Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Fraude et malveillance interne : la langue de bois prévaut !

juin 2009 par Emmanuelle Lamandé

Pour les plus alarmistes, 80% de la fraude et de la malveillance serait interne en entreprise. Ce phénomène de grande ampleur n’épargne aucun type d’entreprise, pourtant, aucune d’entre elles ne souhaite s’exprimer sur le sujet. Une langue de bois qui s’explique peut-être par la superstition, la culpabilité ou tout bonnement une absence totale de maîtrise en la matière. Un tabou mis en avant par le Clusif lors de sa dernière conférence. Heureusement, les experts étaient eux bel et bien présents pour nous parler de la fraude, sa détection et sa gestion.

La fraude interne est pourtant une réalité en entreprise. Les exemples ne manquent pas, constate Pascal Lointier, Président du Clusif :
- « Un employé de la Banque Populaire détourne 350.000 euros » (AFP, 20080228)
- « L’agent comptable d’un lycée condamné pour avoir détourné 640.000 euros » (AFP, 20080910)
- « Un employé de la HSBC écroué pour détournement de fonds de clients » [900k€] (AFP, 20090319)
- « Une employée de Cryospace Air Liquide détourne 13,5 millions d’euros » (AFP, 20090225)

Les modes opératoires de la fraude sont relativement simples. Il peut s’agir d’un « one shot » (un gros coup), de fraudes menées sur des actions répétitives de faible amplitude, du contournement d’une procédure ou encore la résultante d’un contrôle interne quasi inexistant.

La malveillance se retrouve également dans de nombreuses affaires, parmi elles :
- New Jersey, novembre 2008 : un fonds de pension décide de licencier une dizaine de personnes… dont l’administrateur réseau. Ce dernier installe plusieurs backdoors menace de les activer et de médiatiser l’affaire.
- San-Francisco, décembre 2008 : début du jugement pour l’informaticien qui avait saboté le réseau des feux de signalisations de la ville. Des centaines de milliers de dollars en plus des bouchons de circulation…
- Virginie, janvier 2009 : un ingénieur informatique employé chez FannyMae détruit par bombe logique 4.000 serveurs. Le préjudice se chiffre en millions de dollars.

En ce qui concerne la malveillance, les motivations sont variées mais le fraudeur se retrouve le plus souvent pris dans une spirale infernale. Le frein psychologique reste généralement minime, en raison de l’aspect « immatériel » de l’acte.

Que faire en entreprise pour prévenir la fraude et la malveillance ? Si les RSSI durcissent la politique de gestion des identités et des comptes, les employés risquent de l’interpréter comme une remise en question du degré de confiance au sein de l’entreprise. L’écueil culturel représente le frein majeur à la mise en place d’une telle politique.

Autre constat : 80% de la malveillance serait interne en entreprise, mais aucune société ne veut s’exprimer sur le thème. Pour quelles raisons ? Peut-être la superstition, la non maîtrise, voire la culpabilité pour les entreprises victimes. Ce blocage de la « communication » est certainement lié à la sécurité par l’obscurantisme qui prédominait auparavant, mais cette absence de communication n’est plus possible. Il faut donc que les RSSI et la direction de la communication se rapprochent. De plus, la fraude étant aujourd’hui informatisée, les RSSI doivent communiquer davantage avec le département d’audit interne.

La fraude représenterait, en 2008, 7% du CA en moyenne d’une entité

Francis Hounnongandji, Président ACFE, Chapitre France, a dressé, dans un premier temps, un état des lieux sur la fraude interne.

Qu’est-ce que la fraude interne ? Il s’agit de l’utilisation de son emploi à un profit personnel en détournant des actifs ou des ressources de son employeur.

Selon le rapport de l’ACFE sur la fraude interne 2008, une étude réactualisée tous les 2 ans par l’ACFE, le coût de la fraude serait en hausse continue. Elle représenterait, en 2008, 7% du CA en moyenne d’une entité, soit 2 points de plus qu’en 2006.

