respectées. Dans les deux cas c’est une anomalie grave.

  • L’acceptation trop rapide des procédés d’exception. Le fraudeur joue sur le fait qu’il y a exception et confidentialité simulée. Il faut faire passer le message auprès des employés : l’exception doit suivre des règles ! C’est un problème de sensibilisation à faire et refaire.

  • L’isolement du pauvre salarié « complice malgré lui » du virement frauduleux. Il est probable que l’assistante n’en a pas dormi de la nuit, suite à ce virement effectué en mode anormal … il faut un guichet d’entrée en cas de suspicion ou de simple doute de se faire avoir. Et faire comprendre que ce guichet est ouvert même en cas d'urgence ou de mode exceptionnel soi-disant nécessaire.

Moralité

Récapitulons les bonnes pratiques qui nous aideraient :

  • La sécurité est de manière importante une affaire de sensibilisation de tous.

  • Pour les activités à risque il doit y avoir des procédures. Toute tentative de les bipasser doit apparaître comme suspecte et exiger vérification.

  • Pour les transactions sécurisées il doit y avoir des outils protégés et des utilisateurs privilégiés connus et en nombre limité.

  • Si l’on ignore les procédures ou simplement en cas de doute, avant ou après exécution, on doit pouvoir se tourner vers un correspondant sécurité de confiance.

  • Tout ceci doit être communiqué, vérifié et testé.

Enfin, une remarque de fond : la sécurité s'appuie sur la logique générale qu'il y a des règles pour tous qui s'appliquent à tous. S'il s'insinue dans les esprits que la Direction est au-dessus des règles, la construction s'écroule ... l'éthique au sommet est importante.

Remarques :
  • Aucun outil ne viendra à notre secours, les tenants de la logique : « un problème = un outil » en seront pour leurs frais !
  • Dans ce paragraphe, je n’ai fait que lister des bonnes pratiques de la norme ISO 27002 qui est décidément de bon conseil !
Emmanuel Besluau
Vendredi 6 Mars 2015

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Articles du même auteur :

Halte aux PCA bidons ! - 19/01/2014

1 2