L’éternel combat contre la fraude

Phishing. Fish hook, lock key and credit card on computer keyboard. Concept of computer crime, data theft, cyber crime, combating against crimes

« Quelle que soit la fraude, les schémas opératoires sont identiques : user de la négligence, de la faiblesse structurelle des individus, du système et des Etats pour s’enrichir de façon non violente. » témoigne Marc Peter, Chef de Groupe interministeriel de recherches, captation des avoirs criminels, lutte contre la criminalité organisée et lutte contre la fraude au sein de la Gendarmerie Nationale.

La dématérialisation des transactions et des process des entreprises, accélérée encore par l’effet Covid et le télétravail généralisé, crée de nouveaux risques et augmentent les opportunités de fraude. Si les criminels entendent bien continuer à gagner du terrain grâce aux progrès technologiques rapides, la France et l’Europe n’ont pas dit leur dernier mot. Au coeur de la lutte contre la fraude, le combat s’intensifie !

Par Geoffrey Comte

Un univers de risques en expansion

La criminalité financière est une entreprise qui ne connait pas la crise. Comme l’affirmait le Président Georges Pompidou : « la fraude est à l’impôt, ce que l’ombre est à l’homme ». Elle se réinvente continuellement au fil des innovations technologiques, prospérant sur l’impréparation des particuliers, entreprises et autres administrations publiques. La révolution numérique accorde aux fraudeurs le don d’ubiquité, garantie leur anonymat et semble étirer leur champ d’action à l’infini. L’iconique chèque « en bois », protagoniste phare du film Attrape-moi si tu peux, se digitalise pour devenir un ransomware (rançongiciel) ou encore une technique de phishing (hameçonnage). Le succès des criminels repose sur l’effet de contagion, peu onéreux et peu risqué : un vol de donnée en appelle d’autres en cascade, pour augmenter le périmètre d’action des malfaiteurs et réaliser des profits immédiats. L’impact de la fraude est néanmoins aussi considérable que méconnu du grand public. En 2021, un quart des entreprises françaises en a été victime, 14% d’entre elles ont également déclaré un préjudice supérieur à 100 000 euros. Les PME sont généralement plus durement touchées que les grands groupes. Dans le monde, les premières essuient des pertes de 200 000 dollars en moyenne contre 104 000 dollars pour les secondes dans le cas d’une fraude interne. Depuis 2010, les escroqueries aux faux ordres de virement ont réalisé plus de 3 700 victimes parmi les sociétés implantées en France et leurs filiales résidant à l’étranger. La valeur de ces attaques s’étend de 787 à 890 millions d’euros subtilisés contre un préjudice total estimé à 1,8 milliard d’euros. Des attaques qui poussent certaines entreprises jusqu’à la liquidation judiciaire et la perte d’un emploi pour de nombreux salariés. Ces criminels emploient des méthodes ultra-sophistiquées à l’instar du Deep Fake qui permet d’imiter le visage ainsi que la voix d’une personne, en s’appuyant sur l’intelligence artificielle, pour manipuler leurs cibles. Ces détournements d’images dépendent d’échantillons audiovisuels désormais facilement accessibles sur les plateformes telles que YouTube, laissant planer de nouvelles vagues de désinformation et de contagion.

Si la fraude revêt de multiples visages, fraude interne, fraude externe, fraude au faux président, au faux fournisseur, phishing, piratage informatique, usurpation d’identité, cavalerie, fraude à l’assurance, etc. ; elle se veut universelle. « Tous les pays sont touchés, et plus particulièrement le Brésil, la Chine, l’Inde, l’Indonésie, le Mexique, la Russie et la Turquie. » ajoute Eric Vernier, Chercheur à l’IRIS Observatoire des Criminalités Internationales et professeur en finance.

De l’âge artisanal à industriel

Si le modus operandi conserve la même essence, les structures de soutien et les équipements de la criminalité financière s’adaptent à l’ère numérique. De nos jours, ce sont de véritables firmes de la fraude qui se développent sous des législations peu contraignantes. En Israël, un call center emploie plus de 10 000 salariés au sein d’un milieu confidentiel. Son chiffre d’affaires dépend en très grande partie de revenus issus de l’escroquerie. Ces bénéfices sont ensuite investis dans la crypto-monnaie, les matériaux rares tels que le diamant, la biotechnologie et financent les opérations frauduleuses à venir. Il est alors possible de distinguer une fraude « artisanale », reposant sur l’effort d’une poignée d’individus et disposant de moyens limités, et « industrielle » qui tente de sortir de l’informalité en choisissant une règlementation avantageuse afin de faciliter le blanchiment de l’argent. La multiplication des intermédiaires rend opaque toute forme de traçabilité. Impossible alors de geler et récupérer les fonds disparus tant il est ardu d’identifier les responsables. Certains maillons, nommés « mules financières », sont recrutés à leur insu comme agents de blanchiment de capitaux pour dissimuler l’origine des fonds. La rapidité de la circulation est assurée par le manque de coopération policière inter-étatique qui offre l’opportunité de les retirer et réinjecter dans l’économie formelle. Le Service d’Information, de Renseignement et d’Analyse Stratégique sur le Crime Organisé (SIRASCO) estime que seulement 48 heures sont suffisantes pour blanchir les fruits d’une fraude et décaisser les fonds. Entre 2014 et 2017, les attaques connaissent une baisse significative grâce aux actes de prévention et sensibilisation en France. Elles reprennent à nouveau après cette période et croissent de 20% en 2019, culminant à plus de 80 millions d’euros de préjudice.