Selon l’enquête publiée en avril 2009 par l’ACFE sur l’impact de la récession sur la fraude interne :
- 55% des répondants estiment que la fraude est en hausse par rapport à l’année précédente et 49% estiment que son impact est également plus important.
- 88% prévoient une recrudescence des cas de fraude sur l’année à venir.
- 70% classent les détournements d’actifs provenant des employés comme les cas de fraudes les plus fréquents à venir.

Le détournement d’actifs serait, selon le rapport ACFE 2008, la fraude la plus courante, suivi de la corruption et de la manipulation des comptes. Néanmoins, le maquillage des comptes a un impact beaucoup plus important pour l’entreprise, car il implique généralement le top management. Le détournement d’actifs est, quant à lui, le plus souvent la résultante de petites actions émanant d’employés. Dans le calcul, il ne faut pas oublier que certains coûts sont immatériels et ne peuvent être estimés, comme l’impact sur l’image de l’entreprise (cf Société Générale), le temps consacrée par l’organisation à gérer la crise et qui détourne momentanément l’attention de la direction de la stratégie opérationnelle de l’entreprise. De plus, ce type de situation nourrit les rivalités internes et pousse certaines personnes à partir, ce qui entraîne la perte de compétences et d’informations qui vont généralement chez la concurrence, sans compter la démotivation des personnes en interne et les difficultés de recruter en raison de la stigmatisation de l’entreprise. Quand la confiance est tombée, c’est tout un système de ricochets qui s’ensuit dont les conséquences peuvent être dramatiques. C’est ce qui se passe en ce moment avec la crise financière.

Quels sont les moyens de détecter la fraude ? Selon la dernière étude de l’ACFE, la dénonciation reste le meilleur moyen de détecter la fraude (46,2%), suivi par le contrôle interne (23,3%), le hasard (20%), l’audit interne (19,4%), l’audit externe (9,1%), et enfin celles qui sont notifiées par la police (3,2%). A ce sujet, il existe une asymétrie d’informations entre les « gardiens du temple » ((contrôleurs internes, externes, auditeurs, organismes de surveillance, etc) et ceux qu’ils sont censés surveiller (parfois des gens plus expérimentés et plus puissants).dans cette équation, la balance est à l’avantage des fraudeurs. Même en cas de détection, il n’est pas toujours facile de dénoncer une fraude en raison des pressions subies.

Quelles sont les causes sources de la fraude ? La faiblesse du contrôle interne, une culture permissive, le contournement des contrôles existants, la pression du marché sur le management, surtout en période de crise, etc. Le passage à l’acte a plus de risque de se faire si trois conditions sont réunies : une opportunité, une pression et une capacité d’autojustification. La fraude se fait le plus souvent par opportunité. Elle concerne surtout les personnes qui se sentent lésées, celles qui vont quitter l’entreprise mécontentes, et celles dont la loyauté à l’organisation est faible.

Plus la pression augmente, plus les objectifs des acteurs économiques deviennent irréalistes, les faiblesses des systèmes de contrôle interne s’accentuent, la loyauté entre les personnes et les organisations diminue, les moyens alloués pour lutter contre la fraude aussi. C’est le déterminisme économique qui prime aujourd’hui.

Lors des révélations de cas avérés de fraude, souvent l’entreprise est stigmatisée, jugée, c’est pourquoi il est nécessaire de travailler en amont pour bien préparer la communication et la gestion des cas de fraude.

Le Surmoi : le barrage anti-fraude

La fraude n’apparaît avant tout que dans l’esprit d’une seule personne, souligne Estelle Dossin, psychologue clinicienne, Ministère de l’Intérieur, DFPN. Que se passe-t-il dans la tête d’une personne qui va voler ? De quelle manière intégrons-nous les notions de vol et d’interdit ? Pour le savoir, il faut remonter dans le psychisme. Pendant l’enfance, le complexe d’Œdipe se résout par l’interdit universel de l’inceste. C’est à ce moment que le Surmoi se crée, une instance psychique qui va déterminer les limites, permettre ou interdire. L’interdit représente la digue de contention qui contient la pulsion, la tentation. Cette digue va être plus ou moins forte selon les individus. Certains Surmoi sont mal constitués. Quand on est mal « Surmoisé », ça passe au travers.

