EH&A a rencontré le FBI : CEO fraud et organisations mafieuses

EH&A a rencontré le FBI : CEO fraud et organisations mafieuses

EH&A a eu l’occasion de rencontrer et d’échanger avec des agents du FBI et notamment du Private Engagement Program, de la High Tech Organized Unit et avec un spécialiste du crime organisé.

1. Quelques éléments de contexte : le poids de la criminalité organisée dans l’économie mondiale

Le poids économique de la fraude, converti en PIB, équivaudrait en 2017 à celui d’un pays du G8. Cette comparaison illustre toute la puissance et l’ampleur de ce système. Les groupes criminels sont de plus en plus organisés et de fait extrêmement difficiles à localiser et retrouver.

Les chiffres de 2016 sont éloquents : au moins 8 entreprises sur 10 ont été, au moins une fois victimes de tentative de fraude en 2017 et 30% des entreprises interrogées par la DFCG et Euler Hermes, ont révélées avoir été victimes d’au moins une fraude avérée en 2017.

 

2. Le modus operandi des organisations criminelles

 

Comment fonctionnent les organisations criminelles ?

Les organisations criminelles se perçoivent (et sont organisées) comme votre entreprise, à ceci près que leurs clients sont des victimes !

Les entreprises visées en priorité sont bien entendues celles ayant une bonne santé économique, les rapports émis par les organisations économiques internationales et les rapports d’activité les aident à faire leur choix. Les attaques sont souvent massives et très organisées, comme l’explique Sébastien Hager, expert fraude chez Euler Hermes France : « les fraudeurs disposent de technologie qu’ils maitrisent parfaitement, ils se concentrent sur des entreprises identifiées dont ils connaissent les failles avec un mode opératoire bien défini et plus adapté ».

 

Typologie de la fraude 

Le schéma ci-dessous présente les types « classiques » de fraude et leurs occurrences.

Source : https://www.silicon.fr/cybercrime-fraude-entreprise-france-pwc-141003.html/

La cybercriminalité : Son augmentation pose le problème de la protection des données parfois sensibles et plus largement menace la viabilité des entreprises. Cette criminalité s’appuie sur la dépendance croissante des entreprises aux technologies numériques.

Exploiter l’humain : Le maillon faible de l’entreprise est l’humain. L’inattention et l’habitude du quotidien sont autant d’éléments sur lesquels s’appuient les fraudeurs. Ces organisations créent souvent de faux noms de domaine, où il n’y a qu’une lettre mal placée. Le cerveau ne lisant pas toutes les lettres, ces « changements » passent inaperçus. La fraude au Président compte, elle aussi, sur les failles humaines. Les fraudeurs, créent une certaine confiance de la relation ou exercent une pression majeure sur l’employé pour faciliter la manipulation et le pousser à faire des transactions financières secrètes sous couvert du Président.

Recours au complice : Dans 62% des cas, il permet à la Justice de caractériser l’affaire en « crime organisé » et ainsi lui permet de déployer plus de moyens. Les entreprises ont tout intérêt à qualifier la fraude de « crime organisé » lors de la plainte, car c’est une circonstance aggravante.

La fraude interne à l’entreprise : Bien évidemment, les fraudeurs ne constituent pas un groupe homogène, mais les enquêtes et l’expérience présentent le portrait-robot suivant : 80% sont des hommes, souvent à des postes de dirigeants ou managers, la moyenne d’âge est de 36-55 ans.

 

3. Impacts et enjeux

Les conséquences de la fraude peuvent être extrêmement dommageables. En effet, dans 10% des cas, le préjudice est supérieur à 100 000 euros et dans 13% des cas, le montant est supérieur à 1 million d’euros. Les pertes financières sont aisément quantifiables mais les pertes liées à l’atteinte à l’image, et le coût social (traumatisme des salariés et dirigeants par les perquisitions, l’arrivée des médias…) le sont beaucoup moins et peuvent avoir des conséquences bien plus néfastes que la fraude en elle-même.

