Accueil > Fraudes externes : s’y préparer pour s’en prémunir > Fraudes externes : s’y préparer pour s’en prémunir

6 min.

Cybersécurité

Fraudes externes : s’y préparer pour s’en prémunir

Date de publication : 27/11/2023

#Uncategorized

Christian Serpaud

Comme les entreprises et les administrations, les associations sont régulièrement victimes de fraudes externes. Des escroqueries basées sur l’usurpation d’identité ou les failles informatiques qui, lorsqu’elles ne sont pas déjouées, viennent affecter le fonctionnement de l’association. Une bonne raison, au travers d’exemples tirés de situations réelles, d’analyser les scénarios les plus souvent mis en œuvre par les escrocs pour mieux s’y préparer.

Table des matières
  1. Votre banquier vous appelle : la fraude au faux conseiller bancaire
  2. Votre fournisseur change de numéro de compte : la fraude au fournisseur
  3. Un rançongiciel bloque vos données, une fraude externe répandue
  4. Conclusion sur les fraudes externes

Votre banquier vous appelle : la fraude au faux conseiller bancaire

Esther est la trésorière d’une association d’aide alimentaire basée dans le Grand Est. Samedi, vers 11h, alors qu’elle est chez elle, elle reçoit un appel. C’est le numéro de de la banque de l’association qui s’affiche sur son portable. L’homme au bout du fil se présente comme étant l’assistant du conseiller bancaire avec qui elle traite d’ordinaire. Il cite le nom du conseiller bancaire avant d’expliquer à Esther que le compte de l’association est victime d’une attaque de pirates informatiques. Après avoir inquiété son interlocutrice, l’homme la rassure en lui précisant qu’heureusement, l’attaque a été détectée par ses services.

En revanche, pour la bloquer, précise-t-il, « nous avons besoin de votre confirmation pour supprimer chaque opération suspecte. Pour chacune d’entre elles, je vais vous adresser un SMS et, en réponse, vous validerez sa suppression en entrant le code de double authentification ». Les SMS qu’elle reçoit portant le numéro de téléphone de la banque, Esther s’exécute. Le lundi, de retour au bureau, elle reçoit un appel du conseiller bancaire de l’association, le vrai cette fois, qui s’interroge sur quatre virements effectués vers une banque étrangère pendant le week-end pour un montant total de 75 000 €.

Ce scénario paraît fou et pourtant, il illustre ce que l’on appelle désormais la « fraude au faux conseiller bancaire ». Une arnaque très en vogue qui touche les particuliers comme les professionnels. Elle est réalisée par des escrocs chevronnés, souvent basés à l’étranger, capables de détourner le numéro de téléphone d’une banque et de percer le premier niveau de protection des applications bancaires (vu le nombre d’attaques, cela ne doit pas être si compliqué…). Avant cela, ils auront eu accès à des informations bancaires de base pour rendre leur argumentaire plus crédible (en se procurant un relevé de compte, les numéros d’une carte bancaire, le nom du conseiller en charge des associations de l’agence bancaire…)

Comment s’en protéger ?

  • C’est la pression qui incite les victimes à obtempérer. Il faut donc éviter de laisser la personne décisionnaire seule face aux escrocs : aucune demande financière anormale ne doit être traitée (même urgente) avant qu’un autre membre de l’association ne soit informée de la situation. À deux, on garde plus facilement la tête froide ! Il faut ériger cette règle en principe.
  • Instaurer un système de double validation pour les achats et les virements supérieurs à un certain montant (à définir en fonction des pratiques de l’association) ;
  • Informer et former les collaborateurs sur les dangers de la fraude externe et les pratiques des escrocs.

Comment réagir ?

Si vous recevez un appel d’alerte de ce type, partez du principe que c’est une arnaque. Prétextez un rendez-vous, un visiteur qui sonne à la porte, une réunion qui démarre pour raccrocher en précisant que vous allez rappeler la banque dans la foulée. Ne laissez pas votre interlocuteur dérouler son argumentaire, c’est un professionnel, il est rompu à l’exercice et pourrait parvenir à vous convaincre. Dans la foulée, appeler votre conseiller bancaire, non pas en utilisant la fonction « rappel » de votre téléphone mais en composant son numéro. Il y a de grandes chances pour qu’il vous confirme que vous avez été victime d’une tentative d’escroquerie !