Estelle Dossin distingue 4 types de fraudeurs :
- Le vengeur : il va utiliser l’acte frauduleux comme moyen de vengeance. Son Surmoi n’est pas bien fabriqué et inefficace. Le vengeur n’est pas dangereux tant qu’on ne l’embête pas. Ce sujet hypersusceptible fait preuve d’une fragilité narcissique, est sensible à la critique et observe des difficultés dans ses relations interpersonnelles. En entreprise, si l’exigence est trop forte, il aura une mauvaise réaction, se sentira menacé et donc répliquera, avec pour objectif d’atteindre l’employeur. C’est un profil difficile à prévenir car lorsque tout va bien, il n’y a pas de problème. Pour essayer d’anticiper ce type d’acte, il est important d’observer au préalable la résistance au stress et à la frustration d’un employé.
- Le malveillant : il utilise l’acte frauduleux comme acte de malveillance délibérée. C’est le plus dangereux car sa malveillance est agie, sans le moindre scrupule. Sa motivation va être sa propre jouissance. Il n’a pas de Surmoi et ne répond qu’à sa propre loi. Le malveillant opère par sa rage de réussir, à n’importe quel prix. Il s’agit de fraude mégalomaniaque délirante. Son objectif va être d’accéder au poste le plus élevé de la hiérarchie. Néanmoins, de prime abord, il apparaît sympathique, affable. Il va agir par séduction et manipulation mentale. C’est le premier à vouloir enquêter en cas de fraude, pour lui, c’est le top de la toute puissance. Le malveillant ne se vexe pas mais il éclate dans des colères très fortes. Il est difficilement décelable, à par au moment du recrutement (tests psychologiques). Et quand bien même, vous ne vous en débarrasserez pas facilement. Ils sont très procéduriers et font preuve d’un déni total de responsabilité dans quoi que ce soit.
- Le fraudeur occasionnel et/ou fraudeur économique par nécessité : en ce qui concerne le fraudeur occasionnel, c’est l’occasion qui va faire surgir la pulsion. Le plus souvent, la fraude est mineure, mais c’est problématique quand vous avez plusieurs employés à faire la même chose. L’acte n’est pas vraiment culpabilisé car la personne est convaincue que ce n’est pas si grave. Le danger pour l’entreprise, c’est la contagion. Contre ce type de phénomène, la vidéosurveillance peut peut-être dissuader un peu. Pour ce qui est du fraudeur économique par nécessité, c’est la peur du manque qui agit. La malversation se fera dans l’objectif d’avoir un peu d’argent. La personne va rationaliser son acte (« mon enfant en a besoin »,…) et, ainsi, se déculpabiliser. Le problème pour l’entreprise sera également la propagation et le nombre de personnes à le faire.
- Le cybercriminel et cyberfraudeur : c’est un profil particulier, puisque ce n’est pas son organisation psychique qui détermine son passage à l’acte. Il a des connaissances poussées en informatique et est conscient de sa maîtrise. Il cible une niche qui se caractérise par son ignorance en la matière. L’attaque est rentable puisque l’effort est moindre. Le cyberfraudeur ne culpabilise pas, car la victime se trouve à distance ; il n’a donc pas conscience de la gravité des faits. La victime n’a pas de visage, pas d’identité. En outre, le risque légal n’est pas beaucoup plus important que le risque moral. Et même s’ils sont arrêtés, les hackers sont positionnés dans un paradoxe. Un cyberenquêteur et un cybercriminel ont les « mêmes » compétences, ce qui implique une certaine admiration et maintient le criminel dans son exploit. Un cybercriminel agit uniquement dans la sphère informatique. Il n’ira jamais voler un sac à main.

La fraude est peu ou pas prévisible. Les motivations et les profils sont très variables. La prévention s’avère donc difficile. Pour Estelle Dossin, le recrutement psychologique est très important puisqu’il permet de déterminer la qualité de l’impulsion et la gestion du stress. Le management humain est également fondamental. Il est nécessaire de valoriser le travail, la communication en interne et de faire preuve de reconnaissance. Etre ouvert, c’est appréhender les personnes avec qui l’on travaille. Pour former et informer le personnel sur la fraude, mieux vaut faire appel à des personnes extérieures à l’entreprise.

