[Groupe K2] Risques de fraude - Hybridation du travail

05/12/2023 - 11 min. de lecture

[Groupe K2] Risques de fraude - Hybridation du travail - Cercle K2

Le Cercle K2 n'entend donner ni approbation ni improbation aux opinions émises dans les publications (écrites et vidéos) qui restent propres à leur auteur.

Abdel Bencheikh est Chief Risk & Sustainability Officer. Nicolas Dufour est DR en gestion, Professeur affilié au Cnam (Laboratoire Lirsa) et Directeur adjoint risque d'un Groupe diversifié.

---

1. La tentation plus grande des fraudes internes

La fraude interne peut se définir comme un acte intentionnel perpétré par un ou plusieurs collaborateurs, en lien ou non avec des tiers (clients, fournisseurs, prospects) en vue de détourner des actifs financiers ou informationnels de leur organisation de rattachement, et ce en vue d’en tirer un profit illégitime direct ou indirect.

La gestion de la fraude est à la fois l’un des sujets les plus incontournables et les plus difficiles en matière de gestion des risques RH. Un DG d’une grande organisation du secteur financier rencontré par les auteurs en 2022 l’évoquait sous cet angle : « Vous me demandez si j’ai des fraudes internes dans mon organisation, oui nous en avons déjà eu, oui il y en a sûrement en cours et oui il y en aura à l’avenir. Notre sujet est de savoir les détecter, les prévenir et dissuader les collaborateurs de se lancer dans ce genre d’action qui peut aller jusqu’à porter atteinte à l’image de la banque. ». Ces propos étayés par cet investigateur fraude d’une grande banque rencontré en 2023 par les auteurs : « La fraude interne, ce n’est qu’une question de temps et de vouloir la détecter pour en trouver, on sait que cela existe, beaucoup ne veulent pas regarder du côté de ce risque-là car cela remet en cause la confiance dans et au sein de l’organisation, mais sans effet de dissuasion, on doit ensuite faire face à un effet de contagion ! Dans les entreprises responsables, les dirigeants et directions risques et audit prennent leur courage à deux mains et traitent ces cas avant que cela ne vérole toute l’organisation. »

A la question de savoir si le risque de fraude interne se gère dans les organisations, certaines études récentes (Diard, Dufour, 2022)[1] répondent par l’affirmative. Il revient à l’organisation de mettre en œuvre à la fois des actions préventives, détectives et réactives pour prendre en compte ce risque. 

Cela suppose plusieurs approches coordonnées :

  • Disposer d’une cartographie des risques permettant de recenser les processus les plus à même d’être concernés par ce risque,
  • Décliner un dispositif de contrôle interne performant (contrôles manuels, automatisés, fondés sur des outils de supervision mais aussi des missions de contrôle dédiées) sur ces processus en partant du principe que des cas de survenance en détection surviendront tôt ou tard,
  • Prévoir le principe d’escalade associé à la détection de tels cas, dans le cadre d’un dispositif d’alerte professionnelle (Cailleba, Dufour, 2020)[2] mais parfois aussi de cellules de crise dédiées lorsque la détection arrive trop tardivement (Duarte, 2021)[3]. A cet égard, de grands scandales de fraudes internes ont pu toucher des organisations de différents secteurs, pourtant dotées de dispositif robuste de contrôle et d’audit des activités.

