La crise du Covid-19 a modifié en profondeur le fonctionnement de nombreuses entreprises. Face à une situation inédite à l’échelle mondiale, elles ont dû modifier certaines façons d’opérer, adapter leur activité et parfois repenser leur chaîne d’approvisionnement.

Au-delà des aléas commerciaux et opérationnels, les entreprises ne doivent pas non plus oublier que le risque de corruption augmente significativement en période de crise. Ainsi dans son rapport 2020, Transparency International (TI) souligne que le Covid-19 « n’est pas seulement une crise sur le plan sanitaire et économique, mais également une crise sur le plan de la corruption ».

D’autres institutions ont également émis des avertissements concernant les risques liés à la crise sanitaire. Dans son rapport annuel, le GRECO (Groupe d’États contre la corruption) « exhorte les États à prévenir les risques de corruption dans le cadre des mesures prises pour lutter contre les conséquences économiques de la pandémie de Covid-19 ». Il souligne que seulement 40% des recommandations émises l’année précédente ont été mises en œuvre par les État membres.

De son côté, le réseau NCPA (réseau international d’autorités anticorruption présidé par l’AFA en 2020) a publié une déclaration pour appeler à la plus grande vigilance, et inviter les organisations à promouvoir une culture de la transparence.

Nous proposons ici un tour d’horizon par l’exemple des risques liés à la tentation de corruption et autres malfaisances qui s’intensifie en période de Covid-19. Nous en avons recensé 3 principaux :

Risque n°1 : les circuits d’argent public

Comme le rappelle TI, les périodes de crises apportent leur lot d’affaires de corruption. Dans le cas d’une crise sanitaire, le milieu médical est particulièrement concerné : fonds publics d’urgence liés à la santé, passation de marchés publics de fournitures médicales, accès aux tests de dépistages et aux services de santé… 

Certains produits emblématiques très demandés se retrouvent donc au centre de scandales de corruption, à l’instar des masques de protection ou des gants en caoutchouc jetables. Ces scandales impliquent parfois de hauts dirigeants, comme en Allemagne, où des députés sont soupçonnés d’avoir touché des commissions de plusieurs centaines de milliers d’euros pour avoir servi d’intermédiaires entre des fabricants de masques et les autorités.

Du côté des entreprises et particuliers, l’afflux d’argent public et de mesures destinés à compenser la baisse d’activité nationale crée également un risque de fraude important. Pour contrôler les risques liés à la généralisation du chômage partiel, le gouvernement français a mis en place un plan de contrôle de l’activité partielle, afin de détecter et sanctionner les demandes frauduleuses. Ce dispositif commence à porter ses fruits : en février, quatre hommes ont été interpellés à Lyon et Marseille, suspectés d’une vaste escroquerie aux aides anti-Covid. Par le biais de sociétés sans réelle activité, ils auraient détourné 2,4 millions d’euros grâce au chômage partiel de dizaines de salariés fictifs.

En outre, le gouvernement lui-même fait l’objet d’accusations concernant l’usage de l’argent public. En mars 2021, l’association Anticor a porté plainte contre le ministre de la santé Olivier Véran pour favoritisme dans l’attribution des contrats de développement de l’application StopCovid. Elle lui reproche notamment de n’avoir pas fait d’appel d’offres, alors que le coût de l’application s’élève à 6,5 millions d’euros. Dans cette affaire, comme dans celle des contrats attribués à des cabinets de conseil comme McKinsey, l’association semble déterminée à tirer au clair les processus de décision et modes opératoires  qui ont encadré ces dépenses publiques.

Risque n°2 : les fournisseurs malhonnêtes

Le secteur public n’est pas le seul lieu ou s’exercent des conduites douteuses. De nombreuses entreprises ont aussi été la cible d’escroqueries, par exemple dans le cadre de contrats d’approvisionnement. Les malfaiteurs ne font alors pas toujours preuve d’une imagination débordante mais ils sont bien organisés et s’appuient sur les fortes tensions dans la supply chain issues du contexte sanitaire.

C’est le cas de l’entreprise américaine MSC Industry Supply Co, qui aurait été escroquée à hauteur de $24 millions par l’homme d’affaire israélien Patrick Aloni. Après avoir versé cette somme, l’entreprise n’a en effet jamais reçu les 200 000 cartons de gants qu’Aloni s’était engagé à commander auprès d’un fournisseur au Vietnam. Une enquête a révélé que la commande n’avait jamais eu lieu, et que l’argent avait été versé à une entreprise fictive.

En France, la société CERP Rouen a quant à elle été victime d’une escroquerie pour 6,6 millions d’€ : face à l’urgence de s’approvisionner en masques FFP2 et gel hydroalcoolique, le grossiste-répartiteur a effectué un virement bancaire à un bénéficiaire qu’il croyait être un fournisseur habituel. Mais là encore, les marchandises n’ont jamais été livrées : des escrocs s’étaient fait passer pour le fournisseur en question, avec les coordonnées bancaires d’une entreprise fictive.

Ces escroqueries fréquentes signalent que même dans l’urgence, il est très périlleux de faire appel à un fournisseur sans avoir procédé à des vérifications rigoureuses sur son identité, la fiabilité des sources et l’authenticité des informations obtenues. Ceci tout particulièrement lorsque le paiement est exigé totalement ou partiellement à la commande, avant la livraison des marchandises.

