Euler Hermes, le leader européen de l’assurance fraude, et l’Association nationale des Directeurs Financiers et de Contrôle de Gestion (DFCG), ont interrogé plus de 200 entreprises implantées en France sur leur exposition, leur ressenti et leurs mesures de prévention face aux risques de fraude et cybercriminalité.
- Le risque de fraude et de cybercriminalité ne faiblit pas : en 2019, plus de 7 entreprises sur 10 ont subi au moins une tentative de fraude (comme en 2018)
- Les fraudeurs multiplient les attaques sur une même cible pour augmenter leurs chances de réussite : près d’une entreprise sur 3 a subi plus de 5 tentatives de fraude en 2019 (1/4 en 2018)
- L’usurpation d’identité reste la technique privilégiée par les fraudeurs, suivie par la cyber-fraude et la fraude interne
Face à la situation économique et sanitaire inédite que nous vivons, les entreprises ont une priorité clairement définie : préserver la continuité de leur entreprise. Si leur attention est pleinement focalisée sur cet enjeu essentiel, d’autres risques peuvent affecter fortement leur structure à court terme. Parmi ces risques, une menace tend à se renforcer ces dernières semaines : le risque de fraude et de cybercriminalité. En effet, la période actuelle ouvre aux fraudeurs de nouvelles brèches pour parvenir à leurs fins.
Le risque de fraude et de cybercriminalité reste toujours aussi intense
En 2019, plus de 7 entreprises sur 10 ont été victimes d’au moins une tentative de fraude. Un chiffre
similaire à celui constaté en 2018 et en 2017, preuve de la résilience des fraudeurs: ces derniers
maintiennent une pression intense sur les entreprises françaises. Plus inquiétant encore, la récurrence
de ces attaques sur une même cible. En effet, en 2019, 29% des répondants à l’enquête Euler Hermes-
DFCG ont été visés par plus de 5 tentatives (24% en 2018). Les fraudeurs n’hésitent pas à revenir à la
charge constamment, jusqu’à ce que le système de défense de leur cible cède.
Malheureusement, cette persévérance porte ses fruits : 27% des entreprises interrogées ont subi au
moins une fraude avérée en 2019, soit une légère progression (26% en 2018). Comment expliquer cette
efficacité croissante ? Le moment de l’attaque est un premier élément : 43% des entreprises ont
remarqué une recrudescence des attaques en période de congés, week-end ou veille de week-end
(35% en 2018). Les fraudeurs concentrent leurs efforts sur les périodes où les entreprises sont les
moins armées pour se protéger (moins de personnel, moins d’attention, etc).
Mais subir une fraude, combien cela coûte-t-il concrètement ? La facture se révèle généralement assez
salée : pour près d’une entreprise sur 3, le préjudice subi est supérieur à 10K€ (comme en 2018). De
quoi fragiliser fortement la trésorerie des entreprises et dans certains cas compromettre leur activité,
plus encore dans le contexte actuel où les chaînes d’approvisionnement sont perturbées et la demande
à l’arrêt.
L’usurpation d’identité reste la technique préférée des pirates devant les outils cyber
L’usurpation d’identité est la technique plébiscitée par les fraudeurs, citée 4 fois parmi le top 5 du
baromètre Euler Hermes – DFCG. La fraude au faux fournisseur est toujours la plus utilisée par les
pirates, citée par 48% des répondants. Elle est suivie par la fraude au faux président, qui a
sensiblement progressé (38%), les autres usurpations d’identité (banques, avocats, commissaires au
compte – 31%) et la fraude au faux client (24%).
« L’usurpation d’identité est un grand classique de la fraude, et elle est de loin la technique favorite des
fraudeurs. Son usage a toutefois évolué : là ou auparavant, le mail était le facteur déclencheur, de
nouvelles techniques plus pointues sont apparues et permettent aux fraudeurs de gagner en efficacité.