Le management des informations de paiement tel que le RIB a toujours été un facteur de risque important pour la fraude interne. La modification des coordonnées bancaires d’un prestataire la veille du règlement d’une facture importante est relativement aisée. La modification des coordonnées bancaires d’une centaine de collaborateurs la veille de lancement de la paye n’est pas compliqué non plus. Il suffit d’avoir les accès aux systèmes concernés et que les dits systèmes ne disposent pas de gestion des droits d’accès et que la séparation des tâches ne soit pas obligatoires. Un collaborateur peut accéder au système de paye voire au système de règlement en utilisant, à son insu, les accès d’un collègue ou un compte générique pour modifier le ou les RIB de prestataires ou de collaborateurs la veille du règlement des factures ou du lancement de la paye pour tout virer vers un compte situé à l’étranger et le tour est joué. Il doit juste le faire d’un espace de travail avec accès réseau et sans rapport avec lui. Effectivement, plusieurs cas de fraudes de ce type ont été détectés rapidement car le collaborateurs ou ex-collaborateur fraudeur avait opéré de chez lui sans se douter que l’enquête allait identifier son domicile grâce à l’adresse IP utilisée pour la connexion au réseau de l’entreprise. Un plan d’action pour mitiger ce risque de fraude serait de disposer d’un outil centralisé pour une gestion efficace des données maîtres de l’entreprise. Les données « maîtres » se situent en haut de la pyramide d’alimentation de tous les outils et système de l’entreprise (paye, banque, facturation, SIRH, CRM …). Ils concernent toutes les informations relatives aux salariés, aux institutions (impôts, Urssaf…) et aux entreprises (clients, prestataires…) : identité, coordonnées, RIB, contacts… La modification ou la création d’une information au niveau de la base de données maitre va impacter tous les systèmes en aval (ie. données « esclaves »). Il suffit donc de sécuriser l’accès aux données « maitres » et d’appliquer le principe de séparations des tâches (principe des 4 yeux) pour éviter ce type de fraude. 

Parmi les facteurs de risques à prendre en compte, ceux associés au télétravail peuvent amener à regarder la potentialité de survenance de fraude interne, posant des questions clés peu évidentes en pratique :

  • Peut-on détecter des cas de fraudes internes en situation de télétravail voire de travail hybride ?
  • Existe-t-il des schémas de fraudes opérant et non détectés jusqu’alors, prenant leurs sources dans la difficulté de détection liée à ces modes de travail hybride actuellement généralisé dans de nombreux secteurs d’activité ?
  • Comment détecter ces cas en prouvant la matérialité des faits, l’intentionnalité des fraudeurs (certains se cachent derrière des erreurs opérationnelles voire des usurpations d’identité ou plaident leur bonne foi quand ils ne refusent pas tout simplement de reconnaître des faits avérés) ainsi que l’imputabilité desdites fraudes ?
  • Comment traiter ces conditions pour prouver la fraude et son rattachement à un collaborateur dans un contexte de travail hybride, ce tout en respectant des conditions de rigueur telles que le respect du droit à la vie privée, la conformité au RGPD ou encore au droit social ?

Il reste difficile de répondre à toutes ces questions, pour autant des situations bien réelles de risque peuvent survenir comme en témoignent les cas ci-après, relevés dans différentes organisations[4] (Diard, Dufour, 2021)[5], ainsi que les facteurs de risques observés dans le schéma ci-après :

un DRH d’une entreprise de conseil en organisation évoque un cas de risque de conflit d’intérêt observé dans ce contexte de travail hybride : « Nous avons eu un cas d’abus que l’on a estimé significatif pendant la période de confinement de 2020 : l’un de nos collaborateurs avait développé une activité en freelance en parallèle de son job de consultant en projet et organisation, ce qui est autorisé. Ce qui l’est moins, c’est que l’objet social de sa boîte était très proche du notre et sa cible, activité et clients l’étaient aussi. Certains de ses collègues et même son manager étaient au courant mais cela n’est pas remonté car tous pensaient qu’il s’agissait uniquement d’une activité annexe pour donner de la formation comme cela se fait beaucoup dans notre métier via des facs ou des écoles de commerce. On a même dans nos objectifs de faire connaître notre marque alors on encourage cela. On a en fait découvert qu’il se lançait dans des réponses à appels d’offres en freelance sur les mêmes prospects que son entreprise de rattachement salarié, et cela s’est vu quand il a répondu à une soutenance d’appel d’offres pour son activité freelance pendant ses heures de travail salarié, et ce en télétravail. C’est un de nos clients qui nous a alerté avouant ne pas comprendre pourquoi il candidatait à la mission en tant que freelance et était aussi dans les consultants proposés par notre entreprise dans la réponse à appel d’offres. Nous avons été contraints de le licencier après avoir obtenu une confirmation écrite du prospect, ce qui nous a mis en difficulté pour cet appel d’offres. Nous avons appris ensuite qu’il n’en était pas à son coup d’essai et ce toujours quand il travaillait de chez lui. Cela reste un cas exceptionnel mais on s’est dit que notre accord télétravail et notre règlement intérieur devaient mieux prévoir les cas de conflits d’intérêt. »

