«ESCROQUERIE PAR FAUX ORDRE DE VIREMENT INTERNATIONAL (F.O.V.I.)» La fraude «au président»

Transcription

1 «ESCROQUERIE PAR FAUX ORDRE DE VIREMENT INTERNATIONAL (F.O.V.I.)» La fraude «au président» PLAN 1) CÉOS et l'intelligence économique en trois mots 2) L'escroquerie par faux ordre de virement 3) Principe de la «fraude au président» 4) Mode opératoire de la «fraude au président» 5) Facteurs de risque 6) Autres fraudes 7) Recommandations générales 8) Offre CÉOS 9) Annexes : guide des 14 recommandations BOKEN Avocats associés, storytelling de fraudes, AIG Book sinistres, etc. 1

2 1) CÉOS et l'intelligence économique en trois mots INTELLIGENCE ÉCONOMIQUE OFFENSIVE «Si vous ne vous intéressez pas à vos concurrents, eux s intéressent à vous!» Veille concurrentielle, commerciale, technologique. Analyse des stratégies de développement des concurrents. Identification des avantages potentiellement déloyaux. INTELLIGENCE ÉCONOMIQUE DÉFENSIVE «Connaissez-vous vraiment toutes les menaces qui pèsent sur votre entreprise?» Veille institutionnelle. Prévention de la fraude en entreprise. Identification des menaces économiques et des forces disruptives potentielles. Lutte contre des nouveaux acteurs potentiels. INTELLIGENCE ÉCONOMIQUE ENVIRONNEMENTALE «Possédez-vous tous les outils pour maîtriser votre environnement?» Lobbying. E-réputation de l'entreprise et des cadres. 2

3 2) L'escroquerie par faux ordre de virement (F.O.V.I.) Le F.O.V.I. «classique» (-) Signature usurpée du dirigeant. Ordre par fax ou courrier à la banque. Montants faibles. Le F.O.V.I. «test SEPA» (-) Tests sur «e-remises. Le F.O.V.I. «au faux bailleur» (-) Le F.O.V.I. par «mail-phishing» (+) Par . Transaction entre l'entreprise et son fournisseur. La fraude «au président» (++) La plus redoutable. Au moins 500 millions d'euros détournés depuis 2010 (KPMG : 7,6 M / MICHELIN : 1,6 M / SERETRAM :17 M / PBM : 14 M / INTERMARCHE : 15 M / OM : 0,7 M, etc.). Toutes les entreprises sont concernées. 3

4 3) Principe de la «fraude au président» À l'origine de tous les virements supérieurs à 1 M L'escroc, au téléphone, se fait passer pour un haut responsable de l'entreprise Président, directeur-général, directeur financier, ou partenaire de l'entreprise (membre du conseil d'administration, auditeurs, avocat, etc.). Contact par téléphone, plusieurs tentatives (en particulier sur différentes filiales). Service comptabilité, service gestion de trésorerie, service paie, etc. Le faux président, en déplacement, présente une demande de virement pour une opération Exceptionnelle. Confidentielle. Extrêmement urgente. 4

5 4.a) Mode opératoire de la «fraude au président» : PHASE D'INGÉNIERIE Ingénierie sociale Étude de l'entreprise (infogreffe/presse économique: bilans, P.V. A.G, filiales, comptes, etc.). Étude des dirigeants (noms, fonctions, n téléphone, signatures, agenda, etc.). Étude des personnels (facebook, viadeo, linkedin, etc.). Ingénierie technique Utilisation cartes prépayées. Utilisation de plateformes de dématérialisation des numéros de téléphone et «mail to fax». Utilisation de hackers recrutés sur le dark web. Utilisation d'adresses mail similaires au nom de domaine. Utilisation de synthétiseurs vocaux. Ingénierie financière Société coquille vide au nom proche de celui de la cible. Compte bancaire. 5

6 4.b) Mode opératoire de la «fraude au président» : PHASE DE CONTACT ET DE PERSUASION Approche Au téléphone (vendredi fin d'après-midi, veille de week-end prolongé, etc.). Mise en confiance de l'interlocuteur (connaissance précise du fonctionnement/organigramme de l'entreprise, questions personnelles, etc.) Présente sa demande (termes techniques, intervention d'un tiers pour confirmation). Persuasion autoritaire Gravité de la situation (OPA, contrôle fiscal imminent, étude de consulting, etc.) Confidentialité de l'opération (entre vous et moi uniquement). Persuasion affective Enregistrement SRPJ. Accès de l'interlocuteur aux secrets du grand patron. Espoirs de valorisation et de promotion. 6

