L’an dernier, 57% des entreprises françaises ont été victimes d’une cyberattaque, contre 32% l’année précédente. Pourtant près de deux tiers des sociétés n’ont prévu aucun plan d’urgence. Or, une fraude réussie pèse sur le cours de Bourse, sur la rentabilité et sur la trésorerie

Aucune entreprise n’est à l’abri d’une fraude. Pire, la plupart en sont victimes. La cyberattaque WannaCry de la mi-mai à travers plus de 150 pays dans le monde en est la parfaite illustration. Plus de huit entreprises françaises sur dix ont été victimes d’au moins une tentative de fraude en 2016, selon l’étude annuelle d’Euler Hermes, leader européen de l’assurance fraude, et de l’association nationale des directeurs financiers et de contrôle de gestion (DFCG). Et même 25% des sociétés ont subi plus de dix tentatives de fraudes, selon cette enquête réalisée auprès de 200 directions financières.

Explosion de la cybercriminalité

La fraude peut prendre de multiples formes. L’usurpation d’identité est la plus courante, avec en tête la fraude au « faux président », citée par 59% des sondés, puis les « faux fournisseurs » (56%), les « faux clients » (25%), voire les « faux banquiers, avocats, commissaires aux comptes » (29%). Mais à ces attaques classiques s’est ajoutée l’an dernier l’explosion de la cybercriminalité, avec 57% des entreprises victimes d’une cyberattaque, contre 32% en 2015. Là encore, les attaques sont protéiformes. Le «ransomware», qui consiste à introduire un logiciel malveillant pour bloquer l’utilisation des données informatiques afin d’exiger une rançon, est le plus utilisé. En 2016, 22% des entreprises y ont été confrontées.

Impact négatif sur le cours, la trésorerie et les clients

L’inquiétude est d’autant plus grande, qu’une entreprise sur cinq n’a pas su faire face à toutes les attaques rencontrées et a subi au moins une fraude avérée. Or, une fraude réussie se traduit par une perte financière, affectant la rentabilité et la trésorerie de la société. Parmi les sociétés victimes de fraude l’an dernier, 10% auraient subi une perte supérieure à 100.000 euros, selon l’enquête. Et dès qu’une entreprise annonce avoir été victime d’une attaque, elle cède immédiatement 5% en Bourse et perd jusqu’à 7% de clients, selon une récente étude du Ponemon Institute réalisée pour Centrify, spécialisé dans la sécurisation des réseaux informatiques.

Prise de conscience…

Les sociétés sont bien conscientes de ces risques, qui croissent et prennent des formes de plus en plus différentes. Plus de quatre entreprises sur cinq anticipent une accélération du risque de fraude cette année. 87% des sociétés interrogées craignent que la fraude pèse lourdement sur leur trésorerie. Alors, que faire ? Les réactions humaines sont citées en premier (53%), loin devant les procédures de contrôle interne (28%) et les dispositifs informatiques (18%). Pour la DFCG, c’est bien l’alliance organisée de tous ces moyens qui permet de lutter efficacement contre la fraude.

… mais pas de plan d’urgence

En dépit de ces attaques, près de deux tiers des sociétés n’ont prévu aucun plan d’urgence à activer en cas de fraude. Or, la réactivité est primordiale dans ces cas-là. Cette démarche doit s’inscrire dans une démarche plus large de gestion des risques. Là encore, le bât blesse. Seules 22% des entreprises ont réalisé une cartographie des risques selon l’étude. Pour faire face aux attaques, les sociétés privilégient la sensibilisation des équipes et la formation interne (89%), le renforcement des procédures de contrôle interne (80%) et un audit de sécurité des systèmes d’information (45%).

Autre interrogation. Qui doit piloter la lutte contre la fraude ? Pour le moment, c’est majoritairement la direction financière (55%), loin devant la direction informatique (16%) et la direction générale (12%), ont répondu les entreprises sondées.

Thomas Fenin