On peut notamment penser à l’intelligence artificielle et aux logiciels d’imitation de voix, grâce auxquels
les fraudeurs ont plus de crédibilité dans leurs tentatives, et qui permettent de constituer des scénarios
d’usurpation d’identité extrêmement convaincants », explique Armelle Raillard, Experte assurance-
fraude chez Euler Hermes France.
Par ailleurs, l’intrusion dans les systèmes d’information (29%) apparait également dans le top 5. Elle est
utilisée à la fois en tant qu’attaque directe, avec les rançongiciels (cités par 15% répondants), mais
aussi comme un moyen de préparer une fraude. Enfin, la fraude interne a été plus utilisée en 2019
qu’en 2018, citée par 14% des répondants (12% en 2018).
Les entreprises ont de plus en plus peur de subir une fraude ou une cyberfraude
Les entreprises semblent de plus en plus conscientes de la menace qui plane. En effet, 84% des
répondants craignent une accentuation du phénomène sur l’année à venir (+6 points par rapport à notre
dernière enquête).
Christian Laveau, Président du Groupe de travail Cyberfraude de la DFCG, indique : « Les entreprises
et leurs directions financières doivent veiller à la robustesse de leurs dispositifs de contrôle interne et de
lutte contre la cyberfraude. Le risque est que la crise que nous traversons conduise à une moindre
vigilance ou à la « dégradation temporaire » des dispositifs de contrôle en raison de la priorité, légitime,
donnée à la continuité d’exploitation. Les cyber-fraudeurs peuvent en profiter pour exploiter toute faille
du dispositif de prévention et de contrôle et accentuer leurs attaques. »
Des mesures concrètes de défense ont été prises, mais sont-elles suffisantes ?
La prise de conscience des entreprises est rassurante, d’autant qu’elle semble aller plus loin que la
simple crainte. En effet, 60% des entreprises interrogées ont mis en place une cartographie des
risques. Mieux encore : 93% d’entre elles ont identifié sur cette cartographie le risque de fraude, et 78%
ont répertorié le risque de cybercriminalité. La preuve que ces menaces sont bien considérées comme
un fléau par les entreprises. Certaines entreprises ont, de ce fait, décidé de créer ou transférer un
budget dédié à la lutte contre la fraude. Elles sont près de 40% selon l’enquête Euler Hermes – DFCG.
Philippe Guillaumie, Président du Comité Scientifique de la DFCG précise : « La mise en place du
télétravail à grande échelle dans le cadre de la crise sanitaire a ouvert de nouvelles brèches du fait du
développement des solutions numériques et illustre de nouveau la grande vulnérabilité des entreprises
à la cyberfraude. Dans ce contexte, les dispositifs de contrôle interne doivent être maintenus ou
renforcés, y compris dans ces circonstances exceptionnelles vis à vis du risque accentué de fraude
interne, mais un investissement significatif doit être aussi consenti pour tester régulièrement la
résistance des Systèmes d’Information face à la cyberfraude et identifier/réparer les failles possibles. Le
recours à l’assurance est également un dispositif de protection efficace, mais il ne dispense pas d’une
politique de prévention. »
Autre motif d’optimisme, 60% des entreprises disposent désormais d’un plan d’urgence à activer en cas
d’attaque, alors qu’elles n’étaient que 50% lors de la précédente édition de notre baromètre. Une
amélioration notable, qui prouve que la lutte contre la fraude est un sujet pris en compte par les
entreprises. Mais l’est-il assez ?
« Il y a du mieux, et les entreprises s’en félicitent : elles sont 74% à juger leur dispositif défense
satisfaisant, contre 69% l’an passé. Mais il y a encore du chemin à parcourir pour que les systèmes de
défenses soient optimisés : plus de 6 répondants sur 10 n’ont toujours pas alloué de budget spécifique
à la lutte contre fraude et la cybercriminalité pour cette année. Nous sommes sur la bonne voie, mais
les entreprises doivent aller plus loin dans leur démarche pour se mettre à l’abri des attaques. Des
dispositifs comme l’assurance-fraude existent, et permettent aux entreprises de transférer ce risque
majeur sur une tierce partie pour ne pas avoir à l’assumer entièrement », conclut Armelle Raillard.