Les fraudes en hausse pendant la crise du Covid-19

Dans un contexte de crise, les fraudeurs redoublent d'ingéniosité pour tirer parti du manque de vigilance de leurs cibles. Voici un tour d'horizon des techniques de fraude en hausse pendant la pandémie de Covid-19.

Sommaire

1. Rappel des différents types de fraude.
2. Le contexte de crise : une opportunité pour les fraudeurs.
3. La crise du Covid-19 et la fraude.
4. Quelques exemples de tentatives de fraude.
5. Se protéger contre la fraude.

Rappel des différents types de fraude

Les fraudeurs redoublent d’ingéniosité et de nouvelles fraudes apparaissent fréquemment. Néanmoins, certaines fraudes sont particulièrement répandues et populaires parmi les criminels. Voici les principales :

La fraude au Président :

C’est probablement la fraude la plus célèbre tant elle peut avoir des répercussions médiatiques importantes, c’est aussi l’une des fraudes les plus efficaces qui représente à elle seule près de 80% des tentatives de fraudes aux entreprises. Le mode opératoire est le suivant : un attaquant usurpe l’identité d’un dirigeant d’entreprise et exige d’un collaborateur le virement d’une somme importante sur un compte frauduleux tout en demandant au collaborateur de respecter la plus grande discrétion à ce sujet. Comme pour la plupart des fraudes, celle-ci repose sur la capacité de l’attaquant à convaincre sa victime d'exécuter ses instructions. De manière générale, les fraudes basées sur des prouesses technologiques et des techniques de hacking particulièrement poussées sont minoritaires, contrairement aux fraudes faisant appel à l’ingénierie sociale, soit la capacité à manipuler une cible.

La fraude au faux fournisseur

Il s’agit d’une fraude extrêmement répandue qui consiste à faire payer un client sur le mauvais compte bancaire. Fréquemment, les malfaiteurs interceptent les factures envoyées par le fournisseur au client afin de changer les coordonnées bancaires indiquées sur le document. Dans d’autres situations, les fraudeurs peuvent usurper l’identité du fournisseur et demander au client le changement pur et simple de coordonnée bancaires dans son système ERP.

Le phishing

Le phishing (ou hameçonnage) est une technique de manipulation dans laquelle un attaquant tente de provoquer un clic dans un email frauduleux envoyé à une cible. Cela peut-être un mail imitant à la perfection un mail de votre banque et dont le clic renvoie vers un site imitant également le site de votre banque afin de collecter frauduleusement vos identifiants bancaires.

Les cyberattaques

De manière plus large, il existe une très large palette de cyberattaques plus évoluées et nécessitant des connaissances et des moyens techniques plus poussés. Les entreprises ne sont pas à l’abri de ce type d’attaques, en particuliers celles qui peuvent être menées à large échelle comme les campagnes de diffusion de logiciels de ranson (ransomwares). Si le sujet est éminemment critique pour les entreprises, il est toutefois important de garder en tête que la vaste majorité des attaques sur le web utilisent avant tout des failles humaines, c’est à dire la crédulité ou le manque de vigilance de vos collaborateurs.

Le contexte de crise, une opportunité pour les fraudeurs

De manière générale, les techniques de fraude tirent parti des failles dans les process des organisations ou des individus ciblés. Ces failles, existantes en temps normal, sont encore plus nombreuses en cas de crise dans la mesure où les crises modifient en profondeur le fonctionnement des organisations. La plupart des organisations luttent contre la fraude par la mise en place de process robustes qui réduisent le risque de manipulation ou de manœuvres frauduleuse des salariés. Ces process peuvent ajouter de la friction voir de la lourdeur dans les prises de décisions et dans le travail quotidien des équipes Finance. Les crises augmentent la pression sur ces équipes, ce qui peut les conduire à négliger certains process, délibérément ou non. Le contexte de grande pression et de moindre qualité dans la communication inter-équipes est une aubaine pour les fraudeurs qui utilisent ces difficultés pour acquérir des informations sensibles, manipuler des salariés et contourner les sécurités en place.

La crise du Covid-19 et la fraude

L’apparition de la pandémie de Covid-19 est un cas d’école d’une crise particulièrement soudaine et violente qui, en plus de partager les caractéristiques classiques d’une crise, présente la particularité d’être inédite dans l’histoire récente. Dès lors, l’impact provoqué par la Covid-19 sur les entreprises est encore plus grand et met les organisations au défi de se réorganiser en avançant dans l’inconnu. Dans un contexte de crise nationale et mondiale, les entreprises ne sont pas seules. Les gouvernements, et en particulier le gouvernement français, cherchent à apporter une aide qui peut être précieuse mais qui est également un vecteur supplémentaire de tentatives de fraude. Nous avons identifié trois points décisifs qui augmentent le risque de fraude dans le contexte de la Covid-19.