Comment peut-on réagir d’un point de vue juridique en cas de fraude et de malveillance ?

Blandine Poidevin, Avocat au barreau de Lille et Paris, Jurisexpert, reçoit le plus souvent dans son cabinet des personnes victimes de profils vengeurs, qui ont commis une multitude de petits actes frauduleux (perte d’un PC, effacement des données sensibles, …). Comment peut-on réagir d’un point de vue juridique en cas de fraude et de malveillance ?

Tout d’abord, la plainte pénale : elle peut relever d’un cas de vol, d’escroquerie, d’intrusion dans un système d’information, de contrefaçon, … Cependant, le dépôt de plainte s’inscrit dans un délai d’enregistrement de trois mois, sauf en cas d’infractions de presse.‏ Il est donc important de faire attention aux délais de prescription en vigueur. Dans une problématique de preuve, afin de prouver la mise en cause de telle personne, ce délai peut s’avérer problématique. C’est pourquoi, vous pouvez si nécessaire lancer une procédure d’ordonnance sur requête. En référence au décret du 24 mars 2006 sur la « conservation des données relatives au trafic », vous pouvez demander la communication des informations détenues par les FAI, opérateurs de téléphonie fixe et mobile, hébergeurs, éditeurs de forums, …, si elles s’inscrivent dans le cadre de la durée de conservation, qui est d’un an maximum.

Dans le cadre de la constitution des preuves, on peut également recourir à un constat d’huissier, car souvent la preuve est présente dans l’entreprise. Il s’agit d’une simple constatation matérielle. Pour que le constat d’huissier (TGI Nanterre, 24 mai 2000) soit valable, il doit être fait dans les règles : l’ordinateur ne doit pas être en réseau, la mémoire cache de l’ordinateur doit être vidée et les fichiers Internet temporaires, cookies, historique des navigateurs effacés. L’adresse IP du site consulté doit être vérifiée, ainsi que la connexion à un serveur Proxy. L’huissier doit décrire le cheminement de la page d’accueil du site jusqu’à la page litigieuse. En outre, depuis 2003, le constat doit se faire à partir d’un ordinateur situé dans les locaux de l’huissier. Si l’ensemble de ces éléments n’est pas respecté, le constat d’huissier sera nul. Il ne s’agit pas de constituer une preuve technique mais une preuve juridique.

Certains contrôles peuvent également être effectués sur le poste du salarié, dans la mesure où les salariés sont informés au préalable des dispositifs de contrôle mis en œuvre. A ce sujet, il est parfois difficile de trouver l’équilibre entre le contrôle des salariés et le respect de leurs droits, la jurisprudence évoluant régulièrement en la matière (Arrêt Nikon 2001, Arrêt Cathnet 17 mai 2005, Cass. Soc. 9 juillet 2008). Pour éviter ce type d’incident, la charte informatique et son contenu apparaissent essentiels pour l’entreprise. En effet, Cass. Soc. 21 décembre 2006 : « constitue une faute grave le fait pour un salarié de se connecter sur le poste informatique du directeur de la société, par emprunt du mot de passe d’un autre salarié. Comportement contraire à l’obligation posée dans la charte informatique en vigueur dans l’entreprise ». Le jugement aurait été autre s’il n’y avait pas eu de charte informatique.

Le rôle de l’administrateur réseau doit également y être clairement défini. Les administrateurs réseau assurent le fonctionnement normal et la sécurité du système informatique, ont accès à des informations personnelles relatives aux utilisateurs (messageries, logs de connexion, etc.). Mais s’interdisent toute divulgation d’informations connues dans le cadre de leur mission (vie privée, secret correspondances), dès lors qu’elles ne remettent pas en cause le fonctionnement technique ou la sécurité des applications, ou l’intérêt de l’employeur. L’obligation de confidentialité doit être rappelée dans le contrat de travail et la charte informatique.

