Renverser la tendance en matière de fraude

Puisque les méthodes qu’emploient les fraudeurs évoluent, nous devons également modifier nos dispositifs de défense. Dans l’environnement commercial variable actuel, il est essentiel que les entreprises canadiennes, grandes ou petites et de tous les secteurs, améliorent leurs stratégies de prévention de la fraude, d’autant plus que des technologies comme l’intelligence artificielle (IA) générative et d’autres facteurs clés décrits ci-dessous transforment le contexte des risques de fraude.

Pour conserver une longueur d’avance, les entreprises doivent comprendre leur exposition au risque, tant à l’interne qu’à l’externe, et se doter des outils, des compétences et des partenariats nécessaires pour s’adapter à l’évolution du contexte des risques.

Apprenez-en davantage sur les risques de fraude les plus préoccupants et sur les principales mesures à prendre pour protéger son entreprise.

Aucun secteur d’activité ni aucune entreprise n’est à l’abri des risques de fraude internes et externes. La vaste communauté canadienne de petites et moyennes entreprises (PME) est souvent plus vulnérable à la fraude en raison d’un manque de sensibilisation et de contrôles rigoureux, ce qui les rend mal préparées à contrer les attaques. Cependant, même si les grandes entreprises canadiennes disposent d’une plus grande quantité de ressources et de contrôles en matière de prévention de la fraude, leur taille complique souvent l’adoption de stratégies et de mesures à l’échelle organisationnelle pour faire face efficacement aux nombreuses menaces de fraude.

Au cours des dernières années, l’émergence de l’IA générative, des cryptoactifs, des portefeuilles numériques et des efforts régionaux de modernisation des paiements ont pavé la voie à un grand nombre de vecteurs d’attaque pour les fraudeurs nationaux et internationaux. Bien que la réglementation et les pratiques exemplaires en matière de prévention de la fraude rattrapent leur retard, elles n’évoluent pas assez rapidement, ce qui rend les entreprises très vulnérables aux attaques.

Par définition, la fraude est un acte de tromperie pour obtenir un gain financier ou personnel. Elle peut être exécutée à l’externe par des cybercriminels de partout dans le monde, ou à l’interne par des membres du personnel qui cherchent à tirer profit de leur accès.

En outre, à l’ère actuelle des monnaies numériques, des communications virtuelles et de l’IA générative, la fraude peut prendre des formes de plus en plus trompeuses.

Prenons pour exemple la fraude liée aux cryptoactifs dans le cadre de laquelle des cybercriminels attirent des victimes trop confiantes vers de faux investissements (arnaque sentimentale, escroquerie où l’arnaqueur disparaît avec l’argent de la victime [« rug pull »], dépeçage de porc, etc.). En 2023 seulement, les cybercriminels ont touché 24,2 milliards de dollars américains par l’intermédiaire de fraudes liées aux cryptoactifs*. Ces attaques laissent aux victimes peu ou pas de recours pour recouvrer leurs pertes.

L’époque de la fraude par chèque tire à sa fin puisque de moins en moins de personnes en utilisent. Néanmoins, les fraudes liées aux achats en ligne (prise de contrôle de compte en ligne, vol de données, rétrofacturation frauduleuse, etc.), le piratage psychologique (hameçonnage, chasse à la baleine, fraude auprès des aînés, piège à miel, etc.), les attaques de l’homme du milieu (vol de données personnelles et financières) et d’autres escroqueries plus sophistiquées comblent le vide laissé par la disparition de la fraude par chèque.

La fraude environnementale, sociale et de gouvernance (ESG) constitue un autre sujet de préoccupation majeur. Elle se produit lorsqu’une entreprise embellit ses activités et ses résultats ESG afin de satisfaire diverses parties prenantes, notamment les investisseurs, les clients, les partenaires et les organismes de réglementation. On la qualifie parfois d’écoblanchiment. Un exemple de fraude ESG est la désinformation sur les émissions de gaz à effet de serre. Ce type de déclarations fausses ou trompeuses peut entraîner de graves atteintes à la réputation et des pertes financières. Il existe d’autres types de fraudes liées aux facteurs ESG, comme les pots-de-vin et la corruption, le blanchiment d’argent ainsi que d’autres activités peu éthiques.

Si elles ne sont pas gérées adéquatement, les pressions croissantes exercées sur les entreprises pour qu’elles répondent aux attentes des parties prenantes et aux exigences réglementaires peuvent mener par inadvertance à de la fraude ESG. Évidemment, cela peut avoir un effet dommageable et porter atteinte à la confiance des clients, des partenaires du secteur, des organismes de réglementation et du grand public.

Avec l’avènement de nouveaux règlements au Canada, comme la Loi sur la lutte contre le travail forcé et le travail des enfants dans les chaînes d’approvisionnement, il est essentiel que les entreprises évaluent adéquatement les risques liés à leurs activités, dont l’approvisionnement dans les zones de conflit, et mettent en œuvre des contrôles internes ainsi que des programmes rigoureux de lutte contre la fraude. Ces mesures assurent la fiabilité des renseignements et des rapports ESG et peuvent contribuer à contrer d’autres types de fraude ESG.

Il est impossible d’aborder le sujet de la fraude sans mentionner l’IA et le rôle dualiste qu’elle joue. D’un côté, cette technologie – et maintenant l’IA générative – vient doter les fraudeurs de nouvelles capacités considérables pour contourner les contrôles de sécurité traditionnels et se frayer un chemin au sein du fonctionnement interne d’une entreprise. En effet, on voit de plus en plus de gros titres concernant des fraudeurs qui utilisent du contenu numérique hypertruqué, soit des fichiers audio ou vidéo, pour duper des entreprises ainsi que les inciter à transférer de l’argent ou à offrir un accès à des données et à des systèmes essentiels.Parallèlement, l’IA est utilisée pour rafraîchir des arnaques d’une autre époque (l’hameçonnage, le vol d’identité, etc.).

D’autre part, cette technologie devient rapidement un élément de base de la prévention de la fraude. De nombreuses grandes institutions utilisent déjà l’IA pour automatiser la détection des menaces, fournir des alertes en temps réel et réduire le temps et les ressources consacrés à la surveillance manuelle. En effet, 67 % des leaders de PME canadiennes victimes de fraude indiquent qu’ils tirent parti de l’IA ou de l’apprentissage automatique pour lutter contre la fraude, ce qui démontre une dépendance croissante envers ces technologies. Cependant, il est essentiel que les entreprises veillent à s’associer à des fournisseurs et à des spécialistes des technologies émergentes de confiance pour s’assurer que les modèles d’IA sont bien conçus, fiables et conformes à leurs objectifs de sécurité.

La vérification et la gestion précises des identités numériques sont essentielles pour combattre de nombreuses formes de fraude moderne. Pourtant, cela s’avère plus facile à dire qu’à faire, car de nombreuses PME ne disposent pas des ressources, des compétences spécialisées ou des outils de gestion des identités et des accès (GIA) des clients nécessaires pour tenir les fraudeurs à distance, ce qui accroît le risque de vol d’identité et de prise de contrôle de compte. Les grandes entreprises disposant de ces ressources pourraient être mieux outillées, mais se heurter à des difficultés en ce qui concerne l’adaptation efficace de leurs processus et de leurs technologies de confirmation d’identité.

L’établissement de systèmes efficaces de GIA des clients ainsi que de confirmation d’identité peut être décourageant pour les entreprises, d’autant plus que la cybercriminalité peut provenir tant de l’interne que de l’externe. Heureusement, les entreprises ont accès à des services de soutien, à des technologies et à des spécialistes qui peuvent les aider à établir des solutions de GIA personnalisées, à évaluer et à améliorer leur gestion de la sécurité des données ainsi qu’à intégrer davantage de mesures de sécurité supplémentaires (p. ex., l’authentification multifacteur) pour combler leurs lacunes à ce chapitre.

Le contexte canadien de la fraude a beau être en pleine mutation, les entreprises peuvent prendre des mesures définitives pour y faire face efficacement. Au cœur de ces efforts devrait se trouver la sensibilisation continue auprès du personnel, des clients et des autres parties prenantes, dans le but de créer (et de maintenir) une culture de sécurité.

