Les escroqueries aux faux ordres de virement (FOVI) font généralement suite au piratage de messageries électroniques, afin de demander la modification des coordonnées bancaires du véritable créancier dont le paiement est ainsi détourné.

Les modes opératoires de la FOVI

Les escroqueries aux faux ordres de virement visent à pousser un salarié ou un gent public à effectuer une virement bancaire, par usurpation d'identité du véritable créancier ou d'un autre acteur habilité à intervenir dans la chaîne du règlement. Ce type de manoeuvre frauduleuse est identifié depuis 2010 et constitue une réalité pour l'ensemble des acteurs économiques, tant privés que publics. Pour le secteur public (Etat, collectivités locales et établissements publics),  les FOVI sont en forte recrudescence depuis la crise sanitaire. Les vicitmes sont très majoritairement des communes.

Les escrocs recourent principalement à 3 techniques : 

  • Les escroqueries au changement de coordonnées bancaires : L'escroc peut se faire passer pour un fournisseur, un pensionné, un agent public souhaitant modifier ses coordonnées bancaires ou mettre en place un affacturage. Il s'agit de la fraude la plus commune dans le secteur public.
  • La fraude au président : L'escroc usurpe l'identité du président, du DAF (Direction de l'Automatisation des fichiers) ou d'un ordonnateur, et demande à un collaborateur d'effectuer un virement de toute urgence à un tiers, au prétexte d'un dossier sensible et confidentiel.
  • L'escroquerie à l'informatique : L'escroc peut se faire passer pour un responsable informatique, ou pour l'éditeur du logiciel de comptabilité utilisé, pour prendre le contrôle du poste informatique d'un agent en charge de la comptabilité.

 

Quel comportement à adopter afin de maîtriser ce risque financier ? 

  • Sensibilisez vos collaborateurs et cadres aux risques, notamment de réception de messages frauduleux d'hameçonnage (phishing) visant à leur dérober leurs mots de passe et en particulier si vos services de messageries sont hébergés ou accessibles en externe.
  • Diffusez des procédures claires aux collaborateurs mandatés sur les règles d'authentification des émetteurs et de confirmation des demandes dee virement imprévues ou de validation des changements de coordonnées bancaires.
  • Mettez en place une procédure de vérification et de validation hiérarchique interne non dérogeante des demandes de virement imprévues ou d'acceptation de changements de coordonnées bancaires.
  • Veillez à limiter la publication (site internet, réseaux sociaux...) permettant d'identifier et de contacter vos collaborateurs habilités à réaliser des demandes de virement ou de moficiations de coordonnées bancaires.
  • Généralisez l'utilisation de mots de passe solides pour les comptes de messagerie et activez la boucle d'authentification pour limiter les risques de piratage.