Depuis 2010 un nouveau type d’escroquerie est apparu au préjudice de nombreuses entreprises françaises de toute taille et de tous les secteurs, constitutif d’un véritable fléau économique dans la mise en œuvre de Faux Ordres de Virement (FOVI).
Il s’agit de l’escroquerie dénommée la « Fraude au Président » De quoi s’agit-il ?
Par la mise en œuvre de divers procédés, des escrocs dupent l’entreprise et réussissent à lui faire transférer des fonds vers l’étranger.
Compte tenu de l’inflation de ce type de fraude – depuis 2010 près de 1200 plaintes ont été déposées représentant un préjudice global de 300 millions selon les statistiques de l’Office Central de répression de la Grande Délinquance financière – il est désormais possible de décrire le procédé retenu et d’alerter les entreprises sur les précautions élémentaires à mettre en œuvre.
1°) – Le mode opératoire
L’escroquerie aux faux ordres de virement est réalisée par l’utilisation du téléphone et des courriels.
La première étape du processus frauduleux est la mise en œuvre par les escrocs de ce qui est communément appelé « l’ingénierie sociale ». Il s’agit de recueillir le maximum d’informations sur l’entreprise cible grâce aux « données ouvertes » : registre du commerce, réseaux sociaux, procès-verbaux d’assemblées générales et de conseils d’administration, procès-verbaux du comité d’entreprise, du CHSCT, messages des dirigeants à leurs salariés, newsletter, etc…
Cette enquête préalable approfondie, qui peut prendre plusieurs mois, permet aux escrocs de connaître la « culture maison » de s’emparer des formules favorites des dirigeants dans leurs interventions, de scanner leur signature et même d’accaparer des données de la vie privée de ceux-ci sur Facebook ou Tweeter : prénom de leurs enfants, date d’anniversaire de leur secrétaire…
La technique dite du « cheval de Troie » est également utilisée qui consiste à s’emparer des données d’un ordinateur grâce à ce « cheval de Troie » envoyé sous la forme d’un fichier joint apparemment banal : date de congés, organigramme, échange de mails, coordonnées d’un fournisseur etc…
Une fois que les escrocs ont récupéré l’ensemble de ces informations sensibles, ils usurpent l’identité d’un directeur, d’un fournisseur, d’un cabinet d’audit, voire du président lui-même et peuvent envoyer des courriels en leur nom, ou téléphoner en utilisant leur numéro de téléphone portable.
La deuxième étape du processus peut alors être mise en œuvre. Un faux courriel émanant du Président ou d’un cadre dirigeant ordonne un virement à un responsable de l’entreprise avec une mise en scène qui fait apparaître les éléments récurrents suivants :
– les escrocs jouent sur le caractère urgent et exceptionnel de la situation qui justifie cette demande de virement : OPA secrète, acquisition de parts de marché, redressement fiscal éminent, changement de domiciliation bancaire, projet de fusion/acquisition, etc..
L’opération est mise en œuvre très généralement juste avant la fin de la semaine, ou à la veille d’un week-end prolongé, ou en pleine période de congés.
– l’instruction d’origine est souvent confortée par des courriels et/ou des appels téléphoniques émanant apparemment du cabinet d’avocats ou du cabinet d’audit de l’entreprise concernée, dont les escrocs se sont emparés des coordonnées et ils se font passer pour eux.
Ont été ainsi victimes de ce mode opératoire des sociétés aussi connues que MICHELIN, VALLOUREC, LE PRINTEMPS, le Cabinet KPMG, LVMH, VINCI, TOTAL, Baker & McKenzie etc..
2°) – La « fragilité » des entreprises et des hommes :
La connaissance approfondie de l’entreprise par les escrocs, outre le ton persuasif et convaincant qu’ils adoptent, permet la réussite de l’opération lancée sur des personnes qui ont le pouvoir d’opérer le virement (service comptable, trésorerie, secrétariat), les escrocs jouant sur la crédulité de leurs interlocuteurs, parfois flattés de se retrouver au centre d’une opération exceptionnelle et confidentielle manifestant l’entière confiance de leur Président à leur égard…
Cette fragilité humaine va de pair, en outre, avec la faille de la sécurité informatique de beaucoup d’ entreprises françaises.
