Près de 45% des entreprises du secteur financier ayant participé à l'édition 2014 de l'enquête de PwC intitulée Global Economic Crime Survey déclarent avoir été victimes d'actes de criminalité économique. 39% d’entre elles ont été touchées par la cybercriminalité, résultat de l'intégration croissante des nouvelles technologies dans l'arsenal des fraudeurs. Près de la moitié des entreprises touchées par la criminalité économique au cours de la période pendant laquelle l'enquête a été réalisée rapportent une augmentation du nombre de cas et de leur valeur financière (davantage que les entreprises d'autres secteurs qui ont participé à l'enquête).

1330 entreprises du secteur financier réparties dans 79 pays ont participé à l’enquête. Les résultats montrent que le vol, cité par 67% d’entre elles, demeure la forme la plus répandue de criminalité économique. Viennent ensuite la cybercriminalité (39%), le blanchiment d'argent (24%), la fraude comptable (21%) et la corruption (20%).

La criminalité économique a également des conséquences indirectes importantes sur la réputation des entreprises : 29% d'entre elles estiment que l’atteinte à leur réputation est la conséquence la plus grave du blanchiment d'argent.

« Pour la place luxembourgeoise, le blanchiment de capitaux et les menaces qui y sont liées, comme les sanctions de l’OFAC , sont des questions centrales. C’est d’autant plus vrai dans le contexte international actuel de renforcement de la réglementation et de l’augmentation des amendes réglementaires. Parmi les menaces que les entreprises anticipent, le blanchiment de capitaux a augmenté de 40% par rapport à 2011. Même si le cadre réglementaire luxembourgeois anti-blanchiment est particulièrement rigoureux, nous nous devons de rester vigilants, » explique Roxane Haas, associée et Anti-Money Laundering Leader chez PwC Luxembourg.

Pierre-François Wéry, associé et Forensic Services Leader chez PwC Luxembourg d’ajouter : « Les entreprises du secteur financier se rendent compte que la criminalité économique persiste malgré les efforts constants mis en œuvre pour l'éradiquer. Aucune entreprise n'est à l'abri des répercussions des actes de fraude et de criminalité, et ce peu importe sa taille et sa localisation géographique. Outre son impact financier direct, la criminalité en col blanc nuit aux processus internes des entreprises, sape l'intégrité de leurs employés et ternit leur réputation. Même si les entreprises du secteur financier ont une longueur d'avance sur de nombreux secteurs en matière de prévention et de détection d'actes de criminalité économique, de nombreux efforts restent encore à faire. Les systèmes d'évaluation des risques de fraude, les systèmes d’alertes et de dénonciation et la sensibilisation aux menaces liées à la cybercriminalité restent les faiblesses de nombre d’entreprises. »

Cybercriminalité

Selon les résultats de l'enquête, la cybercriminalité reste la deuxième forme la plus répandue de criminalité économique subie par les entreprises du secteur financier interrogées (après le détournement de fonds). 39% des entreprises interrogées déclarent en avoir été victimes en 2014 (contre seulement 17% pour les entreprises des autres secteurs). Cependant, ce pourcentage est anormalement bas. Nous savons par expérience qu'une nette majorité d'entreprises du secteur financier, les banques de détail en particulier, ont été victimes d'actes de cybercriminalité au cours de la période de l'enquête.

De même, seulement 41% des personnes interrogées estiment qu'il est probable qu'elles soient victimes d'actes de cybercriminalité au cours des 24 prochains mois (45% en Afrique et 36 % dans la région Asie-Pacifique). Et 19% d'entre elles ne savent pas s'il existe un risque qu'elles soient victimes d'actes de cybercriminalité. Les répondants du secteur financier ressentent une augmentation plus importante du risque de cybercriminalité que leurs homologues d'autres secteurs (57% contre 45% dans d'autres secteurs). Les entreprises du secteur financier sont manifestement d'avis que la cybercriminalité constitue une menace plus importante que jamais et pourtant bon nombre d'entre elles ne pensent pas qu'elles en seront victimes.

« Le secteur financier a été l'un des premiers à être touché par la cybercriminalité. Ce n'est guère étonnant au vu des gains financiers potentiellement très importants pouvant être obtenus par le détournement des processus informatisés et des mécanismes de contrôle en place dans les banques, » explique Vincent Villers, associé et IT Security Leader chez PwC Luxembourg.