un directeur financier d’une entreprise de logistique détaille le cas ci-après : « Avec la possibilité dans notre accord de télétravail de prévoir 2 à 3 sites pour le travail à distance on a voulu donner de la souplesse aux équipes et ce 3 jours par semaine. On s’est dit que cela boosterait notre marque employeur et que cela permettrait de recruter ou de garder les profils les plus durs à garder. On a dû se poser la question de la fraude interne de manière plus précise, ce que l’on faisait auparavant mais surtout en regardant les pratiques sur site. En effet, l’un de nos collaborateurs comptables s’est mis à réaliser tous les virements sensibles depuis un espace de coworking et certains de ses accès ont été utilisés dans le cadre d’une tentative de fraude aux faux ordres de virements, les fameuses « fraudes aux présidents ». On a d’abord pensé à une fraude de tiers sans lien avec l’entreprise, mais c’est l’officier de police judiciaire qui nous a indiqué que notre comptable avait eu de nombreux échanges de mails et de sms avec l’un des tiers suspectés. L’enquête révélera une fraude par collusion opérée depuis cette plateforme de coworking qui avait été autorisée par son manager et est devenue l’argument légitimant la fraude dans son esprit. Nous avons dû restreindre les postes et opérations sensibles à un accès sur site avec contrôle croisé et recertification des connexions par un troisième facteur d’authentification. »

 

2. L’augmentation des tentatives de fraude externe

Les risques de fraudes liés à l’hybridation des formes de travail concernent la fraude interne mais aussi les fraudes externes :

Le risque d’abus voire de fraude est également plus présent dans les formes de travail hybrides comme nous le confirme ce directeur des risques : « Le télétravail contraint a exposé nos équipes à une nouvelle forme de fraude : les cas d’ingénierie sociale sont connus, mais ils ont souvent lieu via les réseaux sociaux. Là, les fraudeurs externes se sont adaptés et se sont attachés à obtenir des informations par téléphone sur les collaborateurs pour faire des petites escroqueries. Ils n’ont pas contacté la comptabilité car ils savaient que ces derniers étaient sensibilisés. Ils ont contacté d’autres équipes comme la communication, le marketing, les projets, et se sont faits passés pour des fournisseurs, le procédé classique. Ils ont ciblé des fournisseurs eux-mêmes victimes de phishing comme ça ils ont pu créer des messageries usurpées et se faire passer pour eux. Il a fallu adapter nos discours et notre prévention. »[6] ; propos complétés par ce responsable contrôle interne d’une entreprise d’assurance : « On a vu exploser les occurrences de fraude externe entre 2019 et 2022. Avant, on se demandait si on ne pouvait pas assouplir les ressources dédiées au traitement des cas de fraude de tiers pour les orienter vers d’autres sujets comme la conformité. Aujourd’hui on en est à défendre des recrutements supplémentaires rien que sur la fraude externe. Nous avons parmi nos assurés affaire à des fraudeurs qui ont bien compris que beaucoup de nos gestionnaires bénéficient désormais du télétravail car nous avons communiqué sur cela dans une logique RSE mais aussi car les conseillers en sinistre assurance ont continué à travailler de chez eux pendant la pandémie. Nous en sommes sortis par le haut avec un accord de télétravail ambitieux et apprécié des équipes. Le revers de la médaille est une hausse de 13% des tentatives de fraudes externes imputables à cette nouvelle période que l’on vit et on constate que si l’on n’est pas vigilants, beaucoup de nos gestionnaires laissent passer des cas de fraude quand ils travaillent de chez eux. La raison est simple : ils sont peut-être parfois un peu distraits ou ont aussi plus de réunions en distanciel. On observe également qu’ils ont moins le réflexe de contacter leur collègue ou leur manager quand ils ont un doute sur un dossier suspicieux. Avant, dans ce genre de cas il était plus aisé de se lever, prendre 5 minutes pour parler d’un dossier à son chef. Maintenant, le chef est accaparé par des réunions Teams ou Webex et certains des collègues de la gestion on ne les a jamais vu. La proximité a pu se perdre. On a partagé ce constat avec les managers et les ressources humaines et il a été mis en œuvre une sensibilisation spécifique, un aide-mémoire sur les cas suspicieux ainsi qu’un point d’échange hebdomadaire sur les dossiers de fraude externe pour éviter de passer à côté de cas flagrants. On communique aussi sur le fait que la performance c’est une chose mais que le doute prime aussi face à une possible fraude externe. » 

