Les pirates et les fraudeurs sont au cœur de l’entreprise. De plus en plus de délits mettent en cause ses collaborateurs, y compris, potentiellement, ceux de la DSI. Et les réductions d’effectifs et les périodes de fusions augmentent les risques de fraude.
Les exemples de fraudes internes ne manquent pas. Pourtant, lors de la dernière conférence (juin 2009) du Clusif (Club de la sécurité de l’information français) sur la fraude et la malveillance internes, Pascal Lointier, son président, posait la question : « La fraude interne serait-elle le dernier sujet tabou en entreprise ? »
Les quelques exemples rendus publics (détournement de 450 000 euros par un agent d’assurances, de 900 000 euros par un employé de la banque HSBC ou encore de 13,5 millions d’euros par un salarié de Cryospace Air Liquide, prise en otage du SI par un administrateur réseau…) cachent des dizaines de milliers de fraudes, petites ou grandes.
« Environ 80 % de la malveillance serait interne en entreprise, mais aucune société ne veut s’exprimer sur le thème. Pour quelles raisons ? Peut-être la superstition, la non-maîtrise, voire un sentiment de culpabilité pour les entreprises victimes qui verraient ainsi la démonstration d’une incompétence », ajoute Pascal Lointier.
Selon un rapport de l’ACFE (Association of Certified Fraud Examiners) sur la fraude interne 2008, le coût de la fraude représentait, en 2008, 7 %, en moyenne, du chiffre d’affaires d’une entreprise, soit deux points de plus qu’en 2006. « Le passage à l’acte a plus de risques de se concrétiser si trois conditions sont réunies : une opportunité, une pression et une capacité d’autojustification.
La fraude se fait le plus souvent par opportunité. Elle concerne surtout les personnes qui se sentent lésées, celles qui vont quitter l’entreprise… Plus la pression augmente, plus les objectifs des acteurs économiques deviennent irréalistes, les faiblesses des systèmes de contrôle interne s’accentuent, la loyauté entre les personnes et les organisations diminue, les moyens alloués à lutter contre la fraude aussi », explique Francis Hounnongandji, président de l’ACFE pour la France.
Les équipes informatiques sont particulièrement concernées, à double titre. D’une part, parce qu’elles ont accès à l’ensemble du système d’information, y compris les applications et données les plus stratégiques. D’autre part, parce qu’elles sont parties prenantes dans la prévention et la recherche des preuves de fraude.
Mais comment reconnaître les fraudeurs ? La criminologie (« science qui étudie l’infraction en tant que phénomène social ») apporte, sur ce plan, des enseignements précieux. Cette science utilise, pour expliquer les comportements, deux concepts : le facteur et la motivation.
Le premier est l’élément de causalité, par exemple : le développement de l’informatique est l’une des causes du piratage et des fraudes. On distingue des facteurs aggravants (la micro-informatique, Internet…) et des facteurs inhibiteurs (formation, sensibilisation, mécanismes de sécurité…). La motivation fait référence à la pulsion qui incite un individu à agir.
Il existe, préalablement au passage à l’acte, une situation que les criminologues appellent la « situation précriminelle » au cours de laquelle l’auteur de la fraude pèse plus ou moins sommairement les avantages et les inconvénients.
Cette situation précriminelle a trois composantes essentielles : l’opportunité (réunion d’un lieu et de circonstances favorables), « l’organisation sociale », c’est-à-dire les éventuelles complicités et le savoir-faire nécessaire, et la « conjoncture des prix », autrement dit la valeur du butin (par exemple prix d’un numéro de carte bancaire, d’un logiciel…).
Souvent, « les modes opératoires de la fraude sont relativement simples, explique Pascal Lointier. Il peut s’agir d’un « one shot » (un gros coup), de fraudes menées sur des actions répétitives de faible amplitude, du contournement d’une procédure ou encore la résultante d’un contrôle interne trop faible ».
