StoïkBlogCyberattaque

La fraude au président : fausse identité, vraie arnaque

Sarah Pineau
Dernière mise à jour :

Egalement connue sous le terme de FOVI pour Faux Ordres de Virement Internationaux, la fraude au président désigne le fait pour une entreprise, et plus particulièrement pour son service comptable, d'être contacté par un escroc qui prétend être le PDG ou son plus proche conseiller, et obtenir ainsi un virement bancaire indu sur des comptes étrangers et portant la plupart du temps sur des sommes importantes.

fraude au président FOVI

La fraude au président, de quoi parle-t-on ?

Comment se déroule la fraude au président ?

Généralement, le fraudeur profite des congés du responsable financier et s’adresse à ses subordonnés en prétextant la signature urgente d’un contrat stratégique qui nécessite un virement bancaire immédiat et une discrétion absolue sous peine de perdre le marché. Ainsi trompées et soumises à une forte pression psychologique, les personnes contactées s’exécutent, persuadées de bien faire.

Une cyber-arnaque en hausse depuis la crise sanitaire

Identifiée à la fin des années 2000, cette cyberarnaque a connu un regain à la faveur de la crise sanitaire (la Tribune, « Fraude au président : la crise sanitaire a déclenché une nouvelle vague d’attaques », janvier 2021). En effet avec le télétravail, la suspicion vis-à-vis d’un ordre reçu par téléphone ou par e-mail a fortement baissé : le spear phishing (hameçonnage ciblé) a particulièrement été utilisé, notamment à l’encontre des entreprises fournissant du matériel médical, « victimes faciles », compte tenu de la hausse considérable des commandes durant cette période.

Bon à savoir
Les fraudes par usurpation d’identité se sont multipliées sur les trois dernières années ; parmi elles 55% étaient des fraudes au président.‍

Les TPE x PME, nouvelles victimes du FOVI

Une cyber-arnaque qui vise particulièrement les entreprises de taille moyenne

Depuis quelques années, les TPE/PME sont l'objet de toutes les attentions des escroqueurs. En effet, puisqu'elles consacrent souvent moins de budget à leur sécurité informatique, il est plus facile de pénétrer leur système via la technique du phishing.

Par ailleurs, dans ces entreprises à la culture familiale où la confiance est le maître mot, la vérification auprès de la direction du bien-fondé de la demande de virement, n'est pas toujours un réflexe. 

Enfin, pour des raisons d'image et de réputation aisément compréhensibles, les groupes victimes de cette cyber-arnaque sont réticents à communiquer sur leur mésaventure, ce qui retarde la prise de conscience commune du risque et le partage des bonnes pratiques.

cyberarnaque entreprise

Des pertes conséquentes pouvant dépasser le million d’euros

En moyenne, un tiers des entreprises victimes de la fraude au président enregistrent une perte supérieure à 10 000 euros. En 2014, la startup Legalstart qui accompagne les TPE/PME dans leurs démarches juridiques et administratives s'est ainsi vue délester de 40 000 euros. Alors qu'elle venait tout juste de débuter son activité, cette fraude au président aurait pu lui être fatale. 

C'est par exemple ce qui est arrivé en 2016 à BRM mobilier, société spécialisée dans l'aménagement de médiathèques et bibliothèques. Située dans les Deux-Sèvres et employant 44 salariés, l'entreprise victime d'un FOVI pour un montant total d'1,6 millions d'euros n'a pu absorber le choc financier et a été placée en liquidation judiciaire.

A noter que début 2022 un "nouveau record" a été battu en matière de fraude au président : 33 millions d'euros perdus par le promoteur immobilier Sefri Cime.

Bon à savoir
70% des PME victimes d'un grave incident de sécurité - fraude au président par exemple - déposent le bilan dans les 3 ans qui suivent (source : étude du CESIN - Club des Experts pour la Sécurité Informatique)

Que dit la loi sur la fraude au président ?