Parmi les perspectives futures, un projet de loi « sécurité intérieure » a été présenté le 27 mai dernier. De plus en plus de problèmes en entreprise sont liés à des cas d’usurpation d’identité. Il s’agit par exemple d’envois de messages ridicules, diffamants, pornographiques utilisant l’identité de quelqu’un, généralement de l’employeur, à destination des clients. Ce projet de loi prévoit la création d’un délit d’usurpation d’identité sur Internet qui pourra être réprimé pour préjudice moral même en l’absence de dommage financier. Il devrait également donner la possibilité aux entreprises de mettre en place des systèmes de vidéosurveillance pour prévenir les atteintes aux biens dans des lieux particulièrement exposés même s’ils ne sont pas particulièrement menacés par des actes de terrorisme.

La fraude et la malveillance sont des risques assurables

Lorsqu’une fraude arrive, il existe un moyen de récupérer une partie des pertes que subira l’entreprise, même si l’auteur de la fraude n’est pas identifié : l’assurance. En effet, souligne Luc Vignancour, Directeur de Marsh MC, la fraude ou malveillance est un risque assurable car sa réalisation est indépendante de la volonté de l’assuré et son impact est mesurable et quantifiable. Il est nécessaire de connaître les critères utilisés par l’assureur pour qualifier son risque dans un contrat d’assureur.

L’assurance va s’organiser autour de deux types de garantie :
- le risque de fraude (détournement de fonds et/ou de biens)
- le risque de malveillance (action qui perturbe le bon fonctionnement de l’entreprise).

Comme tout sinistre, la fraude est définie par des faits générateurs (causes) et des impacts (conséquences). Parmi les principales causes, on retrouve l’escroquerie, l’abus de confiance, les faux et usage de faux, le vol, … Pour ce qui est des conséquences, la perte va se matérialiser par la perte financière dont l’assuré était propriétaire. L’expertise s’articule principalement autour de l’analyse des documents comptables pour déterminer le montant de la perte. Toutes les fraudes commises par le même auteur seront considérées comme faisant partie du même sinistre.

Dans un contrat d’assurance fraude, interviennent aussi d’autres notions importantes :
- La notion de profit : certains contrats ne couvrent la fraude que si l’auteur ou l’un de ses complices en a tiré un profit personnel.
- La notion d’auteur : les conditions de garantie (ou d’exclusion) diffèrent selon que l’auteur est un employé ou un tiers.
- La notion de pertes directes : le contrat a pour objet de couvrir les pertes de l’Assuré et non les pertes que fait subir l’assuré à un Tiers (Dommage vs Responsabilité).
- La notion de délai de découverte : généralement la fraude doit être découverte dans les 5 années suivant sa réalisation pour prétendre à une couverture.

Certaines fraudes ne sont pas couvertes, parmi elles, les fraudes commises par les dirigeants ou mandataires des entreprises, celles commises par un employé récidiviste ou lors de la délivrance d’un crédit, celles dont le mécanisme ne peut pas être démontré, ou encore les fraudes commises au cours d’opérations sur les marchés. Dans tous les cas, c’est à l’Assuré de démontrer qu’il est victime d’un sinistre et qu’il a subi une perte (présentation de documents comptables,...). Il devra identifié le mécanisme utilisé : logs informatiques, copie de documents falsifiés,... De plus, la garantie ne marchera que si vous avez un dépôt de plainte.

En ce qui concerne la malveillance, les causes sont généralement peu précises. On parle généralement « d’actes de malveillance ». Ceux-ci peuvent faire référence à l’article du code pénal relatif aux atteintes aux systèmes de traitement automatisé de données. Pour être assurables, les impacts doivent être quantifiables en monnaie, ce qui n’est pas évident quand on parle de disponibilité, d’intégrité, de confidentialité et de traçabilité. Pour quantifier un acte de malveillance, on regarde les frais engagés par l’entreprise pour réparer la malveillance et maintenir son activité économique. L’assurance permet donc de transférer chez un assureur les pertes supportées et les coûts engagés. Cependant, la quantification de ces pertes doit être faite par l’entreprise sinon il n’y a pas d’assurance possible.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants