Avocat d’affaires à Dijon, Éric Seutet invite les entreprises à faire preuve de vigilance face à la cybercriminalité.
Une très intéressante étude du baromètre Euler Hermes DFCG 2020 illustre les risques de fraude et de cybercriminalité dont les premières victimes sont les entreprises. Pour la sixième année consécutive, le leader européen de l’assurance fraude et l’association nationale des directeurs financiers et de contrôle de gestion ont interrogé 200 entreprises implantées en France. En 2019, plus de 7 entreprises sur 10 ont été victimes d’au moins une tentative de fraude (comme en 2018). Les fraudeurs multiplient les attaques sur une même cible pour augmenter leurs chances de réussite : ainsi, près d’une entreprise sur trois a subi plus de 5 tentatives de fraude en 2019. Les risques de fraude et de cybercriminalité ne faiblissent donc pas, bien au contraire !
« La fraude au président consisit, pour un fraudeur, à usurper l’identité d’un cadre dirigeant de l’entreprise, voire au représentant légal lui-même, dans le but de faire réaliser par un salarié une opération urgente et/ou confidentielle d’un montant souvent important à destination d’une banque domiciliée à l’étranger ».
Quelles sont les fraudes constatées ?
Danger ! Les fraudeurs privilégient l’usurpation d’identité. En premier lieu, il s’agit de la fraude classique au faux fournisseur qui tente par tout moyen de se faire payer une facture infondée. Elle est suivie par la fraude au faux président, mêlée ou non aux autres usurpations d’identité (banque, avocat, commissaire aux comptes). La fraude au président doit être plus particulièrement expliquée afin de permettre aux chefs d’entreprise de mettre en place des mesures de prévention efficaces et de se prémunir de ce risque extrêmement fréquent. La fraude au président est issue de la technique dite « d’ingénierie sociale ». Elle consiste, pour un fraudeur, à usurper l’identité d’un cadre dirigeant de l’entreprise, voire du représentant légal lui-même, dans le but de faire réaliser par un salarié (le plus souvent du service comptable) une opération urgente et/ou confidentielle d’un montant souvent important à destination d’une banque (Iban frauduleux) domiciliée à l’étranger.
Quel est le scénario ?
Le fraudeur récupère en amont des informations sur l’entreprise (organigramme, délégation, actualité de l’entreprise) afin d’être le plus crédible possible et de mettre en confiance sa victime, notamment en la contactant par courriel en se faisant passer pour le dirigeant ou pour l’un de ses conseils proches (par exemple son avocat). Naturellement, le contact intervient le plus souvent à un moment où peu de personnes sont présentes dans l’entreprise (veille de jour férié ou de week-end, période où le dirigeant est en congé, en marge d’un événement commercial important…).
Le fraudeur met en place un scénario rôdé évoquant une situation exceptionnelle (opération de rapprochement avec un concurrent, lancement d’un nouveau produit, événement commercial important…). Il va, par exemple, en usurpant la boîte mail du représentant légal, solliciter un cadre (directeur financier ou membre du service comptable) pour une opération importante vers un bénéficiaire inhabituel (le plus souvent détenteur d’un compte à l’étranger) et le plus souvent sans document justificatif. La demande est présentée comme étant urgente, nécessitant la plus extrême discrétion et, compte tenu de la nature de l’investissement ou du caractère confidentiel du projet, stratégique pour l’entreprise.
Le fraudeur va parfois utiliser des informations confidentielles pour mettre en confiance la victime. Il va être tantôt rassurant, tantôt menaçant, et préciser expressément que l’interlocuteur ne souhaite pas être recontacté à l’initiative de la victime, et que c’est lui-même qui suivra directement l’opération et qui donnera toutes instructions utiles. C’est ainsi qu’il va abuser de la confiance d’un membre du personnel pour effectuer des virements à l’étranger et ainsi détourner des sommes qui peuvent être considérables.
Il faut bien comprendre que le contact peut s’effectuer à la fois par des emails dont l’adresse a été usurpée et par voie téléphonique. Le fraudeur prétendera être le conseil de l’entreprise, qu’il s’agisse de l’avocat ou de l’expert-comptable, en charge de l’opération aux côtés du représentant légal, qui ne peut, pour des raisons personnelles, contacter directement « l’auteur / victime » de la fraude. Des géants tels que Michelin, Coca Cola, Intermarché, Pathé ou KPMG ont déjà été les victimes de ces fraudes, qui représentent plusieurs millions d’euros…
« En cas d’attaque, il faut déposer une plainte pénale, mais le caractère international de la fraude, l’usage de méthodes rôdées en matière informatique et parfois la négligence de certains établissements de crédit situés à l’étranger compliquent la recherche de ces auteurs et surtout l’indemnisation du préjudice subi lorsque les fonds sont, en quelques secondes, sortis du compte bancaire de la victime ».
Quels sont les recours ?
Bien évidemment, il faut déposer une plainte pénale, mais le caractère international de la fraude, l’usage de méthodes rôdées en matière informatique et parfois la négligence de certains établissements de crédit situés à l’étranger compliquent la recherche de ces auteurs et surtout l’indemnisation du préjudice subi lorsque les fonds sont, en quelques secondes, sortis du compte bancaire de la victime. Finalement, les chances de réparation du préjudice résident essentiellement dans la mise en cause de l’établissement de crédit, auteur de virements litigieux.
En cas de fraude, la jurisprudence s’est stabilisée en distinguant deux régimes de responsabilité des banques. Le premier est basé sur le régime de responsabilité issu du Code civil, dans le cadre d’une négligence de la banque dans l’exécution du contrat de dépôt. Ce régime de responsabilité peut conduire à un partage de responsabilité entre la banque et l’entreprise, et donc à un remboursement de tout ou partie du virement effectué. Ce régime de responsabilité va se heurter de plus en plus aux principes de non-ingérence des banques dans les affaires de leurs clients.
L’autre régime de responsabilité est basé sur la violation, par la banque, de ses obligations en matière de vérification de l’authenticité de l’ordre, de l’auteur et des pouvoirs du demandeur des virements. Il appartient en effet aux établissements de crédit, compte tenu de l’existence de ces fraudes, de mettre en place des dispositifs de virement sécurisé avec double système d’authentification, au profit de leurs clients, dans le cadre de leur obligation de conseil et de mise en garde.
La question est de déterminer alors si les fautes de la banque sont ou non les causes exclusives du dommage, emportant alors réparation exclusive par la banque de celuici. Certaines décisions récentes des cours d’appel de Lyon et de Bordeaux retiennent ainsi une responsabilité aux trois quarts d’établissements bancaires, consacrant ainsi un véritable devoir de vigilance renforcée de l’établissement de crédit. D’autres pistes existent, à savoir la mise en place d’une protection juridique dans le cadre des contrats d’assurance qui peuvent inclure une garantie spécifique en cas de risques numériques et informatiques si ceuxci sont couverts (risques Cyber).
La mise en cause, parfois, du prestataire informatique est également privilégiée car l’email constitue l’un des principaux outils favorisant le déroulement de la fraude. Il est donc préconisé d’auditer ces systèmes d’information informatiques et internes et de mettre en place un double contrôle (« deux paires d’yeux ») pour se prémunir de ces risques accrus qui vont se multiplier dans la situation économique et sanitaire totalement inhabituelle que nous traversons.