« Dans le cadre de notre enquête, les personnes interrogées ont identifié moins de 40% des actes de criminalité économique comme étant des actes de cybercriminalité. Notre expérience nous a permis de constater que les entreprises du secteur financier n'identifient pas et n'enregistrent pas toujours la composante de cybercriminalité liée à la criminalité économique dont elles ont été victimes. Elles s’exposent à des menaces de cybercriminalité en dépit des systèmes de défense dont elles peuvent être pourvues. Si la cybercriminalité n'est pas suivie de manière précise, le vrai risque ne peut pas être entièrement maîtrisé et compris.  La cybercriminalité se développe et les méthodes sont en constante évolution. Nous ne voyons aucun répit aux attaques dont les infrastructures bancaires sont victimes. C'est pourquoi il est préoccupant de constater que 40% de l'ensemble des personnes interrogées du secteur financier pensent qu'il est peu probable que leurs entreprises soient victimes d’actes de cybercriminalité au cours des 24 prochains mois. Il est primordial que les entreprises du secteur financier reconnaissent la cybercriminalité comme un risque à part entière et mettent en place des mécanismes adaptés de reporting. »

Répartition géographique

La délinquance économique est une menace omniprésente pesant sur les entreprises du secteur financier du monde entier, mais les résultats de l'enquête varient selon les régions. Dans la région Asie-Pacifique, pas moins de la moitié des répondants ont fait part d'une augmentation de la criminalité économique ; en revanche, près de 40% des répondants en Amérique du Sud et en Amérique centrale ont fait part d'une baisse de cette menace.

Certaines menaces liées à la cybercriminalité fluctuent, telles les attaques en provenance du Moyen-Orient lancées contre plusieurs grandes banques américaines en 2012 et 2013 et qui semblent maintenant avoir reculé. Les États-Unis ont enregistré une augmentation spectaculaire de la criminalité économique liée aux services financiers allant des pannes causées par des attaques de déni de service distribué (DDoS) aux retraits massifs auprès de distributeurs de billets orchestrés par des groupes de crime organisé. La fraude à la carte de crédit est également plus fréquente aux Etats-Unis où les cartes à puce avec code secret sont encore rares.

Au Japon, les tentatives d'hameçonnage ont visé les ordinateurs personnels des clients des banques avec des virus, en utilisant des faux pop-up ou courriels prenant l'aspect d'interfaces de banque par internet afin d'inciter les clients à fournir leurs informations personnelles.

Les experts en cybersécurité de PwC ont également constaté une augmentation de la cybercriminalité en Afrique, qui coïncide avec les projets de déploiement de réseaux internet à haut débit de certains États de la région. D'après des sources du secteur, les cybercriminels sont en train de quitter l'Europe, où la collaboration entre les différentes autorités juridiques se renforce, pour s'installer en Afrique du Sud.

Profil des fraudeurs

Pour la majorité des entreprises du secteur financier (57%), des fraudeurs externes sont à l’origine du crime. La plupart des fraudes internes à l'entreprise sont perpétrées par des employés (39%) et des cadres moyens (39%), tandis que 20% sont imputables aux cadres dirigeants. Le profil type du fraudeur interne dans les entreprises du secteur financier est un homme âgé de 31 à 50 ans diplômé de l’enseignement supérieur.

« La criminalité économique résulte généralement de la combinaison de trois facteurs principaux : les pressions personnelles et professionnelles subies par l'individu, la possibilité de frauder et la justification personnelle du crime. Les entreprises du secteur financier sont les cibles privilégiées des fraudeurs externes. Les sommes qui pourraient éventuellement être détournées sont élevées et ces entreprises détiennent un volume important de données confidentielles, telles que par exemple les données relatives aux cartes de crédit ainsi que les informations sur l'identité des clients. La cybercriminalité est le plus souvent le fait de fraudeurs externes qui cherchent non seulement à s'enrichir mais également à obtenir des informations personnelles précieuses, » souligne Michael Weis, directeur, Anti-Money Laundering and Forensic Services chez PwC Luxembourg.

« Dans les entreprises du secteur financier plus que dans les autres secteurs, les fraudeurs internes sont le plus souvent diplômés de l’enseignement supérieur. Ce niveau de qualification est en général un prérequis pour obtenir un emploi dans ce secteur. Les résultats de notre enquête tendent à indiquer que le fraudeur interne type du secteur financier est en mesure de commettre des actes de fraude dès le début de sa carrière. Ceci peut être dû à la complexité des produits financiers, tant dans leur conception que dans leur fonction, qui les rend plus difficiles à surveiller en dépit des contrôles internes. »

Détection de la criminalité économique

Le secteur financier fait généralement l'objet d'une réglementation plus stricte. Par conséquent, de nombreux processus et fonctions sont soumis à des contrôles d'entreprise, rendant ainsi les actes de fraude interne plus difficiles à réaliser sans être détectés. Parmi les personnes interrogées qui savaient comment la fraude dans leur organisation avait été détectée, 61% d'entre eux ont attribué cette détection à l'existence de contrôles d'entreprise contre 56% dans d'autres secteurs.

Vous pouvez télécharger le rapport Threats to the Financial Sector sur notre site http://bit.ly/1jQb3re