Votre fournisseur change de numéro de compte : la fraude au fournisseur

Jean-Louis travaille au service comptable d’un groupe associatif gérant des cliniques et des établissements accueillant des personnes âgées dépendantes. Un jour, il reçoit un courriel d’un gros fournisseur, un fournisseur d’énergie, qui lui indique un changement de coordonnées bancaires et un changement de numéro de téléphone. Le courriel est signé par son interlocuteur habituel, M. Jean, le directeur grands comptes de la société prestataire et est en tous points comparable aux courriels qu’il a l’habitude de recevoir de cette société (logo, format, images, adresse d’expédition…). Jean-Louis compose alors le nouveau numéro. On lui indique que M. Jean est en déplacement et on lui confirme le changement de numéro de compte. Au cours des 6 mois suivants, Jean-Louis met en paiement trois factures pour un total de 260 000 €.

Un jour, M. Jean appelle Jean-Louis car il s’inquiète du non-paiement de trois de ses factures. Ensemble, ils découvrent la fraude.

Cette fraude, baptisée « fraude au fournisseur », frappe les entreprises et les associations depuis des années. Son succès lui vaut d’être indémodable. Elle connaît d’ailleurs de nombreuses variantes, une des plus redoutables étant la « fraude aux factures impayées ». Dans ce cas, la victime reçoit un appel des services des impôts. Ces derniers, chargés de recenser les impayés, lui réclament une copie des factures en souffrance « à des fins statistiques ». Copie des factures en main, les escrocs se feront passer pour un cabinet de recouvrement afin d’encaisser les impayés. Dans ce type de fraude, il y a deux victimes : le créancier et le débiteur…

Comment se protéger ?

En cas de demande de changement de coordonnées bancaires d’un fournisseur, il faut, surtout si le nouveau compte est à l’étranger :

  • Contacter directement le fournisseur en question sans utiliser les coordonnées présentées dans le courriel ou le courrier papier ;
  • Mettre en place, une fois encore, un système de double validation pour tout changement de ce type ;
  • Informer et former les collaborateurs sur les dangers de la fraude externe et les pratiques des escrocs.

Comment réagir ?

Si un virement vient d’être effectué, sans attendre, il convient :

  • D’alerter sa banque pour bloquer le paiement ;
  • De saisir les autorités ;
  • De prévenir le fournisseur.

Si vous êtes démarché par un cabinet de recouvrement pour une facture impayée, appeler votre fournisseur avant de donner suite. Il est rare qu’un fournisseur le face sans prévenir son client…

Un rançongiciel bloque vos données, une fraude externe répandue

Cadre administratif dans une association humanitaire, Gilles est en télétravail. Comme tous ses collègues dans le même cas, il passe plusieurs heures par semaine à participer à des visioconférences. Et d’ailleurs, il vient de recevoir un courriel aux couleurs de Zoom. L’outil de visioconférence lui indique qu’il peut, pendant 48 heures, visionner l’enregistrement de la dernière réunion de direction. Il ignorait que cela était possible et s’en réjouit car il n’avait pas pu assister à cette réunion. Il se connecte, via ce courriel, sur une page d’accueil où ses codes et mot de passe Microsoft lui sont demandés. Il ne s’en étonne pas et les renseigne. Or, il n’accédera jamais à l’enregistrement de la conférence mais apprendra, quelques jours plus tard, que le serveur de son association a été victime d’une attaque de rançongiciel qui a bloqué son fonctionnement pendant une semaine.

Comment se protéger ?

Les rançongiciels (logiciels cryptant les données et réclamant une rançon pour les libérer) se répandent comme tous les logiciels malveillants. Dès lors, il convient :

  • De mettre à jour les antivirus et les systèmes d’exploitation de l’association ;
  • De ne jamais ouvrir les pièces jointes des courriels douteux (inhabituels, expéditeurs inconnus, style impersonnel, texte mal traduit…) ;
  • De ne jamais cliquer sur un lien ou un bouton inséré dans un mail inhabituel, surtout s’il incite à le faire par séduction, menace ou insistance ;
  • D’effectuer une sauvegarde quotidienne des données stockées sur des supports déconnectés du réseau ;
  • D’informer et de former les collaborateurs sur les dangers de la fraude externe et les pratiques des escrocs.

Comment réagir ?

