Après la fraude au Président, connaissez-vous la fraude au factor ?

Article écrit par (113 articles)
Modifié le
12 338 lectures

Le nombre et la typologie des tentatives de fraude qui visent les entreprises de toutes tailles ne cesse d'augmenter. Les PME, qui autrefois, n'étaient pas (sauf exception) ciblées, font désormais régulièrement l'objet d'attaques externes. Toutes ces attaques mettent à l'épreuve le contrôle interne de l'entreprise : fraude au président, aux faux fournisseurs, aux faux banquiers, aux faux experts-comptables et même aux faux commissaires aux comptes !

L'enjeu de ces fraudes n'est pas anodin car elles peuvent conduire à la remise en cause de la pérennité de l'entreprise.

Pour bien comprendre la fraude au factor, il faut savoir en quoi consiste l'affacturage. Le procédé de la fraude au factor se déroule ensuite en deux étapes principales, le repérage et l'attaque proprement dite.

Pour s'en prémunir, les entreprises doivent donc avoir conscience de l'existence de ce type de fraude. Une fois victimes, elles devront alerter immédiatement leur banquier, porter plainte et prévenir leur assureur.

Rappels sur l'affacturage et la notion d'escroquerie

Dans le cadre de la vie des affaires, une entreprise peut avoir recours à l'affacturage afin d'optimiser son besoin en fonds de roulement (BFR).

A travers la cession de créance, le créancier (l'entreprise) cède à un tiers (le factor) l'obligation de son débiteur.

Dès lors, le débiteur (le client de l'entreprise) règle généralement directement le factor, lequel a préalablement transféré les fonds à l'entreprise (déduction faite de sa commission).

Cette pratique est totalement légale en France. Cependant, la communication de la mise en place d'un affacturage est généralement assuré par le factor. Cette communication par un tiers est une source de vulnérabilité que l'attaquant va exploiter.

L'article L. 313-1 du Code pénal donne la définition suivante de l'escroquerie :

L'escroquerie est le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de man½uvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge.

Avis aux apprentis escrocs : l'escroquerie est punie de cinq ans d'emprisonnement et de 375 000¤ d'amende.

Le procédé de la fraude au factor : comment cela marche ?

La période de repérage est la période pendant laquelle un attaquant va collecter le maximum d'informations sur sa cible, y compris la signature d'un dirigeant. Il disposera alors de tous les éléments nécessaires pour se faire payer à votre place et transférer les fonds sur un compte à l'étranger.

Le « repérage »

Pendant la période de repérage, l'escroc acquiert des noms de domaine et sous-domaines proches de ceux des adresses e-mail de l'entreprise, récupère des informations sur l'organisation interne, collecte les noms des principaux clients etc.

Acquisition du nom de domaine et des sous-domaines

Afin de pouvoir usurper l'identité de votre entreprise, l'attaquant va acquérir (pour quelques euros) des noms de domaines relativement proches du vôtre. Par exemple, le nom de domaine de l'entreprise est @dubois.fr ; il peut acheter l'adresse @dubois.com ou @dubois-groupe.fr

En conclusion, il convient d'être vigilant sur le dépôt des noms de domaine proches du vôtre. Vous pouvez charger votre responsable ou votre prestataire informatique de la réalisation de cette veille.

Récupération de l'organisation interne de la cible

A partir du site internet et/ou des réseaux sociaux, l'attaquant va apprendre de manière relativement fine l'organisation interne de l'entreprise. Il convient d'être vigilant sur la diffusion des informations relatives à l'organisation interne à l'occasion de vos différentes communications.

Récupération des informations confidentielles

Dans le cadre d'une fraude au factor, tout est soigneusement orchestré. Les fraudeurs réussissent même à intervenir au moment le plus opportun pour eux : un pic d'activité de l'entreprise ou un moment d'indisponibilité des dirigeants.

Pseudo-enquête statistique

Sous couverture d'une pseudo agence marketing, l'attaquant va contacter votre entreprise afin de connaître vos plus gros clients et/ou fournisseurs afin de réaliser un soi-disant scoring pour un tiers. Cette étape va permettre de contacter vos clients afin d'obtenir des doubles de vos factures. L'objectif est de récupérer l'en-tête et les mentions présentes sur vos factures afin de faire paraître le courrier frauduleux comme authentique.

Cette étape va également permettre de récupérer votre « signature » présente dans votre email afin de « rassurer » la victime.