Une évolution jurisprudentielle favorable aux dirigeants

Jusqu’à récemment, la jurisprudence retenait une responsabilité partagée entre l’entreprise et la banque. Mais, depuis quelques années, considérant que le « succès » de cette cyber-arnaque devait avoir pour corollaire une vigilance plus importante des établissements bancaires, elle tend à retenir la responsabilité exclusive de ceux-ci en cas de fraude. 

Références réglementaires : la responsabilité de l’établissement bancaire et du titulaire du compte

Deux textes justifient cette posture, comme le rappelle la note d’analyse du cabinet LexCase sur le sujet (« Contentieux commercial, fraude au président : quels recours ? ») :

  1. le code civil ; les établissements bancaires ont une responsabilité en qualité de dépositaire des fonds qui leurs sont remis et ne doivent « restituer la chose déposée qu’à celui qui la lui a confiée ou à celui au nom duquel le dépôt a été fait ou à celui qui a été indiquée pour le recevoir » (article 1937).
  2. le code monétaire et financier qui rappelle que toute opération de paiement doit être autorisée par le titulaire du compte : lorsqu’elle reçoit un ordre de virement, la banque doit vérifier l’authenticité de l’ordre et que son émetteur a les pouvoirs suffisants (article L133-6) ; elle doit également alerter le dirigeant de toute opération suspecte sur son compte (article L. 561-6).

Est-il possible de se prémunir de la fraude au président ?

Prévenir plutôt que guérir : la sensibilisation au coeur de la prévention

Tracfin, service de renseignement français, chargé de la lutte contre la fraude fiscale, le blanchiment d'argent et le financement du terrorisme, relève trois cas qui doivent alerter les professionnels lors d’un contact téléphonique ou mail :

  • les sociétés de ventes récemment créées ou réactivées et les modifications d'objet social ;
  • des sites internet ayant des noms de domaine récents et peu de produits ;
  • des différences, même minimes entre les adresses mail ; une attention particulière doit être portée au spoofing à savoir l'usurpation d’adresse e-mail. Comme l'explique Trustpair, éditeur de logiciels qui propose aux entreprises des solutions pour mieux sécuriser leurs paiements, les techniques de spoofing sont de plus en plus sophistiquées : "le fraudeur crée une adresse email similaire (avec un changement de nom de domaine par exemple) et adopte tous les éléments de langage et visuels du dirigeant (signature, mise en forme, intitulé de l’objet, logo de l’entreprise…)".

Par ailleurs, il est primordial de sensibiliser tous les collaborateurs de l’entreprise en les informant de l’existence de ce type d’arnaque et de ses procédés afin qu’ils alertent immédiatement leur hiérarchie en cas de doute.

Le cabinet de conseil PwC recommande enfin d’établir et d’appliquer des règles strictes de contrôle interne : circuits de validation spécifiques pour les paiements manuels, séparation des tâches entre l’initiateur et l’approbateur des paiements, renforcement des validations pour les paiements conséquents  et les paiements à l'international (signatures plurielles, message automatique à un responsable…)

se prémunir de la fraude au président

Fraude au président, que faire ? Comment réagir ?

Outre alerter immédiatement le service anti-fraude compétent et sa banque pour bloquer le dernier virement effectué, l’entreprise victime a quatre recours possibles :

  • Porter plainte pour engager la responsabilité civile et pénale de l’auteur de la fraude ;
  • Mettre en jeu la garantie souscrite au travers de la police d’assurance ;
  • Mettre en cause le prestataire informatique en cas de faille de sécurité ;
  • Mettre en cause la banque émettrice du virement (cf le § sur la jurisprudence)

Fraude audacieuse et sophistiquée, la fraude au président doit faire partie de l’horizon des menaces d’un dirigeant. Sur la seule période 2012-2017, 2 300 plaintes ont été déposées pour arnaque FOVI.

En savoir plus sur d'autres types de cyberattaques :

 Sources :