Il existe quatre théories principales du passage à l’acte. D’abord, la « théorie des barrières » (containtment), selon laquelle il existe des barrières qui font obstacle aux délits et dont la faiblesse, ou la force, déterminent le passage à l’acte.
Ensuite, « l’analyse économique », qui repose sur l’utilité des résultats de la fraude. Cette approche micro-économique pose que l’utilité est fonction du gain potentiel, et décroissante lorsque la probabilité d’être condamné s’élève. La « théorie stratégique », de son côté, explique que le fraudeur a sa propre rationalité, en fonction des opportunités. Le délit est, avant tout, un comportement plus qu’un simple symptôme de la personnalité, il est toujours orienté vers un résultat, donc toute analyse doit chercher le mobile, et la rationalité du fraudeur fait qu’il recherche la solution la plus efficace en fonction des contraintes qui s’imposent.
Enfin, la « théorie de la vulnérabilité des victimes » explique que les cibles elles-mêmes sont vulnérables. On retrouve cette idée dans le domaine de la sécurité informatique : le niveau de sécurité faible dans beaucoup d’entreprises favorise les opportunités (voir encadré page précédente).
Selon cette approche, la victime est elle-même coupable. Le passage à l’acte dépend ainsi de trois facteurs : la puissance de la motivation, la présence ou non de moyens légaux pour l’action, et la force de l’inhibition morale.
Face à des comportements de fraude ou de piratage, trois leviers d’actions peuvent être utilisés : la morale (sensibilisation des collaborateurs), la dissuasion (mécanismes de sécurité efficaces, élévation de la crainte de se faire prendre) et la justice.
La dissuasion a évidemment ses limites : la première est liée aux infractions elles-mêmes, toutes ne peuvant être empêchées par la prévention. La seconde tient aux individus : il y aura toujours un groupe ou une catégorie d’individus pour lesquels la dissuasion n’aura aucun effet, pour des raisons liées à leur personnalité.
Les criminologues distinguent plusieurs arguments utilisés par les fraudeurs pour justifier leurs actes : la vengeance (combattre le mal par le mal), la « peine rétributive » (la victime n’a que ce qu’elle mérite), le mérite, le courage (parce que la victime est stupide) ou la négation du dommage.
Les managers, les plus malhonnêtes ?
Le portrait robot du fraudeur, tel qu’il a été défini par une étude de PricewaterhouseCoopers, publiée l’an dernier, est le suivant : Il s’agit d’un homme (dans 93 % des cas), âgé en moyenne de 40 ans, qui occupe dans près de 55 % des cas une position élevée dans la hiérarchie (top management dans 29 % des cas ou middle management dans 26 % des cas).
Il travaille dans l’entreprise depuis neuf ans en moyenne, mais, dans 20 % des cas, il est arrivé dans l’entreprise au cours des deux dernières années. La motivation personnelle (généralement financière) et la capacité d’autojustification jouent un rôle prépondérant dans la décision du fraudeur de passer à l’acte.
« Or les procédures et contrôles mis en place dans l’entreprise ne vont pas nécessairement empêcher de le faire. En revanche, des contrôles efficaces, combinés à une culture d’entreprise forte, peuvent contribuer à réduire significativement la propension naturelle à la fraude », souligne une étude Ernst&Young.
Selon cette enquête, presque la moitié des personnes interrogées en France (47 % contre 55 % pour l’Europe) s’attendent à ce que la fraude en entreprise augmente dans les quelques années à venir. Parmi elles, 57 % affirment que si elles croient à l’augmentation des risques de fraude, c’est parce qu’elles ne font pas confiance au management.
Le pessimisme semble assez général et ceux qui croient à une diminution de la fraude dans les années à venir ne sont que 5 % en France et 8 % en Europe. L’expérience montre que les réductions d’effectifs et les périodes de fusions augmentent les risques de fraude. C’est donc le bon moment pour les DSI de renforcer l’audit interne.