4 min de lecture
Dans le cas de la fraude au CEO, ou social engineering, les fraudeurs se font passer pour le CEO d’une entreprise (ou une personne de confiance interne ou externe) afin de manipuler un-e collaborateur-rice interne de cette entreprise pour qu’il/elle effectue une action (souvent un paiement) ou révèle des informations confidentielles.
Les fraudeurs commencent par recueillir des informations sur les procédures de paiement internes d’une entreprise et sur ses collaborateur-rice-s habilité-e-s à effectuer des transactions de paiement importantes.
Pour ce faire, ils piratent généralement la mailbox du CEO ou créent une fausse adresse qui est presque semblable à l’adresse réelle du CEO. Ainsi, souvent, la différence avec l’adresse officielle tient à une seule lettre.
Les collaborateur-rice-s qui tombent dans le piège n’effectuent pas le paiement pour le véritable CEO mais – sans s’en rendre compte eux-mêmes – transfèrent d’importantes sommes d’argent vers les comptes de mules. De ces comptes, l’argent est ensuite redirigé vers le compte des fraudeurs
Dans des conditions de travail normales, un collaborateur qui reçoit un tel courriel de sa ou son CEO et qui a des doutes sur la demande de paiement ira rapidement vérifier en se rendant dans le bureau de ce dernier. Maintenant que le télétravail est devenu la norme dans de nombreuses entreprises, cette étape du contrôle prend des proportions bien différentes. Les collaborateurs, par exemple, ne vérifient pas ou n'osent pas vérifier par téléphone l’authenticité de la demande.
Le meilleur conseil pour prévenir la fraude au CEO est donc de prévoir des procédures de contrôle suffisantes. Convenez par ex. que les paiements – surtout s’ils sont importants - ne seront pas seulement transmis par e-mail mais qu’ils seront aussi confirmés par un sms, un message WhatsApp, un appel téléphonique... Veillez à discuter des tâches confidentielles qui vous sont confiées avec les responsables, même si la discrétion est explicitement demandée.
Si vous avez malgré tout donné suite à la demande des escrocs, voici la procédure à suivre :