Etude de risques

Covid-19, un facteur de risque : corruption, fournisseurs fantômes, rançongiciels, etc.

Crise Covid 19 = risques corruption, malveillance, fraudes, escroqueries évaluation des tiers via due diligence

La crise du Covid-19 a modifié en profondeur le fonctionnement de nombreuses entreprises. Face à une situation inédite à l’échelle mondiale, elles ont dû modifier certaines façons d’opérer, adapter leur activité et parfois repenser leur chaîne d’approvisionnement.

Au-delà des aléas commerciaux et opérationnels, les entreprises ne doivent pas non plus oublier que le risque de corruption augmente significativement en période de crise. Ainsi dans son rapport 2020, Transparency International (TI) souligne que le Covid-19 « n’est pas seulement une crise sur le plan sanitaire et économique, mais également une crise sur le plan de la corruption ».

D’autres institutions ont également émis des avertissements concernant les risques liés à la crise sanitaire. Dans son rapport annuel, le GRECO (Groupe d’États contre la corruption) « exhorte les États à prévenir les risques de corruption dans le cadre des mesures prises pour lutter contre les conséquences économiques de la pandémie de Covid-19 ». Il souligne que seulement 40% des recommandations émises l’année précédente ont été mises en œuvre par les État membres.

De son côté, le réseau NCPA (réseau international d’autorités anticorruption présidé par l’AFA en 2020) a publié une déclaration pour appeler à la plus grande vigilance, et inviter les organisations à promouvoir une culture de la transparence.

Nous proposons ici un tour d’horizon par l’exemple des risques liés à la tentation de corruption et autres malfaisances qui s’intensifie en période de Covid-19. Nous en avons recensé 3 principaux :

Risque n°1 : les circuits d’argent public

Comme le rappelle TI, les périodes de crises apportent leur lot d’affaires de corruption. Dans le cas d’une crise sanitaire, le milieu médical est particulièrement concerné : fonds publics d’urgence liés à la santé, passation de marchés publics de fournitures médicales, accès aux tests de dépistages et aux services de santé… 

Certains produits emblématiques très demandés se retrouvent donc au centre de scandales de corruption, à l’instar des masques de protection ou des gants en caoutchouc jetables. Ces scandales impliquent parfois de hauts dirigeants, comme en Allemagne, où des députés sont soupçonnés d’avoir touché des commissions de plusieurs centaines de milliers d’euros pour avoir servi d’intermédiaires entre des fabricants de masques et les autorités.

Du côté des entreprises et particuliers, l’afflux d’argent public et de mesures destinés à compenser la baisse d’activité nationale crée également un risque de fraude important. Pour contrôler les risques liés à la généralisation du chômage partiel, le gouvernement français a mis en place un plan de contrôle de l’activité partielle, afin de détecter et sanctionner les demandes frauduleuses. Ce dispositif commence à porter ses fruits : en février, quatre hommes ont été interpellés à Lyon et Marseille, suspectés d’une vaste escroquerie aux aides anti-Covid. Par le biais de sociétés sans réelle activité, ils auraient détourné 2,4 millions d’euros grâce au chômage partiel de dizaines de salariés fictifs.

En outre, le gouvernement lui-même fait l’objet d’accusations concernant l’usage de l’argent public. En mars 2021, l’association Anticor a porté plainte contre le ministre de la santé Olivier Véran pour favoritisme dans l’attribution des contrats de développement de l’application StopCovid. Elle lui reproche notamment de n’avoir pas fait d’appel d’offres, alors que le coût de l’application s’élève à 6,5 millions d’euros. Dans cette affaire, comme dans celle des contrats attribués à des cabinets de conseil comme McKinsey, l’association semble déterminée à tirer au clair les processus de décision et modes opératoires  qui ont encadré ces dépenses publiques.

Risque n°2 : les fournisseurs malhonnêtes

Le secteur public n’est pas le seul lieu ou s’exercent des conduites douteuses. De nombreuses entreprises ont aussi été la cible d’escroqueries, par exemple dans le cadre de contrats d’approvisionnement. Les malfaiteurs ne font alors pas toujours preuve d’une imagination débordante mais ils sont bien organisés et s’appuient sur les fortes tensions dans la supply chain issues du contexte sanitaire.

