L’arnaque au président ou escroquerie au « faux ordre de virement international » (FOVI) est une nouvelle forme de cybercriminalité auxquelles sont exposées les TPE. Elle repose sur l’ingénierie sociale, méthode qui a pour but d’extirper, par la ruse, des informations à des personnes, sans qu’elles ne s’en rendent compte, dans le but d’effectuer un virement frauduleux.
1. Qu’est-ce qu’une escroquerie au faux ordre de virement ?
Une personne, extrêmement bien renseignée, se fait passer pour le PDG de la société et demande à un employé ayant les droits nécessaires (assistant de direction, service comptabilité, directeur financier…), d’envoyer rapidement une somme quelque part dans le monde en invoquant une opération urgente qui nécessite de la garder secrète : une OPA (offre publique d’achat), une commande express, la rachat d’un concurrent par exemple.
Pour être si bien renseignés, les escrocs récoltent des informations sur l’entreprise (nom du PDG ou des employés et leurs fonctions au sein de l’entreprise, le bilan de l’entreprise, les PV d’assemblée générale, ou encore les signatures des dirigeants …) sur Internet (Linkedin, Facebook, sur des sites économiques ou par exemple sur societe.com).
En usant de force de persuasion et de manipulation mentale, la méthode fonctionne plus souvent qu’on ne pourrait le croire ! De plus, le salarié choisit se sent valorisé car il est soit disant choisi pour ses qualités professionnelles.
2. Les TPE et PME, aussi concernées que les grandes entreprises :
Le « pionnier » français de cette arnaque est Gilbert Chikli qui usa d’une exceptionnelle force de persuasion sur 33 banques et sociétés entre 2005 et 2006. Au total, il détourna 7.9 millions d’euros, et 72.6 millions d’euros furent sauvés in extremis. Il cibla les plus grande entreprises françaises : la Banque postale, le Crédit lyonnais, HSBC, Dassault systèmes, Accenture, Alstom, les PagesJaunes ou encore les Galeries Lafayette… Sorti en 2015, le film « Je compte sur vous » est d’ailleurs inspiré par l’histoire de Gilbert Chikli. Plus récemment, en 2018, il aurait récidivé en tentant d’escroquer plus de 150 personnalités en usurpant l’identité de Jean-Yves Le Drian, ministre français des affaires étrangères, et du Prince Albert II de Monaco. Il évoquait ainsi le devoir patriotique (libérer des otages français en Syrie) pour extorquer de l’argent à des chefs d’entreprises. D’autres grosses entreprises furent aussi touchées par l’arnaque au président : Intermarché, Michelin, Coca-Cola, Eurocopter, Vinci, ou encore le club de foot de l’OM. Cependant, le phénomène ne concerne pas seulement les grandes entreprises. Les TPE ou PME sont aussi touchées par ce type d’escroquerie qui est, bien souvent, fatale pour elles. On peut citer par exemple la société BRM Mobilier dont la responsable administrative et financière avait versé 1.6 million d’euros à des escrocs durant les vacances d’été 2015. La société a fini par être liquidé.
Selon une étude FFCG, 93 % des entreprises françaises ont été victimes d’au moins une tentative de fraude en 2016. Environ 30% des fraudes auraient fonctionné et dans 55% des cas, il s’agissait de l’arnaque au président.
3. Les techniques à adopter pour se protéger :
- Sensibiliser les directions et personnels susceptibles d’être concernées par ce type d’escroquerie (comptabilité, service financier).
- Diffuser un guide des bonnes pratiques, comme par exemple « Ordre de virement des entreprises : 9 réflexes sécurité » élaboré par la Fédération Bancaire Française et la Police Judiciaire.
- Mettre en place des procédures systématique de contrôle interne pour vérifier l’identité du donneur d’ordre pour une opération financière dépassant une certaine somme.
- Etre davantage vigilant sur les veilles de week-end (vendredi après-midi), de jours fériés ou de vacances (surtout estivales) car ce sont là que les attaques sont le plus souvent lancées.
- Prévoir une personne « back-up » lors des absences du dirigeant (vacances, maladies) pour effectuer un contrôle quotidien, un rapprochement bancaire.
4. Comment réagir en cas de suspicion d’escroquerie :
En cas de suspicion du caractère frauduleux de l’opération, il faut agir très vite :
- Informer immédiatement sa banque pour tenter de bloquer l’argent avant qu’il ne quitte le territoire, sinon il vous sera impossible de le rapatrier ! La banque va alors informer la banque étrangère (où sont détenus les fonds), que l’opération de transfert fait l’objet d’une suspicion d’escroquerie. La banque étrangère est en principe tenue de bloquer les fonds dans l’attente de vérification de la régularité des opérations.
- Déposer plainte auprès des services de police ou de gendarmerie, ou auprès du procureur de la République. Ces derniers mettront en œuvre le gel des opérations et de la saisie des comptes destinataires. Ces derniers informeront également l’ASI de l’Ambassade de France du pays concerné.
- Il est aussi conseillé de prendre contact avec un avocat.
Une procédure judiciaire sera ouverte pour tenter de retrouver les auteurs des faits. Pour cela, le service informatique de l’entreprise (ou la société informatique externe qui s’occupe du système d‘information) doit conserver une trace des échanges de mails et tenter d’identifier les adresses IP et dans le meilleur des cas les utilisateurs de ces adresses. Ses conclusions peuvent ainsi être transmises pour l’enquête judiciaire.