Signature

A travers les communications officielles (newsletter, communiqué de presse, etc...), l'attaquant va récupérer la signature d'un mandataire social et/ou d'un directeur financier de l'entreprise. La fouille des poubelles est également une pratique courante...

Après numérisation de celle-ci, il sera relativement aisé de la copier sur le faux courrier adressé à vos clients.

Agenda

Les attaques ont généralement lieu pendant les périodes d'indisponibilité des mandataires sociaux ou en faveur de pic d'activité qui amoindrissent les capacités de défense.

L'attaque stricto sensu

Une fois que toutes les informations confidentielles nécessaires ont été obtenues, l'attaque prend la forme d'un courrier adressé à vos principaux clients. Ces derniers sont alors invités à payer l'escroc à votre place.

Envoi d'un courrier à vos clients

Vos clients vont recevoir par courrier physique et/ou électronique un document avec les caractéristiques suivantes :

  • votre logo ;
  • l'adresse de votre siège social et de toutes vos mentions légales ;
  • un paragraphe qui explique que votre entreprise a mis en place un partenariat avec un courtier en affacturage. A compter d'une date, il conviendra de régler les factures directement au factor ;
  • la possibilité de se rapprocher d'un contact fictif, dont l'adresse email est proche de celles utilisées par votre entreprise (Cf. supra) ;
  • le nom du mandataire social et/ou du directeur financier, accompagné de sa signature ;
  • un RIB d'un compte bancaire appartenant à l'attaquant.



Transfert des fonds sur un autre compte (hors SEPA)

Dès le transfert des fonds par vos clients (qui restent de bonne foi), l'attaquant va transférer les sommes sur une multitude de comptes hors de la zone SEPA.

Les contre-mesures spécifiques : se protéger de la fraude au factor

Se protéger de la fraude au factor est possible. Il suffit parfois de mieux communiquer avec ses partenaires, de sensibiliser son personnel et de rendre certaines informations confidentielles.

Acquisition de tous les domaines et sous-domaines usuels

Si le nom de domaine est déjà réservé, il convient de s'interroger sur les motivations profondes de l'acquéreur.

Communiquer régulièrement avec vos clients et fournisseurs

Pour se prémunir des attaques, il faut impérativement ne pas être isolé. L'échange d'informations sur les tentatives de fraudes avec vos différents partenaires est une ligne de défense efficace.

Rehausser le niveau de confidentialité au sein de l'organisation

Sensibilisation du personnel aux risques de la cybercriminalité

Souvent laissé de côté par les entreprises, la sensibilisation aux risques encourus face à la cybercriminalité demeure un préalable essentiel à la prévention des attaques. Peu importe les défenses de votre forteresse si un simple serviteur ouvre la porte...

Destruction des documents papiers

Depuis l'émergence de la politique de « zéro papier », les salariés sont moins soucieux de la destruction et de la destination des documents papiers.

Une bonne politique serait de s'assurer qu'aucun document officiel ne puisse sortir de l'entreprise dans son intégralité.

Organigramme non-public

Les entreprises sont généralement fières d'afficher leur organigramme juridique et/ou fonctionnel sur leur site internet. De facto, celui-ci devient une mine d'information pour l'attaquant dans sa phase de repérage.

Vous avez été victimes d'une fraude au factor, que pouvez-vous faire ?

Lorsque l'on est victime d'une escroquerie, le premier réflexe à avoir est de contacter le banquier pour essayer d'annuler l'opération, avant même de porter plainte le plus rapidement possible. Ensuite, si l'entreprise est assurée contre ce type de risques, elle pourra prévenir son assureur.

Important

Si vous vous apercevez de l'escroquerie dans la journée du virement frauduleux, appelez votre banque et demandez en urgence à votre conseiller de bloquer le transfert.

Soyez réactifs !

Si les fonds ne sont pas encore partis, votre banquier pourra annuler l'opération. Lors de votre appel, n'hésitez pas à insister lourdement auprès du banquier, qui va devoir alerter différents services internes (trafic de paiement).

Porter plainte

Même si les chances de récupérer les fonds sont minimes, le dépôt de plainte va permettre d'alimenter les statistiques officielles et la mobilisation de ressources par les différents organismes régaliens.

Prévenir votre assureur

Les contrats de prévention des risques de la cybercriminalité font l'objet d'un marketing relativement récent. Les probabilités de la souscription d'un contrat de prévention de ces risques par l'entreprise restent relativement faible.



Fabrice Heuvrard, expert-comptable et commissaire aux comptes.