7 4.c) Mode opératoire de la «fraude au président» : PHASE DE RÉALISATION 1) L'escroc et l'interlocuteur échangent leurs numéros de téléphones portables personnels pour communiquer sur les modalités du virement. 2) L'interlocuteur reçoit par le RIB et les justificatifs de l'opération (fausse facture, fausse signature...etc.). 3) L'escroc reste en contact permanent avec son interlocuteur durant toute la phase préparatoire et le transfert final (harcèlement). 4) L'interlocuteur est invité à rappeler plus tard le grand patron pour un rendez-vous en tête à tête (pour félicitations, promotion, etc.). 7

8 5) Facteurs de risque Organisationnels : Informationnels : Nombreuses filiales. Décentralisation des virements Acquisitions fréquentes de nouvelles entités Rapide turnover des personnels Défaut de contrôle des informations accessibles Manque de formation et d'information des personnels Absence de veille «techniques de fraudes et sinistres» 8

9 6) Autres fraudes 9

10 Détournement d actifs : transfert illégal d un bien du patrimoine de l entreprise à celui d un salarié, d un tiers ou d une autre entreprise. Fraude comptable: manipulation intentionnelle des comptes dans le but d en donner une image plus flatteuse sans nécessairement procurer au fraudeur un gain financier personnel. Corruption : acte d offrir, donner, recevoir ou solliciter quelque chose de valeur pour influencer une décision ou obtenir un avantage généralement financier. Cybercriminalité: fraude commise en utilisant des systèmes informatiques connectés à un réseau et notamment Internet. Parmi les cas classiques de cybercriminalité, on peut citer le vol d informations personnelles telles que les coordonnées bancaires. Fraude aux achats : fraude consistant à biaiser le choix d un fournisseur dans le cadre, entre autres, d une procédure d appel d offres, ce qui, in fine, conduit généralement à une surfacturation des prestations rendues. Fraude RH : fraude impactant les cycles «ressources humaines» ou «paie» incluant par exemple la création d un salarié fictif, le paiement d heures non justifiées, l embauche d un proche ou d une personne n ayant pas les qualifications requises. 10

11 7) Recommandations générales (source : Me Raphaël Gauvain, avocat associé Cabinet BOKEN, voir documents en annexe) Des procédures sans failles... Recommandation 1 : respecter les règles essentielles du contrôle interne Un simple comptable ne doit pas pouvoir ordonner un virement. Limiter au maximum le nombre de personnes qui ordonnent les paiements manuels. Séparer les taches entre celui qui prépare le virement et celui qui l ordonne. Mettre en place une procédure de double signature au-delà d un certain montant Recommandation n 2 : renforcer l efficacité des procédures d urgence Désigner un référent compétent pour traiter des procédures d urgence. Obliger l exécutant, en cas d ordre de virement urgence, à mentionner sur l ordre, l heure et la date à laquelle il a obtenu l accord du référent. 11

12 Recommandation n 3 : conforter les relations avec les banques Contre-appel téléphonique de la banque pour confirmer oralement le virement supérieur à un certain montant (confirmation du montant et du destinataire auprès du signataire). Centraliser les relations bancaires en limitant le nombre d établissements bancaires de la société. En cas d acquisitions de nouvelles sociétés, procéder aux transferts des comptes bancaires. Recommandation n 4 : sécuriser les systèmes d information et de communication Sécuriser l accès à l intranet. Attention aux supports de communication internes et externes (site internet, blog, plaquette, journal). Limiter la communication d informations sur l organisation de la société, son organigramme et les plannings. Limiter la communication d informations individuelles (numéro de poste direct et fonction précise). Limiter la communication à propos d événements internes (galas, etc.). Recommandation n 5 : renouveler la réflexion sur l information légale Les obligations légales de publication obligent les entreprises à dévoiler un grand nombre de documents qui sont disponibles sur des sites comme infogreffe. Il ne faut publier que ce qui est rendu obligatoire par la loi (statuts à jour, procès-verbaux). Le problème de la signature : les actes déposés contiennent la signature du président ou des associés. 12