Ainsi, les menaces sont critiques quelle que soit la taille de l’entreprise :

  • Risque financier : la perte de centaines de milliers voire de millions d’euros peuvent causer un dommage conséquent à votre entreprise ;
  • Risque sur les données : l’intrusion via de faux mails de malwares peut mettre en danger vos infrastructures informatiques et la protection de vos données sensibles ;
  • Risque social interne à l’entreprise : le choc causé aux membres de la société victime de l’organisation criminelle, ou par la mise en danger de l’entreprise n’est pas à négliger ;
  • Risque d’interruption de l’activité, des opérations : lorsqu’une entreprise est touchée par la fraude, plusieurs temps antithétiques s’entrechoquent : le temps policier, judiciaire et celui de l’entreprise. Les saisies faites par les policiers peuvent avoir un impact financier et social important pour l’entreprise. En effet, s’il n’y a pas de restitutions rapides, l’entreprise a de grandes chances de faire faillite ou d’être en liquidation ;
  • Risque de réputation pour l’entreprise : si nous reprenons l’exemple de la fraude au Président subie par KPMG, la réputation de l’entreprise a été largement ternie. On l’a accusé d’avoir des contrôles trop faibles et d’être, quelque part, autant responsable que les fraudeurs qui la ciblaient

 

4. Les actions préventives à mettre en place

Les enjeux colossaux que représente la fraude, poussent les entreprises à se prémunir contre ces risques : 75% des dirigeants se disent conscients des risques et essaient de les anticiper. Toutefois, la moitié d’entre eux n’a pas encore mis en place ni procédures, ni plans d’action pour parer à ces situations[1].

Pourtant, les entreprises peuvent être tenues responsables pour ne pas avoir mis en place ces actions préventives.

Les outils de la prévention et les moyens de détection

La fraude est difficilement détectable avant son exposition. Toutefois, les entreprises peuvent améliorer leurs process de détection :

  • Dans la majorité des cas, c’est l’environnement de contrôle (44%) qui permet de l’identifier ;
  • Vient ensuite la culture de l’entreprise (32%), les employés détectent quelque chose qui ne semble pas correspondre aux habitudes ;
  • Dans 11% des cas, la fraude est découverte par accident.

L’exposition des entreprises au risque de fraude s’accroit face au développement des organisations criminelles[2]. Ainsi pour prévenir la fraude, il est important de sensibiliser et former le personnel, d’instituer des procédures de vérification, des doubles contrôles dispositif d’alerte, code de conduite, cartographie des risques… Les exemples ci-dessous, donnent une idée des mesures à mettre en place :

Les réflexes-alertes :

  • Commandes et factures atypiques ;
  • Courriel mal rédigé ;
  • Demande de données confidentielles ;
  • Nouvelle domiciliation d’un client, bailleur, fournisseur ;
  • Sensibiliser le personnel aux risques pénaux, disciplinaires et financiers liés à la fraude ;
  • Diffusion des règles de bonnes conduites ;
  • Mise en place de procédures internes ;
  • Le contenu du site web est extrêmement important car source d’informations essentielles pour les fraudeurs (organigramme, adresses mails…) ;
  • Souscrire à une assurance adaptée.

Les entreprises doivent pouvoir démontrer l’existence de ce type de code de conduite pendant le procès. Cette « preuve » peut avoir un impact sur la désignation de la victime et sur le montant des dédommagements.

