Vous avez probablement déjà entendu parler de la fraude au CEO. Mais avez-vous aussi conscience du fait que cette forme d’escroquerie ne cible pas que les grandes entreprises?
En quoi consiste précisément une fraude au CEO?
Un collaborateur du service financier reçoit un ‘faux’ e-mail ou appel téléphonique d’une personne qui se fait passer pour le CEO, le CFO, un administrateur ou un autre collaborateur exerçant une fonction élevée dans l’entreprise. Cette personne lui demande de transférer d’urgence une somme considérable dans le cadre d’une transaction importante. Le fraudeur insiste pour que le paiement soit effectué d’urgence, faute de quoi la transaction en question risque de ne pas être conclue.
L’urgence de la situation, mais aussi la relation d’autorité, jouent un rôle essentiel dans ce type de fraude. La personne approchée est soumise à la pression d’un supérieur hiérarchique et n’ose de ce fait pas poser trop de questions. Le fraudeur exige aussi souvent le respect de la confidentialité de la transaction. Dans certains cas, il cite même un cabinet d’avocats ou un cabinet comptable afin de donner plus de crédibilité à la demande. Dans ce cas de figure, le mode d’exécution du paiement est également contraire à la procédure normale interne à l’entreprise.
Pour pouvoir arriver à ses fins, le fraudeur doit avoir eu la possibilité de collecter des informations concernant l’organisation de votre entreprise, les processus à suivre pour le paiement, la personne à approcher ainsi que la manière d’entrer en contact avec elle.
Les cybercriminels sont capables de falsifier une adresse e-mail en utilisant une adresse très similaire. Il arrive aussi qu’ils utilisent exactement la même adresse parce qu’ils sont parvenus à la pirater et à collecter ainsi les adresses e-mail des personnes visées.
Comment éviter la fraude au CEO?
Limitez les informations en ligne
Les informations disponibles en ligne, sur le site web de l’entreprise, par exemple, facilitent la tâche des fraudeurs. S’il est, par exemple, possible d’obtenir en ligne des renseignements sur les dates de vacances du directeur financier ou sur les relations que votre entreprise entretient avec les fournisseurs, celle-ci peut devenir une cible facile. Il suffit au fraudeur d’effectuer quelques recherches en ligne en n’y consacrant qu’un minimum de temps et d’efforts. En outre, les fraudeurs approchent souvent les collaborateurs en leur posant toutes sortes de questions par mail ou téléphone.
Soyez donc attentifs aux informations que vous partagez en ligne (via Internet, le site de l’entreprise, les médias sociaux). Supprimez tous les renseignements inutiles comme, par exemple, les données de contact direct de vos collaborateurs, des détails concernant l’organisation interne, etc. Insistez auprès de vos collaborateurs afin qu’ils ne partagent aucune information avec des personnes inconnues de l’entreprise.
Sécurisez l’accès à vos e-mails
Il est conseillé d’instaurer un système ‘d’authentification multifacteur’ pour vos mails d’entreprise. Vous réduirez ainsi le risque de piratage de vos comptes mail. Sensibilisez vos collaborateurs aux thèmes de la cybersécurité comme l’importance de choisir des mots de passe forts, les mails de phishing, etc. Il est également crucial de modifier régulièrement les mots de passe.
Conscientisez votre personnel et instaurez un système de contrôle interne efficace
Sensibilisez les membres de votre personnel à l’existence de ce type de risque et insistez sur leur responsabilité quant au respect des procédures internes.
Incitez-les à faire preuve de vigilance et à poser les questions opportunes lorsque des fournisseurs leur demandent d’apporter des modifications à des factures ou numéros de compte. Il importe d’attirer leur attention sur le fait que les fournisseurs doivent toujours être contactés directement et non via un lien inséré dans un e-mail ou un numéro de téléphone qui leur est inconnu.
Même si aucune modification de la facture n’est demandée, il est recommandé de prendre les précautions suivantes:
- rester vigilant et se méfier s’il est demandé par e-mail d’exécuter des transactions de paiement. Ne pas se laisser tromper par de prétendues transactions strictement confidentielles intervenant dans le cadre d’acquisitions, par exemple
- vérifier si les demandes ne comportent pas des irrégularités comme des modifications concernant le nom du fournisseur, l’adresse, le montant de la facture, le numéro de compte. Instaurer une procédure de call-back en cas de modification des numéros de comptes bancaires
- comparer le numéro de compte du fournisseur mentionné sur la facture avec le numéro déjà encodé dans la base de données fournisseurs
- informer le fournisseur de l’exécution d’un paiement
- instaurer des séparations de fonctions pour le traitement des factures (par exemple, encodage, enregistrement de la réception, approbation et paiement des factures)
- prévoir des procédures et une séparation des fonctions pour la création des dossiers fournisseurs et la modification des numéros de comptes bancaires
- élaborer des directives claires concernant le processus de paiement et les actions à entreprendre en cas d’irrégularités
- faire valider par plusieurs personnes les paiements dépassant un certain montant
- prendre contact par téléphone avec les fournisseurs si la situation n’est pas claire
- bien vérifier les adresses e-mail
- instaurer une culture d’entreprise ouverte de manière à ce qu’en cas de doute, des questions puissent toujours être posées en interne
- faire en sorte que le risque de fraude ne soit plus tabou et organiser des formations.
Le risque de fraude CEO ne cesse de gagner du terrain. Vous pouvez donc, vous aussi, en être victime!
Si vous avez des questions, n’hésitez pas à prendre contact avec nos experts. Grant Thornton Advisory peut passer sous la loupe les processus et le système de contrôle interne actuellement appliqués au sein de votre entreprise et formuler des recommandations destinées à les améliorer.
