Les fraudes à la commande et au paiement augmentent

Le faux patron a de la concurrence. Outre l'escroquerie au "faux président", ce sont surtout la fraude à la commande ("Fake Identity") et la fraude au paiement ("Payment Diversion") qui ont gagné du terrain ces dernières années. Selon les analyses de l'assureur-crédit Euler Hermes, ces trois délits de tromperie ont entraîné depuis 2014 des dommages d'un montant total de plus de 190 millions d'euros, surtout pour les entreprises en Allemagne, en Suisse et en Autriche. En 2018, le nombre de cas a fortement augmenté par rapport à l'année précédente, avec +35%, notamment pour la fraude à la commande et +24% pour la fraude au paiement.

Des montants plus petits, mais plus simples

"Pour les fraudeurs, les deux types d'escroquerie que sont la fraude à la commande et la fraude au paiement ont tout leur intérêt", explique Stefan Ruf, CEO d'Euler Hermes Suisse. "Les deux sont beaucoup plus faciles à mettre en œuvre que les faux présidents". Une escroquerie au faux président exige une planification stratégique relativement importante ainsi qu'une préparation qui prend du temps, par exemple pour espionner les habitudes. En outre, les auteurs doivent être aptes à l'"ingénierie sociale" pour inciter les collaborateurs à effectuer les paiements souhaités tout en gardant cela secret. "Mais pour détourner des flux de paiement ou indiquer une adresse de livraison différente, il suffit généralement d'un bref e-mail", explique Ruf. "Les montants sont certes généralement moins élevés, mais cela se fait en un clin d'œil - même pour plusieurs entreprises à la fois. Les chiffres sont ici éloquents".

L'escroquerie n'est généralement découverte qu'au moment de la mise en demeure : les auteurs et le butin sont partis depuis longtemps

Dans le cas de la fraude à la commande, les pirates informatiques se font passer pour des clients. Ils déclenchent une commande et indiquent ensuite par e-mail une adresse de livraison différente pour une commande. Par exemple, des chaussures sont commandées pour un bâtiment vide, la facture est adressée au client existant. Comme ce dernier n'a jamais commandé la marchandise et surtout ne l'a pas reçue, il ne paie pas la facture.

"En règle générale, la fraude n'est révélée qu'au moment de la relance, c'est-à-dire plusieurs semaines plus tard, selon le délai de paiement. Mais à ce moment-là, les escrocs sont déjà partis depuis longtemps avec leur butin", explique Rüdiger Kirsch, expert en fraude chez Euler Hermes. "Le nombre de cas pour ces deux délits de tromperie a fortement augmenté ces derniers temps. Ils font ainsi lentement mais sûrement concurrence à leur 'grand frère', le faux président".

Fraude au piratage informatique : un cas pour l'assurance contre les abus de confiance

Les marchandises ou l'argent ont disparu et, dans le pire des cas, le bilan est ruiné - généralement même si l'entreprise dispose d'une cyberassurance ou d'une assurance-crédit marchandises. "Une assurance-crédit marchandises assure contre les défauts de paiement des acheteurs - mais uniquement pour les entreprises réelles, si elles sont par exemple insolvables. Mais je ne peux pas avoir de limite d'assurance sur un fraudeur", explique Kirsch, "donc si une fraude est à l'origine et qu'un pirate informatique se fait passer pour une entreprise, fait livrer la marchandise à une autre adresse et qu'il en résulte un dommage financier, ce n'est pas un cas pour l'assurance crédit marchandises régulière, mais pour une assurance contre les abus de confiance (ACA). D'ailleurs, une cyberassurance ne paie généralement pas non plus dans de tels cas de fraude par des pirates informatiques".

La cyberassurance ne suffit pas

En règle générale, les cyberassurances comprennent principalement des modules de protection contre les risques de responsabilité civile ainsi que contre les dommages résultant d'une interruption d'activité due à une cyberattaque ou encore contre les dommages dus à une mauvaise manipulation par négligence. Des services d'assistance étendus, en cas de risques de réputation ou, par exemple, pour la restauration rapide de l'infrastructure informatique ou de la boutique en ligne après une cyberattaque, sont également des éléments importants, avec des modules d'assurance de protection juridique et d'assurance D&O. Les actes criminels ne sont couverts - si tant est qu'ils le soient - que dans une très faible proportion.

L'assurance contre les abus de confiance assure en revanche en premier lieu contre les actes criminels ciblés contre une entreprise. Les actes illicites tels que l'escroquerie ou le détournement de fonds par les propres collaborateurs de l'entreprise ou par des tiers externes - notamment des pirates informatiques - sont au premier plan de l'ASG. En conséquence, les dommages financiers causés par un faux président, une fraude à la commande ou au paiement sont assurés, tout comme le phishing, le keylogging ou l'"homme du milieu" et l'"homme du cloud".

Aperçu des types d'escroquerie et de leurs modes opératoires

• Fake President / Fraude de chef : Usurpation d'identité : l'escroc se fait passer pour le PDG d'une entreprise et incite les collaborateurs (généralement par e-mail, parfois aussi par téléphone) à effectuer des paiements au moyen de l'"ingénierie sociale" (par exemple en leur témoignant une estime particulière et en leur imposant une stricte confidentialité et des pressions), généralement pour des achats d'entreprises à l'étranger déclarés très urgents et strictement confidentiels.
• Fausse identité / fraude à la commande : Simulation d'une fausse identité : le fraudeur se fait passer pour un client (souvent existant) commande des marchandises et les fait ensuite envoyer à une adresse de livraison différente.
• Payment Diversion / Fraude au paiement : Usurpation d'identité : le fraudeur se fait passer pour un fournisseur et donne des coordonnées bancaires différentes pour le paiement de la livraison déjà effectuée.
• Hameçonnage : L'escroc envoie des e-mails falsifiés aux collaborateurs d'une entreprise sur des sujets réels. L'objectif est d'introduire des chevaux de Troie ou des enregistreurs de frappe via le lien contenu dans l'e-mail afin d'accéder à des données sensibles de l'entreprise.
• Enregistrement de frappe : L'escroc introduit dans le système un logiciel qui enregistre et stocke les données de connexion et les mots de passe, par exemple des données de compte, des accès au cloud, au serveur, etc.
• Man in the middle : Le fraudeur s'introduit dans la communication entre deux partenaires de communication et a ainsi accès au trafic de données. Il peut voir ces données et les manipuler à sa guise à des fins personnelles.
• Man in the cloud : L'escroc pirate un cloud dans lequel sont stockées des données d'entreprise (par exemple par enregistrement de frappe) et peut consulter ces données et les manipuler ou les supprimer à volonté ou y introduire des logiciels malveillants.

Source et informations complémentaires : Euler Hermes