• L’attention des entreprises est réduite : compte-tenu du défi que représente la gestion d’une crise aussi profonde, les ressources disponibles (temporelles, d’attention, financières) pour les entreprises sont réduites, ce qui augmente leur exposition aux tentatives de fraude.
• Les organisations sont transformées : en réaction à la pandémie, les entreprises repensent leurs modes de fonctionnement. En particulier, l’organisation du travail est transformée, le télétravail explose. Isolés physiquement les uns des autres, les employés sont plus vulnérables et les contrôles informels deviennent impossibles.
• Certains services de l'État changent : dans le but d’aider les entreprises, les services de l’État, des collectivités territoriales ou de l’administration dans son ensemble évoluent. Ces évolutions sont bienvenues mais elles créent des opportunités pour les fraudeurs qui tirent parti de ces phases de transitions pour usurper l’identité d’organismes officiels.

Quelques exemples de fraudes liées à la Covid-19

Les fraudeurs tentent d’ores et déjà de tirer parti de la crise de la Covid-19 comme nous l’avons en partie souligné précédemment. Pour vous donner des clés et vous aider à reconnaître des tentatives de fraudes apparues récemment, voici quelques exemples relevés dans le contexte de la pandémie.

• Fraudes au Président renforcées. Les entreprises ont un recours massif au télétravail depuis le premier confinement de mars 2020, et pendant le second confinement de novembre. Dans cette situation, les fraudes au Président sont plus faciles à réaliser. Elles reposent sur la capacité de l’attaquant à convaincre vos collaborateurs que leur demande de virement est légitime or quand chacun travaille de chez lui, vos salariés ont un accès réduit les uns aux autres, ce qui donne un avantage aux malfaiteurs.

• Fraudes au faux-fournisseur pour l’achat de produits en lien avec la pandémie. Certains fraudeurs usurpent l'identité de vos fournisseurs habituels et vous proposent des conditions d’achat particulièrement favorables, comme le fait de vous livrer dans un temps record des produits très demandés. C’est ce qui est arrivé à une entreprise grossiste en médicaments qui a ainsi commandé des masques chirurgicaux pour un montant total de plusieurs millions d’euros auprès d’un groupe d’escrocs.

  Le 16 mars, le procureur de Rouen a ouvert une enquête préliminaire pour « escroquerie », « faux » et « usage de faux » après qu’un grossiste en médicaments eut commandé pour 6,6 millions d’euros de masques et de gel hydroalcoolique à une société fictive. Les escrocs se sont fait passer pour les fournisseurs habituels de l’entreprise, dont ils ont usurpé l’identité, et ont offert de livrer rapidement une grande quantité du matériel voulu. Ils ont ensuite disparu et l’argent est, lui, arrivé à Singapour.
  Le Monde

• Demandes frauduleuses de remboursement de l’aide à l’activité partielle. Le ministère du travail a fait état de tentatives de fraude par hameçonnage (aussi appelé phishing). Les escrocs se font passer par un service de l’État, l’Agence de Services et de Paiements (ASP) et demande aux entreprises ciblées de rembourser l’allocation d’indemnité partielle qu’elle a reçu.

Se protéger contre la fraude

• Construire des procédures anti-fraude robustes. La robustesse de vos process anti-fraude n’est pas seulement une question technique : elle dépend aussi de la capacité de votre organisation à faire respecter le process par les salariés. Le meilleur process, s’il est trop lourd à suivre, risque d’être contourné par ceux qui sont censés le respecter. Dans un contexte de crise, cette tentation est encore plus grande. Il est crucial de disposer d’un process anti-fraude clair et simple à utiliser afin d’éviter que les salariés ne choisissent de l’ignorer.
• Augmenter la vigilance. En cas de crise, il est judicieux de baisser vos seuils d’alerte afin d’être encore plus vigilant qu’à l’accoutumée. Il peut par exemple s’agir de demander une confirmation à la direction financière pour une plus large palette de montants.
• Communiquer auprès des équipes. Une grande partie du succès des fraudeurs réside dans la méconnaissance qu'on vos salariés de leurs techniques. Pour les maintenir en alerte, communiquez fréquemment au sujet des nouvelles techniques de fraude et de l’augmentation du risque.