13 Recommandation n 6 : maîtriser l information donnée au marché Outre les obligations légales, l entreprise a une obligation de transparence. Il faut trouver un équilibre entre le souci de transparence et le risque de fraude (ne pas fournir d informations trop précises dans le document de référence). Il ne faut publier que ce qui est nécessaire à l investissement. pour des salariés faillibles... Recommandation n 7 : informer sur le mode opératoire des escrocs Cause incongrue (fonds mis à disposition d un agent secret ; ordres manifestement illicites comme ceux ayant pour objet d échapper à un contrôle fiscal ). Vers un compte inconnu ou qui ne correspond pas à la justification qui en est donnée. A destination d un pays dans lequel l entreprise n a aucune activité. Montant disproportionné au regard de la justification qui en est donnée. Ou le montant du virement est fractionné pour éviter un certain seuil (ex : euros). Recommandation n 9 : sensibiliser régulièrement les salariés Envoi régulier de mail/memo interne de la Direction (notamment un rappel systématique avant les périodes de vacances). Rappeler systématiquement le mode opératoire des escrocs, les caractéristiques des paiements suspects et les procédures internes en matière de virement. Message personnalisé d un membre de la Direction rappelant que jamais il n ordonnera directement un ordre de paiement en urgence au mépris des procédures de contrôle internes. 13

14 Recommandation n 10 : accompagner les salariés face au risque de fraude Désigner un référent qu il faudra avertir en cas de soupçon de fraude (par exemple : directeur juridique/compliance). Envoi régulier de mails / mémos rappelant l existence du référent : Lors d un appel à caractère urgent émanant d un interlocuteur qui utilise la menace, l intimidation ou le chantage pour ordonner un paiement, et/ou en se faisant passer pour un membre de la Direction, interrompez la communication et informez le référent sans attendre. Recommandation n 11 : responsabiliser les salariés Les fraudeurs se font parfois passer pour des auditeurs ou des CAC pour obtenir des informations. Réduire le nombre de personnes habilitées à transmettre des informations à des contractants extérieurs. Attention aux réseaux sociaux (Facebook, LinkedIn, etc.). Diffuser une charte rappelant aux salariés le bon usage des moyens modernes de communication (pas d information sur l entreprise, profils privatisés ). Contractualiser l obligation renforcée de confidentialité. Prévenir les salariés que tout manquement aux règles de procédure interne sera sera constitutif de licenciement (faute grave les privant de préavis et d indemnité de licenciement). Recommandation n 12 : organiser un «stress test» Simuler une tentative d escroquerie. Peut être réalisé en interne ou en faisant appel à une société spécialisée en «sécurité économique». Permet un retour d expérience : la meilleure des sensibilisations, et permet de déceler les points faibles de chaque entreprise et de pouvoir y remédier. 14

15 Recommandation n 13 : alerter immédiatement les organismes bancaires Prévenir immédiatement la banque émettrice que l ordre est frauduleux. Le virement est en principe instantané et irrévocable dès lors que les fonds ont été mis à disposition du bénéficiaire. Des pratiques exceptionnelles permettent d intervenir a posteriori. Recommandation n 14 : alerter immédiatement les autorités judiciaires Alerter immédiatement le SRPJ qui en avisera l Office central pour la répression de la grande délinquance financière. Pour faciliter l action de la police dans le recherche des escrocs, il est important d enregistrer tous les mouvements (origine de l ordre, informations sur les appels entrants, etc.). Alerter également les autorités du pays destinataire pour pouvoir bloquer les fonds entre les mains de la banque. 15

16 8) Offre CEOS Les consultants de CEOS développent une offre pour aider les entreprises à prévenir les fraudes. Après définition du périmètre à sécuriser et du type de fraude à expertiser, il est possible de mettre en place : Programme de travail pour audit «exposition aux fraudes»et des scénarios de stress test Formation des personnels pouvant être prise en charge par votre Opca évaluation des connaissances et du respect des règles. rappel des bonnes pratiques et sensibilisation à la responsabilité pénale en cas de non-respect. connaissance des modes opératoires des escrocs, détection des demandes suspectes, réaction. maîtriser la diffusion des informations et se prémunir contre l'élicitation. Veille «techniques de fraudes et sinistres» 16

