Etude fraude 2018 : Face à des fraudeurs de plus en plus professionnels, les entreprises restent insuffisamment armées
Pour la quatrième année consécutive, Euler Hermes, le leader européen de l’assurance fraude, et la DFCG ont interrogé 300 directions financières sur leur exposition, leur ressenti et leurs mesures de prévention face aux différentes facettes de la fraude.
Moins d’attaques, mais plus efficaces
Si en 2016, 8 entreprises sur 10 déclaraient avoir été victimes d’une tentative de fraude, elles sont 7 sur 10 à avoir été visées par une attaque en 2017. Le signal pourrait sembler positif, mais 30% des entreprises interrogées ont été victimes d’au moins une fraude avérée en 2017, contre seulement 25% en 2016. Les pirates tentent moins, mais avec un meilleur taux de réussite dans leurs démarches frauduleuses.
« Aujourd’hui, les fraudeurs disposent de technologies qu’ils maitrisent parfaitement, et mènent des enquêtes approfondies sur leurs cibles potentielles, dont ils savent décrypter l’organisation. Par le passé, ils lançaient des attaques massives et industrialisées en vue de toucher le plus d’entreprises possibles. Désormais, ils se concentrent également sur quelques entreprises dont ils ont précisément identifié les failles, avec un mode opératoire bien défini et plus adapté. L’exposition des entreprises au risque de fraude s’accroit, car les pirates sont devenus des professionnels de la fraude », explique Sébastien Hager, Expert Fraude chez Euler Hermes France.
Preuve de cette professionnalisation croissante des fraudeurs, ces derniers s’appuient sur une connaissance approfondie des us et coutumes de chaque entreprise, et ne sont pas sans ignorer qu’elles sont plus fragiles à certaines périodes. Une entreprise interrogée sur trois déclare avoir constaté une recrudescence des tentatives de fraude en période de vacances ou de week-end. Les fraudeurs savent qui, comment et quand attaquer pour optimiser leur chance de succès.
Faux fournisseur, attaques cyber, faux professionnels du chiffre ou du droit : le top 3 des fraudes en 2017
La mode de la fraude au faux président est passée. Alors qu’elle occupait la tête du classement des tentatives de fraude les plus courantes l’an dernier, elle recule au 4ème rang, citée par 42% des répondants. La fraude au faux fournisseur prend la 1ère place (54%), les faux banquiers, avocats ou commissaires aux comptes se classent 3ème (43%) et les faux clients clôturent le top 5 (35%). Si l’usurpation d’identité reste plébiscitée par les fraudeurs, le cyber-risque continue de peser sur les entreprises, et occupe la 2ème place du classement (50%).
Ingénierie sociale & outils technologiques, deux méthodes complémentaires pour les fraudeurs
« On note une véritable complémentarité entre l’ingénierie sociale et la cyberfraude. Une fraude par usurpation d’identité peut s’appuyer sur l’usage d’outils technologiques, et vice-versa. Les cyber-fraudeurs les plus aguerris mènent souvent une enquête préalable sur leur cible pour connaitre le mode de fonctionnement de l’entreprise. Par exemple, avant de diffuser un ransomware, les pirates se renseignent sur le format des adresses mails internes et sur le ton de communication utilisé entre collaborateurs, afin de gagner en crédibilité », détaille Sébastien Hager.
Des mesures réelles de prévention et de protection qui restent insuffisantes
Les entreprises semblent conscientes d’être de plus en plus exposées à la fraude : 70% des directions financières interrogées craignent encore une accentuation du risque en 2018. Elles se déclarent d’ailleurs prêtes à se défendre face aux fraudeurs : 73% d’entre elles jugent leur dispositif de protection contre la fraude satisfaisant ou très satisfaisant. Quels moyens mettent-elles en œuvre en ce sens ?
« L’étude montre que c’est le collaborateur, dans une réaction ou une initiative personnelle qui, dans un cas sur deux, a permis déjouer les tentatives de fraude externe » remarque Bruno de Laigue, Président de la DFCG. « Les procédures de contrôle interne n’arrivent qu’en seconde place bien qu’elles aient une part de plus en plus importante pour déjouer la fraude (+11 points entre 2016 et 2017). Arrivent encore loin derrière les dispositifs de sécurité des systèmes d’information. Ces chiffres appellent clairement à continuer d’investir sur l’intelligence des collaborateurs, tant par la sensibilisation que par les procédures, mais tout autant à investir massivement en sécurité IT. »
Paradoxalement, l’étude souligne que 57% des entreprises n’ont pas mis en place de plan d’urgence à activer en cas de fraude. Ce constat alarmant montre que les entreprises n’ont pas encore pris totalement la mesure de ce risque ni de ses conséquences. La sensibilité au risque de fraude évolue mais doit être renforcée. Les entreprises ont encore un important effort organisationnel à conduire.
La cyber fraude, comme toute attaque via le système d’information, pèse sur l’entreprise dans sa globalité
Les DAF interrogés ont compris que leur trésorerie n’était pas le seul actif mis en danger par les tentatives de fraude. Si 85% des répondants mentionnent les risques financiers comme principale menace, le risque lié à la corruption ou à la fuite sur les données arrive en seconde place (45%) devant le risque d’interruption de l’activité (30%) et le risque de réputation (29%).
La mise en conformité avec le RGPD est une opportunité pour l’entreprise de revisiter l’intégralité de ses process liés aux systèmes d’information et d’apprécier les impacts à l’égard des parties prenantes de toute défaillance, dont la fraude. Prévention humaine et contrôle interne, investissements en sécurité IT, plans de continuité d’activité et assurance fraude restent plus que jamais le carré indispensable à la résilience de chaque organisation.
« Les directeurs financiers sont en bonne position pour apprécier les impacts opérationnels et financiers des cyber-risques, voire les impacts juridiques quand ils intègrent la fonction administrative. Ils sont donc en mesure d’arbitrer également rapidement quant aux investissements en sécurité IT et en couverture contre le risque cyber, trop peu courante chez nos adhérents à l’heure actuelle » souligne Bruno de Laigue.
« Dans un environnement technologique en constante évolution, les fraudeurs trouvent sans cesse de nouvelles techniques, toujours plus innovantes et efficaces. C’est pourquoi nous avons récemment lancé deux offres destinées à protéger les entreprises contre les fraudes internes, externes et cyber, avec une couverture des pertes directes et de certains frais consécutifs (atteinte au système de téléphonie, décryptage du ransomware, restauration et/ou décontamination des données) : EH Fraud Cover, qui s’adresse aux moyennes et grandes entreprises, et EH Fraud Reflex, une assurance 100% digitale, qui s’adresse aux petites entreprises . Face à un risque de fraude non maitrisable, associer la prévention à l’assurance est le meilleur moyen de se défendre », conclut Eric Lenoir, Président du Comité Exécutif d’Euler Hermes France.