Les premiers réflexes sur le terrain juridique :

  • Savoir si son personnel est impliqué ;
  • Faire une enquête interne ;
  • Prendre des mesures sociales (procédure disciplinaire, mise à pied-conservatoires) ;
  • Choix de l’action portée sur le terrain juridique (plainte, mesure conservatoire sur le patrimoine des personnes concernées…)

 

5. Le rôle du FBI dans la lutte contre le crime organisé

Basée à Washington, le Federal Bureau of Investigation lutte contre le crime organisé sous toutes ses formes. C’est le principal service fédéral de police judiciaire aux Etats-Unis mais également un service de renseignement intérieur. Son champ d’action recouvre plus de deux cents catégories de crimes fédéraux. Le Bureau est compétent en matière de terrorisme, de contre-espionnage, de corruption publique, de crime organisé, en col blanc…

En matière de fraude, pas moins de cinq départements au sein du FBI sont spécialisés sur ce sujet :

  • High Tech fraud
  • CEO fraud
  • Cyber crime
  • Financial crime
  • Organized crime

Ces départements travaillent en étroite collaboration afin de recouper les différentes affaires de fraude.

 

La BEC ou compromission de la messagerie en entreprise

Lors de cette conférence, les agents du FBI nous ont d’abord éclairé sur la notion de « compromission » d’emails. Ci-dessous, vous trouverez les différentes étapes identifiées par le Bureau :

 

Identifier la cible : Les organisations criminelles ciblent les entreprises américaines et européennes en exploitant les informations disponibles en ligne comme les rapports économiques des organisations internationales. Le but final de cette manœuvre étant de définir précisément le profil de l’entreprise.

Préparation : Les organisations criminelles entrent, ensuite, en contact avec les cibles identifiées. Elles utilisent, par exemple, la technique du phishing qui consiste pour l’organisation criminelle à se faire passer pour un organisme familier à son interlocuteur comme une banque, une administration fiscale ou la sécurité sociale. Elles utilisent les logos et les noms de ces organismes afin de paraître authentique. Dans cet email, sera demandé de « mettre à jour » vos données, notamment bancaires.

Echange d’informations : A cette étape, la victime est toujours convaincue qu’elle ne fait rien d’illégal. Les criminels fournissent toutes les instructions nécessaires à la victime pour finaliser la transaction.

Virement bancaire : Le transfert d’argent de la victime vers l’organisation criminelle est effectué à cette étape. Le piège se referme sur la victime qui ne se rend, bien souvent, pas compte de son acte.

Le FBI fixe le coût du courrier électronique frauduleux pour les entreprises à plus de 2 milliards de dollars en 2015. 

 

Evolution de la menace

La compromission de la messagerie en entreprise est un phénomène connu du monde de l’entreprise. Malgré tout, les entreprises ne sont pas toujours préparées pour affronter cette menace.

Le futur : Quelle sera la prochaine fraude ou compromission de données ? Les entreprises doivent repenser leur approche de la sécurité informatique et prendre en compte tous les facteurs qui pourraient faire d’elles la prochaine victime d’une compromission de données.

Le danger des réseaux intelligents : Les « Smart Grids » ne sont pas un phénomène nouveau, la preuve les fournisseurs d’électricité, de gaz et d’eau proposent à leurs clients l’installation de ces compteurs intelligents. Néanmoins, ces systèmes apportent leur lot de problèmes de sécurité tant la collecte des informations par ces réseaux est sensible.

 L’omniprésence des données : Une quantité incommensurable de données circule sur nos smartphones, nos ordinateurs fixes ou portables, nos tablettes, nos clés USB… Comment les entreprises vont-elles pouvoir protéger ces données à caractère ultra-sensibles alors que, par exemple, les mails professionnels sont désormais sur de nombreux smartphones personnels.

 

Les 5 leçons du FBI

  1. Ne jamais faire confiance au nom affiché dans les emails

Une des techniques de phishing consiste à usurper le nom indiqué dans l’email. Les fraudeurs peuvent rajouter un « s » à l’adresse mail originale ou changer le nom de domaine sans que le destinataire ne s’en rende compte.

  1. Ne pas cliquer sur les liens dans les mails

Les cybercriminels glissent régulièrement des liens malveillants dans les emails en apparence légitime.

  1. Ne jamais communiquer d’informations confidentielles

La majorité des entreprises ne vous demanderont jamais de communiquer vos informations confidentielles par email, notamment les banques. Si c’est le cas, soyez pas sûr du destinataire de votre email.

