Escroqueries par faux ordres de virements internationaux

Suivre l'actualité de la CCI Essonne ACTUALITE
Sécurité
Adoptez des mesures préventives !
aleutie-Fotolia
Plusieurs centaines d’escroqueries dites aux faux ordres de virement, œuvre de groupes criminels internationaux parfaitement organisés, ont été recensées sur l'ensemble du territoire national, avec des actions ciblant l'ensemble du tissu économique (de la PME/TPE à la multinationale) pour des préjudices allant de quelques milliers d’euros à plusieurs millions d'euros.
 
En Essonne, plusieurs faits, restés à l'état de tentative ont été recensés depuis le début de l'année 2016. Constante dans ces actions frauduleuses : elles sont quasiment systématiquement précédées d'une phase dite d'ingénierie sociale, qui consiste à collecter et traiter de l’information sur la société ciblée (ces opérations se réalisant par de nombreux canaux, principalement les renseignements accessibles en source ouverte sur Internet et les informations légales disponibles sur les sites dédiés). Après analyse du résultat des informations ainsi recueillies, les escrocs ont mis en place différents modes opératoires dont la finalité reste la même : obtenir un virement de fonds à destination d'un compte préalablement ouvert à l'étranger. Les principaux modus operandi : l'escroquerie dite ‘’au faux président’’, l'escroquerie dite ’’au SEPA’’, l'escroquerie par envoi d'un faux ordre de virement international, l'escroquerie par changement d' IBAN  (ou RIB) d'un fournisseur ou sous-traitant. 
 
Dès qu'il a connaissance de l'escroquerie, le chef d'entreprise doit contacter d'urgence le responsable de l'établissement bancaire, teneur du compte d'où les fonds ont été virés, afin que celui-ci actionne tout aussi rapidement les services nationaux de sa banque (direction de la conformité ou compliance, service de lutte anti-blanchiment, …) qui devront actionner tout les leviers des relations interbancaires pour au mieux annuler le virement frauduleux, le ralentir ou faire en sorte que les fonds soient bloqués sur le premier compte de  destination (appelé «compte de rebond»), où ils ne restent en principe que quelques heures.
 
Quelques recommandations de la Brigade départementale de renseignements et d'investigations judiciaires (BDRIJ) d’Evry à titre préventif
 
• Sécuriser les procédures pour les virements non automatiques
Les escroqueries aux faux ordres de virement (ou leurs tentatives) identifiées concernent des virements significatifs et non-récurrents (virements manuels) dont il convient de sécuriser les procédures au maximum. Ainsi, il semble essentiel de respecter et faire respecter dans l'entreprise des règles strictes de contrôle interne : nombre de personnes pouvant ordonner des virements manuels limités au strict nécessaire (un simple comptable ou salarié ne doit pas pouvoir ordonner un tel virement), séparation des tâches entre celui qui prépare le virement, celui qui l'ordonne et le cas échéant de celui qui l’exécute, mise en place d'une procédure de double signature pour les virements au-delà d'un certain montant ou lorsque le pays de destination des fonds est inhabituel ou atypique), renforcement de l'efficacité des procédures d'urgence et les relations avec les banques partenaires de l'entreprise.
 
• Contrôler l'information donnée sur la société
Face à la phase d’ingénierie sociale, il est recommandé de revoir et de sécuriser au mieux l'accès aux informations sur la société.  Ainsi, il est préconisé de sécuriser les systèmes d'information notamment sur Internet, de s'interroger sur l'information légale de la société et de maîtriser l'information donnée au marché, pour les sociétés les plus importantes.
 
• Sensibiliser et former le personnel
L'ensemble des collaborateurs de l'entreprise doivent être informés et sensibilisés à ce type de fraude. Ils pourront ainsi être informés des différents modes opératoires en ayant pleinement conscience que les escrocs, lorsqu'ils passent à l'action, ont une excellente connaissance de l'entreprise, de ses activités, de son fonctionnement et de son organigramme. Ils peuvent également être sensibilisés au fait que lorsque le contact est établi par les escrocs (qui se font alors passer pour un dirigeant ou un de ses conseils) avec le salarié (que ce soit par téléphone ou courriel), la flatterie, l'intimidation/ la menace ou le chantage sont fréquemment utilisés selon les  réactions de l'employé.