Passer au contenu principal
Propriétaire de petite entreprise inquiet
Canada
Fraude

Trois fraudes courantes en entreprise et comment les éviter

Les escrocs trouvent toujours de nouvelles façons de cibler les entreprises. Il est donc important que tous les employés soient vigilants.

Propriétaire de petite entreprise inquietLes entreprises sont souvent exposées aux mêmes menaces que les particuliers. (Getty Images/FG Trade)

Les fraudeurs, qui ne sont jamais à court de nouvelles idées pour duper les particuliers, ont aussi plus d’un tour dans leur sac pour s’en prendre aux entreprises. Selon un récent sondage mené par KPMG auprès de plus de 500 PME canadiennes, les trois quarts des répondants ont été victimes de fraude interne (par un employé) ou externe (fraude par carte de crédit, chèque frauduleux, fausse facture ou fraude d’identité par piratage de compte bancaire) au cours de la dernière année.

Qu’ils ciblent les entreprises ou les particuliers, les fraudeurs ont souvent recours à des techniques de manipulation psychologique pour atteindre leurs objectifs. Comme le gouvernement du Canada le mentionne dans sa campagne « Pensez cybersécurité » élaborée en partenariat avec l’Association des banquiers canadiens (ABC), « même les systèmes de sécurité les plus performants ne peuvent rien lorsque des utilisateurs dupés révèlent des renseignements essentiels, comme leurs identifiants de connexion ou les informations sur leurs comptes ».

Voici donc quelques-unes des fraudes les plus courantes visant les entreprises et des moyens de s’en protéger.

Le harponnage dans tous ses états

Le harponnage trône au sommet des fraudes ciblant les entreprises. Selon le sergent Guy-Paul Larocque, CPA, officier responsable intérimaire du Centre antifraude du Canada (CAFC), les pertes financières générées par ce type de fraude sont passées de 263 000 $ en2017 à 46,9 M$ en 2022.

La fraude de type « dirigeants d’entreprise », qui vise à convaincre un employé de virer électroniquement des fonds à un expéditeur soi-disant connu (patron, collègue ou client) circule toujours, mais elle prend différentes formes et s’est complexifiée. Par exemple, l’intelligence artificielle permet d’imiter la voix du demandeur.

La demande peut aussi sembler émaner d’un fournisseur ou d’un employé, qui informe le destinataire d’un changement touchant les modalités de paiement de factures ou de dépôt direct de sa paie. L’employé peut également se faire demander d’acheter des cartes-cadeaux.

Savoir se protéger :

  • « Si vous avez le sentiment que quelque chose n’est pas normal, faites confiance à votre instinct et cessez de communiquer avec cette personne, explique Guy-Paul Larocque. Ne donnez pas non plus de renseignements personnels ou financiers en réponse à une demande à laquelle vous ne vous attendiez pas », ajoute-t-il.
  • « Au moindre doute, changez de canal de communication, insiste Myriam Duguay, CPA, associée en juricomptabilité et leader nationale des services de prévention, de fraude et d’enquête chez KPMG. Pour valider l’information, contactez la personne ou l’entreprise avec les coordonnées que vous possédez. »
  • Demeurez vigilant en tout temps, rappelle l’ABC dans sa trousse de cybersécurité à l’intention des petites entreprises. « Le signal d’alarme le plus retentissant pour ce genre de fraude est la demande urgente d’un transfert électronique de fonds. »

Un hameçon facile à dissimuler

Sans surprise, l’hameçonnage fait encore des ravages. La menace peut prendre la forme d’un courriel ou d’un texto (semblant souvent émaner d’une banque, d’une entreprise ou d’un organisme gouvernemental) et vise à convaincre la victime de fournir des renseignements personnels ou de cliquer sur des liens qui permettront à des criminels d’accéder à ses données. Une fois que c’est fait, les escrocs peuvent les chiffrer avant d’exiger le paiement d’une rançon.

Savoir se protéger :

  • Formez vos employés, insiste Myriam Duguay. « Après les avoir formés, de nombreuses organisations font des tests d’hameçonnage auprès de leurs employés pour voir qui se fera piéger ou pas. Les résultats à ces tests font même parfois partie de l’évaluation de rendement des employés. »
  • Méfiez-vous des courriels non sollicités et faites toujours les recherches nécessaires avant de télécharger des applications ou des logiciels dans Internet, rappelle le CAFC. Assurez-vous aussi d’avoir un plan pour sauvegarder vos données systématiquement et fréquemment.
  • Ne présumez pas qu’un message est authentique seulement parce que l’adresse courriel semble être la bonne. Les fraudeurs peuvent la modifier.

Une menace interne réelle

Même si la fraude au travail (aussi appelée fraude interne ou fraude du personnel) est moins médiatisée, Myriam Duguay appelle à ne pas la sous estimer. Selon le rapport Occupational Fraud 2022: A Report to the Nations publié par l’Association of Certified Fraud Examiners (ACFE), ce type de fraude fait perdre 5 % de leurs revenus annuels aux entreprises. Les principales fraudes sont le détournement d’actifs (86 % des fraudes), la corruption (50 %) et la falsification d’états financiers (9 %).

« Les PME sont particulièrement à risque quand une personne y cumule deux fonctions incompatibles, comme celle de pouvoir autoriser une opération puis de l’exécuter. Si celle-ci est mal intentionnée et qu’il y a déficience au niveau des contrôles internes, elle a le champ libre », souligne Myriam Duguay.

Savoir se protéger :

  • Procédez à une évaluation des risques de fraude pour déterminer quelles sont les probabilités qu’un incident survienne, quels contrôles doivent être adoptés et quels sont les risques courus. La menace pourrait aussi venir d’un de vos fournisseurs qui s’est lui-même fait attaquer.
  • Communiquez. Selon Myriam Duguay, tout part de la direction, qui doit inclure dans sa prévention toutes les parties prenantes de l’organisation, car les fraudes touchent souvent différents services, comme les TI et les finances.
  • Mettez en place une ligne de dénonciation, tant pour les employés que pour les tierces parties (fournisseurs, clients, etc.). « En plus d’offrir un canal de communication additionnel et de montrer que l’organisation adopte de saines pratiques, il est prouvé que cela accélère la détection d’une fraude et contribue à en réduire les pertes », selon Myriam Duguay.
  • Adoptez une gestion rigoureuse des accès (qui a accès à quoi) que vous révisez fréquemment. Au besoin, mettez en place des alertes pour surveiller si des données sont par exemple envoyées à des adresses de courriel Gmail, Hotmail ou Yahoo.
  • Protégez les données personnelles. Comme le souligne le rapport de l’ACFE, l’adoption de mécanismes de surveillance des données (entre autres financières) permet de détecter plus vite différentes formes d’anomalie.
  • Si vous avez été victime d’une fraude, d’une escroquerie ou d’un acte de cybercriminalité, communiquez avec votre service de police le plus tôt possible et signalez la situation au CAFC (1-888-495-8501).

Rester en cybersécurité et soyez vigilant

Plongez dans le sondage annuel sur la fraude de CPA Canada et voyez pourquoi les Canadiens ne font peut-être pas tout ce qu’ils peuvent pour se protéger. Consultez ce guide pour apprendre à éviter les escroqueries et l’usurpation d’identité, et renseignez-vous sur les fraudes les plus courantes actuellement ainsi que sur les escroqueries immobilières dont il faut se méfier le plus.