Le mode opératoire de la fraude au dirigeant
Le plus souvent, un premier individu se fait passer pour le dirigeant/président en personne. Il prend contact par e-mail ou par téléphone avec un collaborateur disposant de pouvoirs de validation d’ordres de virements (comptable, service financier,...).
Prétextant une affaire de la plus haute importance (achat d’entreprise, contrôle fiscal...), il réclame la plus grande discrétion (même s’ils se croisent, l’affaire ne doit jamais être évoquée oralement) et indique qu’un avocat prendra contact avec lui.
Souvent, les escrocs demandent au collaborateur un numéro de téléphone privé pour poursuivre les échanges.
Un second individu entre alors dans les échanges, se faisant passer pour l’avocat (parfois expert-comptable, commissaire aux comptes), appuyant sur l’urgence de la situation et la confidentialité de l’opération. L’escroc demande par exemple à ce que l’affaire ne soit « jamais évoquée oralement avec le dirigeant/président ».
L’usage de la flatterie « nous avons confiance dans votre discrétion » ou de l’intimidation « ne nous décevez pas, cette affaire est de la plus haute importance » finit de convaincre le collaborateur d’effectuer la demande.
Les escrocs font alors exécuter des virements au collaborateur, souvent vers de nouvelles destinations.
Comment est-ce possible ?
L’erreur à ne pas commettre serait de penser que cela ne peut pas se produire dans votre entreprise. Ce type de fraude est préparé avec minutie :
- Le nom et l’adresse mail du dirigeant d’une société sont détournés par des escrocs.
- L’individu N°1, qui se fait passer pour le dirigeant/président lui-même, peut parfaitement imiter la voix du véritable dirigeant (deepfake).
- Les escrocs peuvent utiliser un service d’appels dématérialisés et peuvent afficher un faux numéro de téléphone (phone spoofing) ou utiliser de faux comptes WhatsApp avec les photos des vrais dirigeants.
Et surtout, ils connaissent énormément de choses sur l’entreprise (organigrammes, chiffres-clés...), grâce à un important travail de recherche en amont.
Comment prévenir la fraude au dirigeant/président ?
Sensibilisez régulièrement vos collaborateurs potentiellement exposés :
- Informez-les sur le mode opératoire des fraudeurs
- Donnez-leur des consignes claires sur les procédures de virements
- Séparez les pouvoirs de saisie et de validation
- Prévoyez un système d’identification et d’authentification par personne
- Rappelez-leur que jamais ils n’auront à effectuer un paiement hors procédure
- Bannissez les ordres et validations par fax. Il est trop facile de contrefaire une signature
- Demandez-leur de vérifier les adresses e-mail : celles qui sont utilisées par les fraudeurs ressemblent souvent aux vraies à quelques détails près : un point au lieu d’un tiret, l’ajout ou le retrait d’une lettre ou d’un chiffre, l’absence du nom de domaine après @.