Une entreprise sur 5 a connu plus de 10 tentatives de fraude

Mauvaise nouvelle pour les entreprises : la fraude s'intensifie. C'est l'un des enseignements du 5e baromètre d'Euler Hermes et de la DFCG consacré à la fraude et à la cybercriminalité. En effet, si le nombre d'entreprises victimes d'au moins une tentative de fraude en 2018 est semblable à celui de 2017 (7 entreprises sur 10), le nombre d'attaques subies par les entreprises est lui en augmentation : 1 entreprise sur 4 a connu plus de 5 tentatives et 1 sur 5 plus de 10 !

Pour Sébastien Hager, responsable souscription assurance fraude chez Euler Hermes, cette intensification de la menace est imputable aux moyens technologiques : "Ils permettent d'industrialiser les attaques ou de mieux les préparer en préparant des schémas de fraude très élaborés", observe-t-il.

Top 3 des dispositifs anti-fraude

Heureusement, ces fraudes n'ont pas toujours abouti : ce sont quand même 26% des entreprises interrogées qui ont subi une fraude avérée.

Le Top 3 des dispositifs anti-fraude qui ont été les plus efficaces : la réaction humaines (56%), le contrôle interne (24%) et les dispositifs techniques (20%, en augmentation de 8 points). "On voit bien que l'humain est au coeur de la lutte contre la fraude. Même si la DSI a un véritable rôle à jouer", analyse Bruno de Laigue, président du Réseau des directeurs financiers et de contrôle de gestion (DFCG).

Il préconise d'ailleurs un rapprochement entre la DSI et la DAF afin de réfléchir aux stratégies à mettre en place. "La porte d'entrée des fraudeurs est souvent la direction financière, insiste-t-il. De plus la Daf peut aider la DSI à déterminer les budgets nécessaires."

Des fraudes minutieusement préparées

La direction financière est en effet la cible préférée des fraudeurs. En tête des attaques, les fraudes au faux fournisseur (47%), la fraude au faux président (29%) ou encore la fraude au faux client (25%). Les usurpations d'identité sont citées par 30% des répondants. "Ces fraudes existent depuis quelques années mais elles sont de mieux en mieux préparées. Les fraudeurs, notamment, ne frappent jamais au hasard et exercent une forte pression sur des personnes fragiles, qui ont des problèmes personnels ou qui sont en situation de sous-effectif", analyse Sébastien Hager. "Les fraudeurs mènent des enquêtes et profitent de la crédulité de certaines personnes", complète Bruno de Laigue.

La fraude interne est quant à elle citée par 12% des personnes interrogées. "Elle met souvent plus de temps à être découverte, 18 mois en moyenne. Et est souvent perpétrée par l'employé idéal qui bénéficie d'une grande confiance et qui a donc toutes les clés pour agir", précise Sébastien Hager.

Les rançongiciels représentent 20% des fraudes selon le Baromètre Euler Hermes-DFCG. "Les cyberattaques sont désormais menées dans le but de recueillir des informations pour construire une fraude via l'usurpation d'identité", explique Sébastien Hager.

Impact fort sur la trésorerie

Ces fraudes ont eu un impact financier non négligeable sur les entreprises touchées : une entreprise sur 5 dit avoir subi un préjudice supérieur à 50k euros (5% un préjudice supérieur à 500k euros).

Si le montant des préjudices est généralement plus important dans le cas d'une fraude au président que d'un rançongiciel, les pertes occasionnées peuvent quoi qu'il en soit avoir un impact terrible pour les entreprises. En effet, 56% des entreprises interrogées disent voir leur trésorerie impactée par une fraude entre 10k et 100k. "Des montants peu élevés peuvent mettre à mal la vie d'une entreprise", résume Bruno de Laigue.

6 entreprises sur 10 n'ont pas alloué de budget fraude

Au final, 78% des entreprises craignent une accentuation du risque de fraude (+8 points vs 2017). "Le RGPD a eu un impact positif sur les entreprises qui sont plus conscientes des dangers liés aux nouvelles technologies. L'actualité peut aussi expliquer cette crainte", avance Bruno de Laigue.

Pourtant, cette crainte ne s'accompagne pas d'action : 6 entreprises sur 10 n'ont pas alloué ou transféré de budget spécifique pour lutter contre la fraude et la menace cyber. Bruno de Laigue se dit profondément inquiet face à ce manque d'investissement. Selon lui, les entreprises courent un réel danger.

A quoi cela est-il dû ? Les entreprises pensent-elles que ça n'arrive qu'aux autres ? Ou qu'elles en font déjà assez ? 69% des entreprises interrogées jugent en effet leur dispositif satisfaisant. "Pourtant une entreprise sur deux ne dispose pas de plan d'urgence", s'alarme Sébastien Hager qui souligne que ce dernier ne doit pas être nécessairement compliqué mais donner la démarche à suivre en cas d'attaque. Par ailleurs, 45% des entreprises ne disposent pas de plan de reprise d'activité. "Cela est préoccupant car il faut disposer de systèmes de sauvegarde efficace", insiste Sébastien Hager.

Enfin, plus de 2 entreprises sur 3 ne sont pas assurées contre le risque de fraude. "S'assurer fait partie du dispositif de prévention et ne le substitue en aucun cas. Cela permet de parler de son dispositif de prévention avec un assureur qui apporte un regard critique", explique Sébastien Hager.

L'humain avant tout

Beaucoup de choses restent donc à faire. Si les entreprises misent pour l'instant sur l'humain (61% ont mené des actions de sensibilisation et des formations auprès de la Daf, 50% des actions de sensibilisation auprès des autres directions), elles doivent aussi mettre en place des plans d'urgence et des plans de reprise d'activité. Les tests d'intrusion (utilisés par 45% des répondants) sont également intéressants. "Ils permettent de voir quelles sont les réactions des collaborateurs", indique Bruno de Laigue.

Des moyens techniques doivent également être utilisés, en partenariat avec la DSI. Sans oublier de collaborer avec les services de police en cas d'attaque.