Avec le développement technologique, le nombre des cyberattaques a augmenté considérablement. Si les entreprises multiplient les efforts pour favoriser la sécurité de leurs systèmes informatiques, la plus grosse faille réside dans le personnel se retrouvant derrière leurs PC. L’arnaque au président est une escroquerie de grande taille visant le personnel de l’entreprise.
De plus en plus courante depuis 2010, on compte 250 millions d’euros de gains pour les arnaqueurs. Des entreprises de tailles différentes ont dû subir des pertes de quelques millions d’euros allant même jusqu’à la liquidation judiciaire.
Qu’est-ce que la fraude au président ou escroquerie aux faux ordres de virements ?
L’arnaque, ou fraude au président, consiste à usurper l’identité d’une personne importante d’une entreprise afin de récupérer de l’argent.
En effet, le fraudeur se fait passer pour le PDG de l’entreprise et contacte le comptable ou bien le secrétariat en demandant d’urgence un virement sur un RIB. La manipulation mentale se joue ici car l’escroc est bien informé et instaure un climat d’urgence, ce qui ne laisse pas le temps de réfléchir pour la personne au bout du fil. Lors de l’échange téléphonique, l’escroc va prétexter un important contrat qui nécessite un virement, ou encore un investissement, un rachat…
Comme tous les arnaqueurs de la finance, ces derniers maitrisent l’art de la manipulation. Il choisit comme première cible la personne la plus fragile (maillon faible), l’isole en lui demandant d’envoyer des sommes en toute confidentialité, la mets sous la pression du temps (c’est urgent etc.). Et avec une dose de flatterie, le tour est joué.
Se prémunir de la fraude au président en entreprise
Il ne faut pas croire qu’on est à l’abri d’une telle situation. Des groupes géants comme le Groupe Michelin et même les experts en audit et en comptabilité (le groupe KPMG) ont subi cette fraude avec des pertes respectives de 1.6 Millions d’euros et 7.6 Millions d’euros. Le promoteur immobilier Sefri Cime s’est fait escroquer 33 Millions d’euros. Les sommes sont colossales.
Afin de bien avertir leurs collaborateurs, les entreprises doivent mettre en place différents moyens de prévention :
- Faire des séminaires autour du risque de la fraude au président, plus particulièrement pour l'ensemble des employés des services comptable, trésorerie, secrétariat, standard.
- Prendre l’habitude de former les nouveaux employés, les intérimaires ou même les stagiaires
- Envoi de faux mails de phishing pour tester les collaborateurs et les sensibiliser aux différentes fraudes
- Instaurer plus de procédures de sécurité pour les virements importants
- Mettre à jour régulièrement le système de sécurité informatique
Par ailleurs, le doute doit s’installer quand :
- il s’agit d’une demande de virement à l'international, non planifiée, urgente et confidentielle : dans ce cas, contacter l’interlocuteur habituel avec les coordonnées connues de la société ;
- il s’agit d’un changement de coordonnées téléphoniques ou mails ;
- il y a usage de la menace (perte du poste par exemple).
Les cas où l’entreprise victime a pu engager la responsabilité de la banque afin de se faire indemniser
Plusieurs jurisprudences démontrent que la banque peut être accusée d’avoir manqué à ses obligations lors d’une fraude au président.
Prenons deux exemples de jurisprudences où la banque a manqué à son obligation de sécurité.
Jurisprudence 1 : Cour d'appel, Paris, Pôle 5, chambre 6, 19 février 2015 – n° 13/21614
Barklays Bank (Ci-après la « Banque ») a exécuté un ordre de paiement initié par une personne se faisant passer pour son client. La cour d’appel avait décidé que la Banque a commis une faute, la signature était scannée mais laissait apparaitre des points qui n’apparaissaient pas sur le reste du document, le mail comportait des fautes d’orthographe, le numéro de compte n’était pas identifié par son IBAN à la différence du compte à créditer etc.
De même, il revient à la Banque de prouver qu’elle avait satisfait à son obligation d’authentification. N’ayant pas rapporté cette preuve, la Banque engage sa responsabilité. La cour rend sa décision en application de l’article en application de l'article 1937 du code civil, « le dépositaire ne doit restituer la chose déposée, qu'à celui qui la lui a confiée, ou à celui au nom duquel le dépôt a été fait, ou à celui qui a été indiqué pour le recevoir ».
Jurisprudence 2 : T. com. Paris, 6e ch., 30 oct. 2014, n° 2013075398, SAS Etna Industrie c/ CIC
L’arnaqueur cible la chef du service administratif supervisant la comptabilité et le personnel. Or cette dernière n’avait jamais procuration sur le compte. Certains documents ont été mis à la disposition de la banque (le formulaire de procuration, un document intitulé « fichiers signatures ») etc. qui prouvent qu’elle n’était pas habilitée à initier des paiements.
La banque devait exécuter un premier ordre de paiement mais a reçu un deuxième mail qui annule et remplace le premier avec la mention « C.G » qui faisait référence à la présidente de la société. La Banque s’est contentée d’appeler la salariée cible sans autre vérification. La présidente, dès lors qu’elle a pris connaissance des faits, a appelé la Banque pour l’avertir d’une fraude et demander la restitution des sommes.
La cour a jugé que la société n’avait pas commis de faute : la salariée était victime d’une escroquerie habilement réalisée, et la présidente a réagi immédiatement dès lors qu’elle a pris connaissance des virements litigieux. En l’occurrence, l’opération n’était pas autorisée car elle était initiée par une personne non habilitée à donner des ordres de virement. En application de L.133-18, la banque doit restituer les sommes débitées.
Par conséquent si votre entreprise est victime d’une arnaque au président, il est recommandé d’en avertir tout de suite votre banque et de faire appel à un avocat pour vous accompagner dans les démarches afin de vous faire indemniser au plus vite !
Dossier complet répondant à mes questions