Attention, la fraude au Président est de retour !

4 Questions à Jean-Louis Di Giovanni

Associé Forensic Services, PwC France

La fraude au président et ses nombreuses variantes ont connu une recrudescence en 2018 et au début de l’année 2019 alors qu’on pensait ce fléau bien endigué en France. Attention, ne croyez pas que cette typologie de fraude ne concerne que les grandes entreprises, bien au contraire, toutes les entreprises sont concernées y compris les collectivités locales.

En quoi consiste la fraude au Président et qu’a-t-elle coûtée aux entreprises françaises ?

Dans un cas classique de fraude au Président, le fraudeur se présente comme un des dirigeants de la société et sollicite le service comptable afin qu’un virement soit effectué en urgence sur un compte bancaire, généralement domicilié à l’étranger, en vue de la réalisation d’une opération d’acquisition urgente et confidentielle. 

Ce type de délinquance astucieuse peut revêtir différentes formes : le fraudeur peut aussi se présenter comme l’avocat de l’entreprise, contacter la cible par téléphone et/ou mails et mettre en place tout un système de communication reposant sur l’utilisation de fausses adresses de messagerie présentant de grandes similitudes avec les adresses concernées.

En termes de coût, l’Office central pour la répression de la grande délinquance financière évaluait le coût minimum de la fraude au Président à 640 millions d’euros sur ces sept dernières années. Sachant que toutes les entreprises ne portent pas plainte, ce chiffre est certainement sous-évalué.

Quelles sont les premières mesures à prendre lorsque l’on découvre que l’on a été victime d’une telle fraude ?

Dès que l’entreprise se rend compte qu’elle a été victime d’une fraude au Président, elle doit immédiatement contacter sa banque afin de bloquer le dernier virement effectué. Pour cela, l’entreprise dispose d’un délai compris entre 24 et 48 heures au grand maximum.

Par ailleurs, l’entreprise doit immédiatement demander aux personnes concernées de rédiger une note décrivant les faits tels qu’ils se sont déroulés tout en y joignant tous les documents sous-tendant le déroulement de la fraude et plus particulièrement toutes les communications écrites avec le fraudeur afin de faciliter l’investigation et le travail des enquêteurs. Il faut savoir que les escrocs vont même jusqu’à demander la destruction de tous les échanges intervenus durant la fraude pour conserver toute la confidentialité attachée à cette opération !

L’entreprise doit ensuite au plus vite déposer une plainte auprès du service de police ou de gendarmerie compétent mais également dans toutes les juridictions potentiellement concernées par cette fraude. Cela s'applique y compris à l'étranger, notamment dans le pays d’arrivée ou de transit des fonds mais également lorsque, par exemple, c’est la filiale d’un groupe qui en a été la victime. En effet, le fait de déposer plainte, notamment dans le pays d'arrivée ou de transit des fonds, peut obliger la banque concernée à, a minima, geler les sommes transférées. 

Comment sensibiliser les salariés de l’entreprise à ce risque ?

La sensibilisation des salariés est fondamentale et commence, au regard des circonstances, par réactiver leur vigilance en leur faisant part de cette recrudescence récente des fraudes au Président et éviter de penser que « cela n'arrive qu'aux autres ». Cette sensibilisation doit concerner toutes les entités du groupe y compris celles situées à l’étranger.

A cette occasion, il est essentiel d’organiser des formations auprès de tous les salariés sensibles (toutes les personnes habilitées à opérer directement ou indirectement un virement) sur les modes opératoires utilisés par les fraudeurs, leurs variantes et leurs caractéristiques : une demande pressante, insistante voire parfois menaçante accompagnée de propos élogieux (vous êtes une « personne de confiance », « je compte sur vous »), dans le cadre de la réalisation d’une opération confidentielle où des virements doivent être opérés vers un pays étranger (dans lequel l’entreprise n’a souvent aucune activité), et ce, pour des montants élevés sans rapport avec les virements généralement émis par la société.

Il faut rappeler aux salariés que leur bon sens est la meilleure protection contre ce type de fraude. Ils doivent notamment prêter la plus grande attention aux adresses de messagerie utilisées (qui diffèrent à peine des vraies adresses des interlocuteurs concernés), vérifier l'identité de la personne sensée les contacter en cas de doute (en entrant directement en contact avec cette personne par mail ou par téléphone), conserver un regard critique sur les justificatifs transmis à l’appui des paiements (où figurent de multiples incohérences) et ne pas hésiter à en discuter avec un supérieur hiérarchique, même si l’interlocuteur insiste sur la confidentialité de l’opération.

Il est fondamental de maintenir dans le temps cette vigilance et d’être particulièrement sur ses gardes les veilles d’un long week-end ou pendant les périodes de vacances propices à ce type de fraude. Il est également conseillé de demander aux salariés d’être très prudents lorsqu’ils utilisent les réseaux sociaux : il est indispensable de paramétrer son profil en « privé » et de ne pas publier d’informations susceptibles d’être utilisées par les fraudeurs pour commettre leur méfait.

Enfin, les dirigeants sont incités à s'engager, dans leurs communications périodiques auprès des employés, sur le fait de ne jamais demander à un employé de passer outre les procédures de l'entreprise au prétexte d’une opération confidentielle.

Quelles sont les règles de base, en termes de contrôle interne, que doit appliquer une entreprise afin de se prémunir ?

Au-delà des aspects relatifs à la sensibilisation, quelques règles de contrôle interne de base sont à respecter : circuits de validation spécifiques pour les paiements manuels, séparation des tâches entre l'initiateur et l'approbateur des paiements, renforcement des étapes de validation pour les paiements au-dessus d’un certain montant et pour les paiements internationaux (double signature, envoi automatique d’une notification à un responsable).

Pour sécuriser les demandes de virement manuel d’un montant élevé, l’entreprise doit contacter sa banque afin de prévoir la mise en œuvre d’une procédure dite de « contre-appel » systématique auprès d’un responsable désigné distinct d’un de ceux susceptibles d’être à l’origine d’un virement bancaire.

Contactez-nous

Jean-Louis Di Giovanni

Associé Forensic Services, PwC France

Tel : +33 1 56 57 12 57

Suivez-nous !