Dès qu’une machine est touchée par un rançongiciel, immédiatement, il faut :

  • La déconnecter du réseau pour éviter que les autres machines soient à leur tour contaminées ;
  • Alerter les services techniques (internes ou externes à l’association) car se débarrasser de ce type de malware est une affaire de spécialistes ;
  • Porter plainte même si les chances de coincer les pirates sont minces ;
  • Et, surtout, ne pas payer la rançon demandée par les créateurs du rançongiciel. Pour deux raisons : vous n’avez aucune garantie que les pirates vous livreront les codes qui vous permettront de libérer (décrypter) les données de votre réseau ; en payant, vous les inciter à continuer et donc à faire d’autres victimes…

Conclusion sur les fraudes externes

D’une manière générale, la fraude externe s’appuie sur les nouvelles technologies et les environnements de travail en distanciels de plus en plus utilisés.

L’émergence de l’intelligence artificielle va accroître les possibilités et les cas d’usurpation d’identité se démultiplient. Toutes les possibilités sont envisageables puisqu’elles peuvent concerner les acteurs internes de la structure des membres de la gouvernance (président, trésorier, etc.) et/ou de salariés (directeur, administrateur du service informatique, etc.). De même, tous les tiers interagissant avec la structure peuvent être un support d’intrusion (banques, fournisseurs, avocats, clients potentiels, agents de l’Etat, expert-comptable, etc.).

Télédéclarations, télérèglements et demandes d’information pour la mise en place de la facture électronique sont autant de possibilités qui facilitent les fraudes externes.

Acquérir le réflexe de ne jamais céder à une urgence, à une insistance permet bien souvent de faire renoncer à des attaques mineures.

Toute demande de connexion, d’identification par code doit être appréhendée avec discernement et en adéquation avec les règles existantes. Toute demande qui ne respecte pas les procédures habituelles sont à faire valider par un responsable avant de poursuivre les opérations.

A n’en pas douter, ces fraudes font partie intégrante de la vie de nos structures et constituent un enjeu majeur pour leur pérennité.

A lire aussi :
Associations et cybersécurité : à quoi faut-il penser ?

Auteur(s) :

Christian Serpaud

Expert-comptable, commissaire aux comptes, associé, directeur national ESS

Christian est associé au sein du cabinet In Extenso. Expert-comptable et commissaire aux comptes spécialiste du secteur associatif et ESS, il est en charge du Marché Economie Sociale du groupe In Extenso.

Contactez notre expert

Voir d'autres articles

Partagez cet article
Vous aimerez aussi...

Cybersécurité

#Uncategorized

RGPD et association : la gestion de vos données personnelles est-elle...

Du déclaratif à la gestion responsable Les règles qui encadrent la gestion des données à caractère personnel ne so[...]

Cybersécurité

#Article

Associations et cybersécurité : à quoi faut-il penser ?

Etat des lieux : les associations et les cyberattaques La transformation digitale (ex : obligation de passer à la [...]

newsletter Newsletter

Recevez nos actualités et des invitations à nos événements

*

Les données collectées serviront uniquement pour vous envoyer les lettres d’information. Vous pouvez à tout moment utiliser le lien de désabonnement intégré dans chaque envoi. En savoir plus dans notre politique de confidentialité.

Les Ebooks

ebooks pdf

Gouvernance et gestion des risques dans les associations
ebooks pdf

Quel bail l’association peut-elle conclure pour son local ?
ebooks pdf

Mécénat et reçus fiscaux : un contrôle intensifié
ebooks pdf

Médico-social : le fonds de dotation, une solution pour la gestion immobilière de vos établissements
ebooks pdf

Conseils pour assurer la pérennité de l’association
ebooks pdf

La rémunération des dirigeants dans les associations
ebooks pdf

Fusions d’associations et de fondations, scissions et apports partiels d’actifs – les bonnes pratiques
ebooks pdf

Vie associative : l’assemblée générale en question(s)
ebooks pdf

Optimisez la gestion financière de votre association
ebooks pdf

Guide des dons et du mécénat pour les associations, organismes & donateurs
ebooks pdf

Le secteur médico-social passe au nouveau règlement comptable en 2020
ebooks pdf

Mutualisation et regroupement d’associations : à quoi faut-il penser ?
ebooks pdf

Réforme du plan comptable pour les associations & fondations
ebooks pdf

Les 15 points clés sur le fonds de dotation

tous les ebooks

Nos Experts

Nos experts vous répondent et vous accompagnent dans vos démarches

Suivi Linkedin
Contact rapide
close slider

    Contact rapide

    * champs obligatoires

    Les données collectées marquées d’un * sont obligatoires et serviront uniquement pour répondre à votre demande. En savoir plus dans notre politique de confidentialité .