Fraude de PDG: pourquoi ne pas faire confiance à son patron

Rétrospectivement, il est facile de parler. Toutes les sonnettes d'alarme ont dû sonner lorsque, le 8 mars 2018, ce courrier électronique est arrivé chez la direction de Pathé Nederland:

"Nous travaillons sur une transaction financière en vue de l'acquisition d'une société étrangère à Dubaï. Cette transaction doit rester strictement secrète. Personne d’autre ne peut le savoir. "L’expéditeur était le patron de la société mère française. Ou plutôt: des escrocs qui prétendent être le patron français. Avec l’astuce de fraude souvent utilisée par le PDG, ils ont privé la chaîne de cinéma de plus de 19 millions d’euros l’an dernier.

Les détails sont apparus dans un jugement publié vendredi. Le tribunal de district d'Amsterdam a statué sur un conflit de travail entre Pathé et le directeur financier Edwin Slutter. Slutter, à l'instar de la femme néerlandaise Derte Meijer, a été suspendu et licencié en l'espace d'un mois parce qu'ils étaient tombés dans le piège des fraudeurs sur Internet. Le juge a statué que Slutter n'aurait pas dû être licencié. Les escrocs ont travaillé de manière si raffinée que cela ne le dérangeait pas.

Quelle raffinement, selon l'échange de courrier que Slutter et surtout Meijer avaient eu avec les fraudeurs. Meijer se bat également contre son renvoi. Le juge se penchera ensuite sur cette question. Peu à peu, avec son directeur financier, elle a été fouettée à l'intérieur et utilisée comme des hommes de main sans scrupules des voleurs.

Projet de loi envoyé chaque année par courrier électronique

L'escroquerie est un exemple flagrant de la fraude au chef de la direction. L'astuce – commission d'un faux patron – est un fléau pour le monde des affaires dans lequel les transactions sont souvent traitées de manière purement numérique, uniquement via le trafic de courrier électronique. Fraudehelpdesk.nl estime les dégâts aux Pays-Bas à 2,5 millions d'euros cette année. Selon le FBI, cela représente environ 12,5 milliards de dollars dans le monde ces cinq dernières années.

La peste touche tous les secteurs, en particulier les entreprises dans lesquelles des sommes importantes sont gérées. Dans le secteur du cinéma également, des transferts de quelques millions d'euros sont à l'ordre du jour. Ces montants sont nécessaires pour les licences de film ou la construction d'un théâtre. Ou l'achat d'une entreprise à Dubaï.

Employé fictif de KPMG

Le premier courrier de la société néerlandaise Pathé est déjà pris au piège: afin de gagner la confiance, un employé fictif de KPMG est introduit et connaît le cas. Un prochain email demande des informations sur l'état du compte bancaire, qui donne une indication des flux d'argent.

Le premier virement consiste en un montant de 826.521 euros sur un numéro de compte à Dubaï. Si cela réussit, les montants sont augmentés. D'abord 2,5 millions d'euros, puis des paiements de plus de cinq millions. Au total, le compteur s'élève à 19 244 304 euros. La société néerlandaise se demande une seule fois si ces transferts secrets à Dubaï sont à gagner. " Strange n'est-ce pas?", Rapporte Derte Meijer à son directeur financier, si l'escroc indique que les paiements doivent obligatoirement passer par "Hollande". Ils ne réalisent pas qu'ils aident au vol de leur société mère française.

L'argent provient en grande partie d'un pool de trésorerie en France. Là-bas, quelqu'un commence à se méfier le 28 mars. S'il existe une consultation téléphonique entre la France et les Pays-Bas, il s'avère que la société est dirigée par le jardin.

Ingénierie sociale: "Je compte sur vous"

Une fraude de PDG comme Pathé est en partie un piratage technique – il existe les adresses électroniques ont été simulées et de fausses signatures. Mais il s’agit principalement d’un échantillon d’ingénierie sociale répondant à la relation entre gestionnaire et employé. En tant que victime, vous vous adressez à votre sens de l'autorité (le patron le dit) et à votre confidentialité («Je compte sur vous»). Il y a un élément d'appréciation personnelle («sans votre aide, cette mission échoue») et d'urgence urgente: cela doit arriver maintenant .

Une phrase du verdict est frappante: "Pathé ne l'a jamais formé ni chargé de détecter une fraude." Bien qu'aucune preuve n'ait encore été trouvée pour un "travail interne", Pathé a d'abord blâmé ses employés.

Il était préférable de former le personnel avec des courriels de phishing «bénins» et d'apprendre aux gens à vérifier différentes demandes avec un chèque supplémentaire. Un appel téléphonique, par exemple. Il est significatif que Pathé n'ait découvert la fraude qu'après une consultation téléphonique.

Dès que vous nous contactez pour vérifier un ordre de paiement, n'utilisez pas les adresses ni les numéros dans votre courrier, mais des données de votre propre liste de contacts. Ce n’est pas pour rien que la fraude des PDG est également appelée Compromise des e-mails commerciaux (BEC).

Pathé annonce qu'il a ajusté ses procédures après le cas de fraude. Les employés (1 800 aux Pays-Bas et 4 210 dans le monde) ont maintenant suivi une formation, rapporte un porte-parole.

Une leçon importante à tirer des cas de fraude impliquant un chef de la direction: face à une mission d’en haut, les employés ont tendance à ignorer leur propre intuition. Cet étrange courrier électronique de votre patron ne mérite aucun respect supplémentaire, mais plutôt un soupçon supplémentaire.