Livre blanc : Escroquerie aux faux ordres de virement (Partie 2)

Les modes opératoires de la FOVI

Les escroqueries aux faux ordres de virement visent à pousser un salarié ou un agent public à effectuer un virement bancaire, par usurpation d'identité du véritable créancier ou d'un autre acteur habilité à intervenir dans la chaîne du règlement. Ce type de manoeuvre frauduleuse est identifié depuis 2010 et constitue nue réalité pour l'ensemble des acteurs économiques, tant privés que publics. Pour le secteur public (État, collectivités locales et établissements publics), les FOVI sont en forte recrudescence depuis la crise sanitaire. Les victimes sont très majoritairement des communes.

Les escrocs recourent principalement à 3 techniques :

L'escroquerie au changement de coordonnées bancaires : L'escroc peut se faire passer pour un fournisseur, un pensionné, un agent public souhaitant modifier ses coordonnées bancaires ou mettre en place un affacturage. Il s'agit de la fraude la plus commune dans le secteur public.

La fraude au président : L'escroc usurpe l'identité du président, du DAF (Direction de l'Automatisation des fichiers) ou d'un ordonnateur, et demande à un collaborateur d'effectuer un virement de toute urgence à un tiers, au prétexte d'un dossier sensible et confidentiel.

L'escroquerie à l'informatique : L'escroc peut se faire passer pour un responsable informatique, ou pour l'éditeur du logiciel de comptabilité utilisé, pour prendre le contrôle du poste informatique d'un agent en charge de la comptabilité.

Quel comportement à adopter afin de maîtriser ce risque financier ?

• Sensibilisez vos collaborateurs et cadres aux risques, notamment, de réception de messages frauduleux d'hameçonnage (phishing) visant à leur dérober leurs mots de passe et en particulier si vos services de messagerie sont hébergés ou accessibles en externe.

• Diffusez des procédures claires aux collaborateurs mandatés sur les règles d'authentification des émetteurs et de confirmation des demandes de virement imprévues ou de validation des changements de coordonnées bancaires.

• Mettez en place une procédure de vérification et de validation hiérarchique interne non dérogeante des demandes de virement imprévues ou d'acceptation de changements de coordonnées bancaires.

• Veillez à limiter la publication (site internet, réseaux sociaux...) permettant d'identifier et de contacter vos collaborateurs habilités à réaliser des demandes de virement ou de modifications de coordonnées bancaires.

• Généralisez l'utilisation de mot de passe solides pour les comptes de messagerie et activez la boucle authentification pour limiter les risques de piratage.