Egalement connue sous le terme de FOVI pour Faux Ordres de Virement Internationaux, la fraude au président désigne le fait pour une entreprise, et plus particulièrement pour son service comptable, d'être contacté par un escroc qui prétend être le PDG ou son plus proche conseiller, et obtenir ainsi un virement bancaire indu sur des comptes étrangers et portant la plupart du temps sur des sommes importantes.
Généralement, le fraudeur profite des congés du responsable financier et s’adresse à ses subordonnés en prétextant la signature urgente d’un contrat stratégique qui nécessite un virement bancaire immédiat et une discrétion absolue sous peine de perdre le marché. Ainsi trompées et soumises à une forte pression psychologique, les personnes contactées s’exécutent, persuadées de bien faire.
Identifiée à la fin des années 2000, cette cyberarnaque a connu un regain à la faveur de la crise sanitaire (la Tribune, « Fraude au président : la crise sanitaire a déclenché une nouvelle vague d’attaques », janvier 2021). En effet avec le télétravail, la suspicion vis-à-vis d’un ordre reçu par téléphone ou par e-mail a fortement baissé : le spear phishing (hameçonnage ciblé) a particulièrement été utilisé, notamment à l’encontre des entreprises fournissant du matériel médical, « victimes faciles », compte tenu de la hausse considérable des commandes durant cette période.
Depuis quelques années, les TPE/PME sont l'objet de toutes les attentions des escroqueurs. En effet, puisqu'elles consacrent souvent moins de budget à leur sécurité informatique, il est plus facile de pénétrer leur système via la technique du phishing.
Par ailleurs, dans ces entreprises à la culture familiale où la confiance est le maître mot, la vérification auprès de la direction du bien-fondé de la demande de virement, n'est pas toujours un réflexe.
Enfin, pour des raisons d'image et de réputation aisément compréhensibles, les groupes victimes de cette cyber-arnaque sont réticents à communiquer sur leur mésaventure, ce qui retarde la prise de conscience commune du risque et le partage des bonnes pratiques.
En moyenne, un tiers des entreprises victimes de la fraude au président enregistrent une perte supérieure à 10 000 euros. En 2014, la startup Legalstart qui accompagne les TPE/PME dans leurs démarches juridiques et administratives s'est ainsi vue délester de 40 000 euros. Alors qu'elle venait tout juste de débuter son activité, cette fraude au président aurait pu lui être fatale.
C'est par exemple ce qui est arrivé en 2016 à BRM mobilier, société spécialisée dans l'aménagement de médiathèques et bibliothèques. Située dans les Deux-Sèvres et employant 44 salariés, l'entreprise victime d'un FOVI pour un montant total d'1,6 millions d'euros n'a pu absorber le choc financier et a été placée en liquidation judiciaire.
A noter que début 2022 un "nouveau record" a été battu en matière de fraude au président : 33 millions d'euros perdus par le promoteur immobilier Sefri Cime.
Jusqu’à récemment, la jurisprudence retenait une responsabilité partagée entre l’entreprise et la banque. Mais, depuis quelques années, considérant que le « succès » de cette cyber-arnaque devait avoir pour corollaire une vigilance plus importante des établissements bancaires, elle tend à retenir la responsabilité exclusive de ceux-ci en cas de fraude.
Deux textes justifient cette posture, comme le rappelle la note d’analyse du cabinet LexCase sur le sujet (« Contentieux commercial, fraude au président : quels recours ? ») :
Tracfin, service de renseignement français, chargé de la lutte contre la fraude fiscale, le blanchiment d'argent et le financement du terrorisme, relève trois cas qui doivent alerter les professionnels lors d’un contact téléphonique ou mail :
Par ailleurs, il est primordial de sensibiliser tous les collaborateurs de l’entreprise en les informant de l’existence de ce type d’arnaque et de ses procédés afin qu’ils alertent immédiatement leur hiérarchie en cas de doute.
Le cabinet de conseil PwC recommande enfin d’établir et d’appliquer des règles strictes de contrôle interne : circuits de validation spécifiques pour les paiements manuels, séparation des tâches entre l’initiateur et l’approbateur des paiements, renforcement des validations pour les paiements conséquents et les paiements à l'international (signatures plurielles, message automatique à un responsable…)
Outre alerter immédiatement le service anti-fraude compétent et sa banque pour bloquer le dernier virement effectué, l’entreprise victime a quatre recours possibles :
Fraude audacieuse et sophistiquée, la fraude au président doit faire partie de l’horizon des menaces d’un dirigeant. Sur la seule période 2012-2017, 2 300 plaintes ont été déposées pour arnaque FOVI.
En savoir plus sur d'autres types de cyberattaques :
Sources :