  1. Toujours se méfier des propos urgents ou menaçants présents dans l’objet du mail

La crainte et le sentiment d’urgence sont des techniques éprouvées par les fraudeurs. 

  1. Ne jamais cliquer sur les pièces jointes aux emails que vous n’attendez pas

Enfin, les pièces jointes sont bien connues pour être vecteur de virus et de logiciels malveillants. N’ouvrez jamais les pièces-jointes de mails suspects ou que vous n’attendiez pas.

 

Enfin en matière de cybercriminalité, le FBI a par exemple annoncé, en 2008, avoir infiltré le forum DarkMarket, dans le cadre d’une opération qui durait depuis près de deux ans. Cette opération a permis l’arrestation de 56 personnes dans le monde.

A noter que Europol, service de police européen et créé en 1991, est le pendant du FBI.

 

6. Ce que disent les législations américaines et françaises en matière de crime organisé

 

Législation américaine

Les Etats-Unis ont adopté dès 1970, la Racketeer Influenced and Corrupt Organizations Act, appelée la RICO. Elle définit le crime organisé de manière très large en englobant le meurtre, le jeu, le vol qualifié, la corruption, le trafic de stupéfiants, l’enlèvement…

Une série d’infractions fédérales y sont également mentionnées comme l’usure, la contrefaçon, la fraude électronique et postale. Cette loi a une portée extraterritoriale, c’est d’ailleurs par le biais de cette loi qu’ont été diligentées les poursuites dans le cas du FIFA gate.

Législation française

En France, le crime organisé n’est pas défini explicitement. Toutefois, la loi de 2004, portant sur l’adaptation de la justice aux évolutions de la criminalité, prévoit une « procédure applicable à la criminalité et à la délinquance organisées ». Les infractions ci-dessous sont prises en compte dans cette procédure :

  • Les infractions de trafic de stupéfiants, traite des êtres humains, proxénétisme, extorsion aggravée, fausse monnaie, actes de terrorisme, blanchiment et association de malfaiteurs
  • Les infractions de meurtre, tortures et actes de barbarie, enlèvement et séquestration, vol, destruction, dégradation et détérioration d’un bien, infractions à législation sur les armes, infractions à la législation sur les étrangers commises en bande organisée.

L’Office central de lutte contre le crime organisé est compétent en matière de lutte contre les organisations criminelles quelles que soient leurs activités illicites.

 

7. Réagir à la fraude 

La fraude va forcément avoir des effets sur la réputation et l’équilibre de l’entreprise. Ainsi, la gestion de la communication est essentielle, elle permet de limiter les effets secondaires, rassurer les salariés et collaborateurs, préserver sa réputation et crédibilité.

Toutefois, il n’est pas aisé de savoir, quand, comment parler et quel message faire passer. Cette situation de flou, cette urgence et ces enjeux caractérisent toute la complexité d’une communication de crise. Le lien étroit entre l’image de marque et le dirigeant est à double tranchant. En communiquant, il n’implique pas que sa personne mais potentiellement la prospérité de l’entreprise, de ses partenaires et collaborateurs… Pour éviter ce type de scénario catastrophe, la gestion de crise et la communication se préparent en amont, en temps de paix.

A l’heure d’internet, les réputations se font et se défont en quelques secondes. Bien que les crises réputationnelles soient difficilement prévisibles, elles n’en restent pas moins un élément décisif et stratégique pour la pérennité d’une entreprise.

Parfois ce qui est juridiquement acceptable ne résiste pas au tribunal de l’opinion.

Merci au cabinet Baro Alto pour ses pistes de défense juridique.

 

[1] https://www.silicon.fr/cybercrime-fraude-entreprise-france-pwc-141003.html/

[2] http://www.eulerhermes.fr/mediacenter/actualites/Pages/etude-fraude-2018.aspx

No Comments

Post a Comment