17 Olivier BELLET (0)

18 VEILLE «FRAUDES» Fiche Produit CEOS - 25, rue de Ponthieu Paris FRANCE.

19 VEILLE «FRAUDES» Fiche Produit Préambule L'augmentation des actes de fraude en entreprise ainsi que la diversité des techniques et moyens employés par les fraudeurs conduisent les dirigeants à se tenir informés en temps réel sur ces sujets. La veille «Fraudes» vise à fournir de l'information le plus précocement possible pour anticiper les menaces et protéger les actifs des entreprises. Fraudes couvertes par la veille Détournement d'actifs, cybercriminalité, fraude comptable, fraude aux achats, fraude aux ressources humaines, fraude au faux ordre de virement et d'une façon plus générale, tous les actes malhonnêtes qui pourraient porter préjudice aux actifs et à l'activité du client. Axes de surveillance Fraude, techniques de fraude, actualité de la fraude en France et à l'étranger. Moyens et outils mis en œuvre par les fraudeurs. Méthodes et outils de prévention et de détection de la fraude. Diligences particulières demandées par le client. Livrables TRIMESTRIELLEMENT : Synthèses thématiques et notes de recommandations rédigées sous un angle opérationnel. MENSUELLEMENT : Un rapport d'activité. A TOUT MOMENT : Toute information brute jugée potentiellement critique, sous forme d'une alerte. Identification des sources d'information Toutes les sources licites, formelles et informelles, d'information blanche et grise, en langue Française et Anglaise. D'une façon non exhaustive, la veille collecte les informations disponibles sur l'internet et le «web profond» ainsi que dans des bases de données et auprès de centres de documentation, par un contact régulier avec des experts et des acteurs du domaine, dans des ouvrages, publications périodiques, rapports d'études et enquêtes, auprès d'organismes officiels (S.R.P.J., Europol, Interpol, etc.). Destinataires Direction générale, direction financière, direction gestion des risques, direction audit et contrôle interne, etc. Norme Prestation de veille conforme aux exigences de la norme XP X publiée par l'afnor. Contact Olivier Bellet, consultant associé, Mél.:olivier.bellet@ceos.fr Tél.: +33 (0)

20 INVESTIGATIONS ET PRÉVENTION FORMATION 2016

21 1 Objectifs A l issue de la formation, le stagiaire sera capable: de mener les investigations nécessaires à la détection des fraudes. d avoir une connaissance globale des mécanismes des fraudes. de mettre en place des systèmes de prévention et de dissuasion des fraudes. 2 Public et pré-requis Public concerné : les cadres dirigeants, directeurs financiers, directeurs de l'audit, risk managers, etc. Pré-requis : connaissances de base en informatique. 3 Contenu et durée MODULE A : LES INVESTIGATIONS ; durée 4 heures. l'interview : théorie, application, détection des mensonges et des dissimulations. analyse de données, outils de reporting. planifier et réaliser une enquête fraudes. récits d'expériences, étude de cas. MODULE B : LES TRANSACTIONS FRAUDULEUSES ; 4 heures les fraudes internes. les fraudes externes et internationales. actualité de la fraude, nouvelles fraudes. récits d'expériences, étude de cas. MODULE C : LA PREVENTION ET LA DISSUASION ; 4 heures comprendre les comportements criminels. évaluation du risque de fraude, mettre en place un plan d'urgence en cas de fraude. Prévenir les fraudes, réaliser des stress-tests.

22 4 Moyens pédagogiques, techniques et d encadrement éléments matériels de la formation : séances de formation en salle avec exposés théoriques et échanges entre les participants, dossiers techniques remis aux stagiaires, études de cas, paper-board. compétences professionnelles du formateur : la formation sera assurée par Mr Olivier Bellet, docteur ès sciences, consultant en Intelligence Économique pour l'institut CEOS, ancien chargé de cours à l École de défense N.B.C.. 5 Suivi et évaluation A l'issue de la formation : évaluation des connaissances et des techniques acquises : questionnaire en ligne, sécurisé, anonyme et confidentiel. Mise en situation. document de synthèse et propositions (anonyme et confidentiel) remis au donneur d'ordre.

23 25, rue de Ponthieu Paris - FRANCE. Tél.: +33 (0) info@ceos.fr Contact : Olivier Bellet, olivier.bellet@ceos.fr, portable : +33 (0)