Autre exemple, ce directeur comptable nous partage sa préoccupation face au risque de fraude externe dans les environnements de travail hybride : « Nous avons quasiment une tentative de fraude au président par semaine là où nous en avions une par mois avant. Les fraudeurs ont bien compris que nos jours de télétravail sont les mercredis et les vendredis dans l’entreprise AAA. Alors ils ciblent sur ces journées en insistant via des appels, des mails frauduleux, toujours plus crédibles de semaine en semaine. On a dû renforcer nos contrôles et sensibilisation pour ne pas se retrouver face à un risque démesuré. C’est devenu une préoccupation bien ancrée dans l’esprit des collaborateurs mais on insiste aussi sur les nouveaux arrivants issus de la mobilité interne ou des recrutements pour que cette culture de prévention des fraudes ne se perde pas une fois dans son bureau en télétravail quand l’environnement de confiance est parfois plus élevé et quand on se dit que peut-il m’arriver je suis chez moi. »

 

---

Cette Tribune s'inscrit dans le cadre du Groupe K2 "Télétravail et Hybridation du travail : une expérience collaborateur réinventée ?" composé de :

Caroline Diard est Professeur associé, TBS Business School Département droit des affaires et Management des Ressources Humaines et co-pilote du Groupe - Farid El Arji est Membre, Comité de Direction DRH, SNCF TGV-Intercités et co-pilote du Groupe - Karine Babule est Chargée de mission ANACT - Agence Nationale pour l'Amélioration des Conditions de Travail - Pauline de Becdelievre est Maitre de conférences, Institutions et dynamiques historiques de l'économie et de la société, ENS Paris Saclay - Abdel Bencheikh est Chief Risk & Sustainability Officer - Marie Benedetto-Meyer est Maitresse de conférences en Sociologie & Membre associée, Laboratoire Printemps - Marc Bertier est Expert workplace, Kardham - Olivier Bouteille est HR Manager, IKEA - Gaëlle Cachat-Rosset est Professeure adjointe, Faculté des Sciences de l’Administration, Université Laval - Nicolas Cochard est Directeur R&D, Kardham - Nicolas Dufour est DR en gestion, Professeur affilié, Cnam (Laboratoire Lirsa) - Nadr El Hana est Maitre de conférences, IAE Paris Sorbonne Business School - Sébastien Foy est Dirigeant, Cabinet Leonard Conseil - Virginie Hachard est Doyenne Adjointe, EM Normandie - Christelle Havard est Professeur associé, Burgundy School of Business (BSB) - Sana Henda est Enseignant-chercheur, ESC Amiens - Alain Klarsfeld est Professeur en Gestion des Ressources Humaines, TBS Business School - Lina Lim est Co-fondatrice, ECLEVIA, organisme de formation en performance managériale - Audrey Morgand est Enseignant-chercheur, ESC Amiens - Thibault Paternoster est CEO, Woby - Tania Saba est Professeure titulaire, Faculté des arts et des sciences, Université de Montréal - Frédéricke Sauvageot est Directrice de la QVT du Domaine Immobilier et des Espaces de Travail, Orange.

---

TELECHARGER LE RAPPORT

---

[1] - Diard C., Dufour N., Risque de fraude interne, comment dissuader efficacement les salariés ? Annales des Mines – Gérer et Comprendre, n°149, septembre 2022, p.47-60. Diard C., Dufour N., Technologies de contrôle : un enjeu organisationnel de lutte contre la fraude interne ?, Revue Management & Avenir, n°130, août 2022, p.65-89.

[2] - Cailleba P., Dufour N., Les conflits d’intérêt à l’épreuve des lanceurs d’alerte : cas de recherche-intervention dans le cadre de la règlementation Sapin II, Annales des Mines – Gérer et Comprendre, n°142, p.27-38, décembre 2020

[3] - lien

[4] - Entretiens menés par les auteurs en 2021 et 2022.

[5] - Diard C., Dufour N., Dans quelle mesure les accords d’entreprise permettent-ils de prévenir les risques liés au télétravail ?, Revue de l’Organisation Responsable, n°1, p.25-37, mars 2021

[6] - Entretiens réalisés par les auteurs en 2020 et 2022.

05/12/2023

Dernières publications