Dans ce contexte, les entreprises doivent mettre en place un « plan de bataille » contre le vol de leurs données, selon la formule utilisée dans un article des Echos Business du 19 mai 2014 qui passe notamment par :
– une surveillance particulière des comptes des utilisateurs des Top Management et Administrateurs de réseaux qui ont un accès étendu à toutes les informations de l’entreprise, – une sensibilisation de tous les salariés de l’entreprise (de la standardiste, des stagiaires et des cadres dirigeants, etc…) sur les circonstances qui doivent susciter la méfiance et déclencher immédiatement l’alerte, – la mise en place d’une procédure de double signature nécessaire pour les virements à l’étranger en prohibant les fax et en utilisant le système de validation « workflow », – l’élaboration d’une Charte informatique avec désignation d’un responsable spécifique au sein de l’entreprise sur ces questions, susceptible de réagir très rapidement en cas de tentative de détournement avec élaboration d’un plan d’urgence, – la vérification de la sécurité informatique chez les prestataires et partenaires de l’entreprise qui sont souvent un maillon faible ( à cet égard la question de la cybersécurité doit être désormais abordée lors de la signature de tout contrat avec un prestataire de service).
En pratique, il est très utile et conseillé de consulter pour se prémunir
– d’une part, le guide élaboré conjointement par la Fédération Bancaire Française et la Police Judiciaire de janvier 2015 intitulé « Ordres de virement des entreprises 9 réflexes sécurité » : www.fbf.fr,
-d’autre part, le dossier spécial en ligne sur le site de l’Office Central de la répression de la Grande Délinquance Financière : www.police-nationale.interieur.gouv.fr.
3°) – La nouvelle responsabilité des banques :
Par un jugement abondamment commenté du 30 octobre 2014 (n° RG : 2013075398), la 6ème Chambre du Tribunal de Commerce de Paris vient de condamner le CIC à rembourser 100.000 € détournés à une entreprise cliente, outre 5.000 € d’article 700, le tout avec exécution provisoire.
L’entreprise victime était une PME industrielle familiale française spécialisée dans les équipements hydrauliques et pneumatiques réalisant la moitié de ses ventes à l’export.
En septembre 2013, son chef comptable a reçu un courriel signé par la Présidente de l’entreprise lui demande d’effectuer des transferts bancaires en préparation d’une OPA sur une société chypriote, le tout en extrême urgence et dans le plus grande secret, demande confortée par l’envoi d’un courriel signé par un avocat.
Le courriel de la Présidente et de l’avocat était des faux, les escrocs ayant piraté leurs adresses.
Une des banques destinataires de l’ordre de virement s’est contentée de solliciter uniquement une confirmation signée par le comptable et a expédié les fonds à Chypre. D’autres banques concernées également par des ordres de virement n’ont pas effectué ceux-ci.
Une procédure a été engagée par la PME contre la banque qui avait effectué le virement de laquelle il est résulté que :
– le comptable n’avait pas le pouvoir de signature des virements, son autorisation étant caduque, – la banque n’a pas respecté ses obligations de vigilance qui lui sont imposées par la loi dans le cadre des dispositifs de lutte anti blanchiment, alors que l’article L 561-10-2 du Code monétaire et financier rappelle que :
« les employés de banque effectuent un examen renforcé de toute opération particulièrement complexe ou d’un montant inhabituellement élevé, ou ne paraissant pas avoir de justification économique ou d’objet licite. Dans ce cas, ces personnes se renseignent auprès du client sur l’origine des fonds et la destination de ces sommes, ainsi que sur l’objet de l’opération et l’identité de la personne qui en bénéficie ».
Ainsi dans le cadre de leur obligation de vigilance, les banques doivent se préoccuper des anomalies non seulement « matérielles » (falsifications, fausses signatures….), mais aussi « intellectuelles » (montant anormal, destinataire du virement dans un pays avec lequel l’entreprise ne travaille pas).
Cette décision importante qui ouvre la voie à de nombreux contentieux a fait l’objet d’un appel qui n’a pas encore été jugé par la Cour d’Appel de Paris.
En résumé, ces nouveaux types d’escroquerie doivent désormais amener les entreprises à une vigilance renforcée avec l’aide de leurs services informatique juridique et financier.
En cas de détournement, il faut déposer plainte auprès du Procureur de la République (un pôle cybercriminalité Section F1 vient d’être créé par le parquet de Paris) et prendre contact avec la Brigade d’Enquête sur les fraudes aux technologies de l’information (BEFTI).
Catherine BOINEAU
Avocat associé
KUCKENBURG BURETH BOINEAU et ASSOCIES