Par ailleurs, il existe d’autres étapes importantes à prendre en considération au moment d’élaborer de solides programmes de lutte contre la fraude. En voici quelques-unes :

Évaluation de l’exposition de l’entreprise au risque de fraude : 
Avant tout, chaque entreprise doit déterminer où elle est la plus vulnérable. L’évaluation des menaces lui permettra de déceler les risques internes et externes auxquels elle s’expose, de définir sa tolérance aux risques, de cerner les mesures actuellement en place pour les prévenir et de déterminer ce qui peut être fait pour combler les lacunes en matière de prévention de la fraude.

Optimisation des contrôles : 
Les fraudeurs exploiteront les plus petites failles du système de défense des entreprises. Pour cette raison, il est essentiel que ces dernières sachent quels contrôles antifraude sont en place, dans quelle mesure ils sont efficaces et quelles en sont les lacunes. Cela commence par une évaluation approfondie de l’exposition au risque et un test de l’efficacité des contrôles établis pour gérer les risques. Il est également important que les entreprises procèdent à des évaluations et à des tests réguliers des contrôles pour s’assurer que ceux-ci continuent à faire le poids face aux menaces émergentes.

Promotion du partage de l’information : 
En ce qui concerne la prévention de la fraude, personne ne sort gagnant en cachant aux autres son expérience, ses connaissances et ses pratiques. L’échange de renseignements utiles entre fonctions, bureaux, pairs du secteur, organismes d’application de la loi et membres d’une communauté d’affaires permet à tout le monde de comprendre les menaces émergentes et à venir, ainsi que de mieux cerner les contrôles, les règles et les pratiques exemplaires les plus efficaces.

Exploration d’alliances technologiques : 
Tout comme les fraudeurs, les entreprises devraient avoir des outils sous la main. De nombreux partenaires technologiques et technologies de pointe peuvent aider les entreprises à garder une longueur d’avance sur les menaces et à y réagir rapidement. Par exemple, dans le cadre d’une entente stratégique que nous avons récemment conclue avec Chainalysis, nous conjuguons nos connaissances et notre expérience afin de fournir aux clients une surveillance, une gouvernance, une gestion des risques et un soutien améliorés en matière de chaîne de blocs. Cela permet d’assurer une harmonisation avec la réglementation sur les cryptoactifs[LJ1] et d’améliorer les programmes de conformité liés à la lutte contre le blanchiment d’argent.

Connaissance des clients (mais aussi de l’équipe) : 
Le nombre de fraudes commises à l’interne est surprenant, qu’elles se produisent par l’entremise de membres du personnel qui accueillent l’ennemi au sein de l’entreprise par mégarde en raison de piratage psychologique ou d’hameçonnage, ou par des effectifs qui décident consciemment de causer des dommages. Ces incidents peuvent être freinés par une surveillance des risques internes et par l’établissement de contrôles de vérification et de gestion des identités, ainsi que par des partenariats ou des alliances avec des tiers de confiance qui peuvent aider les entreprises à mettre en œuvre des stratégies et des technologies de confirmation d’identité internes.

Adoption d’une approche interdisciplinaire : 
La lutte contre la fraude ne relève plus d’une seule discipline ou d’un seul ensemble de compétences. Aujourd’hui, une défense efficace réunit tous les services d’une entreprise pour concevoir, mettre en œuvre et soutenir des programmes complets de lutte contre la fraude, qu’ils soient liés aux lois, aux facteurs ESG, à la cybersécurité ou encore à la lutte contre la corruption ou le blanchiment d’argent, entre autres. Une approche globale est aussi nécessaire : les entreprises doivent aligner leurs actions sur celles des parties prenantes externes pour affronter les fraudeurs à l’unisson.

Cet article a été produit grâce à la précieuse contribution des personnes suivantes :

Marylin Abate, associée, Services en gestion des risques, Juricomptabilité et crimes financiers
Kunal Bhasin, associé et coleader, Centre d’excellence en cryptoactifs et en chaîne de blocs
Enzo Carlucci, leader national, Juricomptabilité
Conor Chell, associé, Services juridiques ESG, KPMG cabinet juridique

Amrit Dev, directrice principale, Services de gestion des risques, Juricomptabilité
Nisal Samarakkody, associé, Services de cybersécurité
Becky Seidler, associée, Services-conseils, Juricomptabilité et règlement de différends
Serena Tejani, associée, Services de gestion des identités et des accès des clients