Entre confiance et gouvernance

A l’instar de la monnaie, la donnée est une affaire de confiance entre les usagers et l’administration publique. La fragilité des systèmes d’informations nationaux, la vulnérabilité des infrastructures sensibles et l’absence d’un cadre réglementaire efficace alimente les réseaux informels vivant d’arnaques financières. Le développement du télétravail force les entreprises à réduire leur exposition à ces risques, augmenter leur budget, multiplier les audits de sécurité et renforcer les procédures internes. Le facteur humain est toujours la cible principale de l’ingénierie sociale employée par les malfaiteurs, manipulant les salariés pour accéder à des informations confidentielles ou prendre le contrôle des équipements. La sensibilisation est donc un enjeu vital pour une société numérique-dépendant puisque 90% des fraudes réussies sont imputables à une erreur humaine, par l’ouverture d’un mail ou une ignorance des menaces tacites. La technologie devient dès lors phármakon, à la fois poison et remède. Le numérique offre un panel d’outils innovants en capacité d’aider la lutte contre la fraude : automatisation des processus métiers pour détecter les documents frauduleux ou vérifier l’intégrité des partenaires économiques grâce aux instruments Know Your Customer ou Supplier, Blockchain, Intelligence artificielle et Data Mining. « Nous avons développé un modèle de gestion complet alliant la gouvernance à la sensibilisation, l’acculturation transverse de la détection et la prévention afin de générer de la valeur (croissance, réputation, confiance). Afin d’être au plus près des usages et besoins de nos clients, nous avons co-construit un catalogue de services incluant la modélisation de la fraude (veille, audit), un Diagnostic global (gouvernance, organisation, processus, etc), lanalyse par le traitement de la donnée et la détection des cas de fraude et la montée en compétences sur la fraude (interne et externe) grâce à une offre de formation » témoigne Alain Soulier, Directeur de l’innovation au sein du Groupe Deveryware.

La criminalité financière est un ennemi commun international. Aussi pour y faire face, le cadre juridique se renforce. La France a adopté une loi relative à la lutte contre la fraude en octobre 2018 qui se voit renforcer en début d’année 2021 pour alourdir les sanctions existantes et les contrôles autour de la TVA. Une Task-force nationale de lutte contre les fraudes et escroqueries est créée en 2020 et le parquet européen, chargé de remédier aux milliards d’euros qui échappent au budget européen est entré en fonction au 1er juin 2021.Ce cadre d’action commun est également rejoint par le nouveau plan Horizon 2021-2026 de l’OLAF qui renforce la coopération en termes d’enquêtes internes, externes et de coordination.

Face à la crise, la riposte s’intensifie

La crise que nous traversons est également un terreau propice à l’émergence de fraudes, qu’il s’agisse de détournements d’actifs, de fraudes comptables ou de faits de corruption. Une situation qui s’explique par la conjonction de 3 facteurs : l’opportunité, la pression et la rationalisation.

Mais les entreprises entendent prendre les choses en main. Selon l’institut de sondage Spoking Pools (2021), 79% des Directions Administratives et Financières des grands comptes, la lutte contre la fraude et le renforcement de la sécurité des données est une première priorité en matière de transformation digitale. 55% des entreprises prévoient d’allouer ou d’augmenter leur budget de lutte contre la fraude pour l’année prochaine. Parmi les principales mesures qui feront l’objet d’un investissement : la sensibilisation interne (73%), les audits de sécurité des systèmes d’information (69%), les audits pour renforcer les procédures de contrôle interne (47%), les plans de reprise de l’activité (44%) et les solutions d’assurance (32%).

S’il est impossible d’éliminer toutes les fraudes dans toutes les organisations, la mise en œuvre d’une véritable stratégie globale reposant sur une approche par les risques, maximisera la probabilité qu’une fraude soit prévenue et détectée en temps voulu et suscitera un fort effet dissuasif. « Le succès de la détection de la fraude repose principalement sur la pertinence de l’algorithme ou de la suite d’algorithmes utilisés, la profondeur, la qualification et la valorisation des données manipulées, et sur la puissance de calcul à disposition. Dans ce contexte, comment gagner à l’avenir en finesse d’analyse ? Par l’enrichissement de données et une puissance de calcul renforcée. Le succès repose également sur la dimension humaine : gouvernance, sensibilisation, acculturation et formation. » témoigne Xavier Houillon, Directeur général Délégué de OAK Branch.

Alors que le risque de fraude est déjà particulièrement fort, 87% des entreprises craignent une accentuation dans les mois à venir. La facturation électronique obligatoire dès 2023, le renforcement de l’arsenal européen de lutte contre le blanchiment d’argent et le financement du terrorisme et les promesses de l’analyse de la data & de la puissance de calcul pourraient permettre d’ouvrir une nouvelle page dans la lutte de ce qui constitue l’un des plus vieux maux de l’humanité.