Risque n°3 : les failles de sécurité informatique 

Une autre source de vulnérabilité accrue par la crise sanitaire est la sécurité informatique. Parmi les menaces les plus prégnantes, l’infection au « rançongiciel » (ou ransomware) a été utilisée pour soutirer des millions d’euros à des organisations françaises. La plupart du temps, il s’agit d’un piratage opéré depuis l’étranger, qui consiste à paralyser les serveurs et prendre les données stockées « en otage ». Pour les récupérer, l’organisme victime doit donc payer une rançon.

Parmi les organisations victimes, on peut citer des hôpitaux (Dax, CHU de Rouen, Villefranche-sur-Saône,…), des organismes non lucratifs (Mutuelle nationale des hospitaliers,..) des villes et collectivités locales (Angers, Marseille,…), des grandes entreprises (Bouygues construction, M6…), aussi bien que des PME.

En 2020, ce type d’attaque a triplé par rapport à 2019 : l’Anssi (Agence nationale de sécurité des systèmes d’information), qui intervient lorsque le secteur public ou des entreprises sensibles sont ciblées, est intervenue sur 192 cas. Au parquet de Paris, 436 procédures pour attaque au rançongiciel ont été ouvertes en 2020, contre 148 en 2019.

Le phénomène pourrait être encore plus étendu qu’il n’y parait. Selon le dernier baromètre du Cesin (Club des Experts de la Sécurité de l’Information et du Numérique), une entreprise sur cinq déclare avoi subi une attaque au rançonlogiciel en 2020. Plus généralement, 57% affirment avoir connu au moins une cyberattaque ayant porté atteinte à leurs données.

Selon cette étude, 80% des attaques commencent par des emails classiques d’« hameçonnage » (phishing), destinés à obtenir des identifiants de connexion de la part des employés, souvent en les invitant par e-mail à cliquer sur des liens ou des pièces jointes en apparence légitimes. Mais de nouvelles vulnérabilités sont nées avec le recours massif au télétravail, notamment à cause des outils de téléconférence et de transferts de fichiers non sécurisés. Les connexions RDP (Remote Desktop Protocol), devenues indispensables pour le travail à distance, sont aussi devenues une brèche de sécurité largement exploitée par les pirates.

Règle N°4 : négliger le dispositif anticorruption

Au contraire, pour faire face, respecter les fondamentaux ne suffit plus. Avec le Covid-19, les organisations ont souvent dû réagir dans l’urgence, en réattribuant parfois les responsabilités au sein des équipes, en assouplissant certaines procédures et en favorisant le télétravail. Ces reconfigurations ont pu faire émerger des comportements à risque en matière de corruption – et ce risque est d’autant plus élevé qu’il n’est pas pris en compte par les dispositifs de contrôle classiques. 

Par exemple, les échanges d’information par messageries instantanées font perdre la trace d’informations importantes dans le cadre du dispositif de conformité. Les entreprises doivent prendre en compte ces nouveaux risques, et établir des règles claires et comprises de tous.

Plus encore, elles ne doivent pas sous-estimer le risque de corruption accru parmi leurs salariés et dans leurs filiales. Dans ce contexte d’incertitude, ces derniers peuvent être davantage susceptibles de céder sous la pression à des mécanismes de corruption,  ou bien de commettre des fraudes comptables et autres manipulations d’états financiers afin de booster artificiellement les résultats de l’entreprise. Par exemple, en produisant des faux documents, comme des actes de vente fictifs, ou en enregistrant a priori des revenus « futurs » inexistants.

Au niveau des individus, limiter ces risques nécessite de sensibiliser encore et toujours les collaborateurs de l’entreprise au risque de corruption et à ses enjeux , et de les mettre en confiance malgré tout, de sorte qu’ils ne cèdent pas aux pressions extérieures comme en interne.

À l’échelle de l’entreprise, il est nécessaire d’adapter son dispositif aux nouvelles pratiques, tout en respectant les circuits de vérification primordiaux, à l’instar des due diligence de tiers par exemple. Cela s’avère d’autant plus indispensable dans un contexte où les fournisseurs à risque prospèrent (voir plus haut). En parallèle, les dirigeants doivent donc faire preuve d’une extrême attention pour identifier les nouvelles menaces, en prendre la mesure et mettre en oeuvre les moyens requis pour une mise à niveau efficace.

Sources / Pour aller plus loin

Covid-19 et corruption 

• Skan1 Outlook : Crise COVID-19 : maîtriser l’évaluation des fournisseurs tout au long de la supply chain
• Le Monde : Soupçons de corruption au sein de la droite allemande dans l’achat de masques
• Le Monde : Fraude aux aides anti-Covid : quatre hommes en garde à vue à Lyon et Marseille
• Le Parisien : Application StopCovid : Anticor a déposé une plainte contre Olivier Véran pour «favoritisme»
• Transparency International : Lutte contre la corruption pendant le Covid-19 : six conseils pour les responsables de la conformité (guide en anglais)
• Transparency International : Indice de perception de la corruption 2020
• Transparency International : Diagnostiquer les risques de corruption (guide en anglais)

Rançonlogiciels

• Le Monde : Les autorités tentent de contenir la déferlante des attaques aux rançongiciels
• L’usine nouvelle : Une grande entreprise française sur cinq victime d’un rançongiciel en 2020
• The Times of Israel : Un homme d’affaires israélien soupçonné d’escroquerie aux Etats-Unis
• Skan1 Outlook : Coronavirus : le grossiste-répartiteur CERP Rouen victime d’une escroquerie pour 6,6 M€
• ANSSI : Guide Attaques par rançonlogiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ?