La fraude en entreprise : de la prise de conscience à l’action préventive

La fraude reste un phénomène tenace avec des fraudeurs de plus en plus habiles. Une récente étude révèle, en effet, que 30 % des entreprises ont été victimes d’au moins une fraude avérée en 2017, contre seulement 25 % en 2016[1].  Faux fournisseurs, faux banquiers, faux clients, fraude au Président… les dirigeants sont conscients du risque qui plane sur leurs sociétés sans pour autant mettre en place les actions préventives nécessaires. Rajàa Aouina, experte et consultante finance au sein du groupe GM Consultant étudie un cas récent de fraude afin de nous permettre de mieux en comprendre les mécanismes.

 

Étude de cas : deux géants des nouvelles technologies victimes de fraude

Les petites et les grandes entreprises peuvent être touchées par des fraudes émanant de l’intérieur comme de l’extérieur. Pour exemple, le cas d’une fraude récente et médiatisée ayant conduit à détourner plus de 100 millions de dollars aux GAFA

Courant septembre 2018, le lituanien Rimasauskas a été reconnu coupable de fraude par le ministère de la Justice américaine après avoir volé plus de 100 millions de dollars au total, dont environ 98 millions à Facebook et 23 millions à Google.

Avec l’aide de complices, il avait fondé une fausse société en vue d’usurper l’identité d’un réel partenaire commercial de Facebook et Google, la société taiwanaise Quanta Computer en utilisant des emails d’apparence conforme, mais renvoyant en réalité vers de fausses adresses et de nombreux faux documents tels que factures, contrats, bons de commande, etc.

Les fraudeurs ont ainsi transmis de nombreuses fausses factures à Facebook et Google entre 2013 et 2015, conduisant au virement d’une somme s’élevant à plus de 100 millions de dollars. Après avoir reçu les virements, M. Rimasauskas faisait rapidement virer les fonds volés sur différents comptes en banque situés dans le monde entier et notamment en Lettonie, à Chypre, en Slovaquie, en Lituanie, en Hongrie et à Hong Kong. Il aurait également aidé les banques sur lesquels les fonds étaient virés à fournir des documents falsifiés pour expliquer les importants transferts d’argent.

Arrêté en Lituanie en mars 2017, M. Rimasauskas a été condamné à 30 ans de prison par la justice américaine.  De leur côté, Google et Facebook auraient récupéré les sommes détournées peu après la découverte de la fraude.

 

Les actions préventives contre la fraude à mettre en place

Alors que faire ? Adopter une position défaitiste et se dire que quoi il arrive, je serai touché, la seule inconnue étant quand ?

Si aucune solution miracle n’existe, des actions peuvent être mises en place pour maîtriser le risque, et ce, en agissant principalement sur un paramètre clé : le facteur humain.

En effet, toutes les entreprises, qu’ils s’agissent de TPE / PME misant sur un contrôle des opérations sensibles par vérification systématique du dirigeant ou de multinationales disposant de procédures de contrôles internes robustes, demeurent sujettes au risque. L’action d’un unique individu, qu’elle soit volontaire ou non, peut mettre à mal cet environnement et créer la faille fatidique.

Afin de limiter au maximum des comportements déviants des règles établies, il convient de garder à l’esprit les principes fondamentaux suivants :

  • Tout employé, qu’il soit le plus prudent, fiable et loyal, peut se retrouver dans une situation de négligence, voire même de manipulation, par un fraudeur externe dont les manœuvres d’emprises psychologiques peuvent entraîner des comportements irrationnels.
  • L’automatisation de contrôles informatiques sans intervention humaine reste le meilleur moyen de s’assurer qu’un contrôle clé à une étape de processus cruciale sera effectué de manière conforme sans contournement.
  • La sécurisation des processus doit s’effectuer au-delà des frontières de l’entreprise. Il faut s’assurer également de la maîtrise du risque de fraude par ses partenaires quotidiens, car les zones d’échanges et de partage entre deux acteurs (facturation, envoi de documents avec données sensibles, etc.) sont propices aux mécanismes de double usurpation d’identité visant à tromper les 2 parties qui finissent par s’auto convaincre du bien-fondé de l’opération initiée par le fraudeur. 
  • L’entrainement par identification et simulation des différents mécanismes possibles, reste un outil qui, couplé à la sensibilisation des employés et des partenaires, permet d’identifier les zones de risques non couvertes et ainsi y remédier.

 

Rajàa Aouina, Associée, Expert responsable spécialité Finance & Services

Découvrez son univers de compétence


[1] Etude Euler Hermes / DFCG 2018