C’est le cas de l’entreprise américaine MSC Industry Supply Co, qui aurait été escroquée à hauteur de $24 millions par l’homme d’affaire israélien Patrick Aloni. Après avoir versé cette somme, l’entreprise n’a en effet jamais reçu les 200 000 cartons de gants qu’Aloni s’était engagé à commander auprès d’un fournisseur au Vietnam. Une enquête a révélé que la commande n’avait jamais eu lieu, et que l’argent avait été versé à une entreprise fictive.

En France, la société CERP Rouen a quant à elle été victime d’une escroquerie pour 6,6 millions d’€ : face à l’urgence de s’approvisionner en masques FFP2 et gel hydroalcoolique, le grossiste-répartiteur a effectué un virement bancaire à un bénéficiaire qu’il croyait être un fournisseur habituel. Mais là encore, les marchandises n’ont jamais été livrées : des escrocs s’étaient fait passer pour le fournisseur en question, avec les coordonnées bancaires d’une entreprise fictive.

Ces escroqueries fréquentes signalent que même dans l’urgence, il est très périlleux de faire appel à un fournisseur sans avoir procédé à des vérifications rigoureuses sur son identité, la fiabilité des sources et l’authenticité des informations obtenues. Ceci tout particulièrement lorsque le paiement est exigé totalement ou partiellement à la commande, avant la livraison des marchandises.

Risque n°3 : les failles de sécurité informatique

Une autre source de vulnérabilité accrue par la crise sanitaire est la sécurité informatique. Parmi les menaces les plus prégnantes, l’infection au « rançongiciel » (ou ransomware) a été utilisée pour soutirer des millions d’euros à des organisations françaises. La plupart du temps, il s’agit d’un piratage opéré depuis l’étranger, qui consiste à paralyser les serveurs et prendre les données stockées « en otage ». Pour les récupérer, l’organisme victime doit donc payer une rançon.

Parmi les organisations victimes, on peut citer des hôpitaux (Dax, CHU de Rouen, Villefranche-sur-Saône,…), des organismes non lucratifs (Mutuelle nationale des hospitaliers,..) des villes et collectivités locales (Angers, Marseille,…), des grandes entreprises (Bouygues construction, M6…), aussi bien que des PME.

En 2020, ce type d’attaque a triplé par rapport à 2019 : l’Anssi (Agence nationale de sécurité des systèmes d’information), qui intervient lorsque le secteur public ou des entreprises sensibles sont ciblées, est intervenue sur 192 cas. Au parquet de Paris, 436 procédures pour attaque au rançongiciel ont été ouvertes en 2020, contre 148 en 2019.

Le phénomène pourrait être encore plus étendu qu’il n’y parait. Selon le dernier baromètre du Cesin (Club des Experts de la Sécurité de l’Information et du Numérique), une entreprise sur cinq déclare avoi subi une attaque au rançonlogiciel en 2020. Plus généralement, 57% affirment avoir connu au moins une cyberattaque ayant porté atteinte à leurs données.

Selon cette étude, 80% des attaques commencent par des emails classiques d’« hameçonnage » (phishing), destinés à obtenir des identifiants de connexion de la part des employés, souvent en les invitant par e-mail à cliquer sur des liens ou des pièces jointes en apparence légitimes. Mais de nouvelles vulnérabilités sont nées avec le recours massif au télétravail, notamment à cause des outils de téléconférence et de transferts de fichiers non sécurisés. Les connexions RDP (Remote Desktop Protocol), devenues indispensables pour le travail à distance, sont aussi devenues une brèche de sécurité largement exploitée par les pirates.

Règle N°4 : négliger le dispositif anticorruption

Au contraire, pour faire face, respecter les fondamentaux ne suffit plus. Avec le Covid-19, les organisations ont souvent dû réagir dans l’urgence, en réattribuant parfois les responsabilités au sein des équipes, en assouplissant certaines procédures et en favorisant le télétravail. Ces reconfigurations ont pu faire émerger des comportements à risque en matière de corruption – et ce risque est d’autant plus élevé qu’il n’est pas pris en compte par les dispositifs de contrôle classiques. 

Par exemple, les échanges d’information par messageries instantanées font perdre la trace d’informations importantes dans le cadre du dispositif de conformité. Les entreprises doivent prendre en compte ces nouveaux risques, et établir des règles claires et comprises de tous.

Plus encore, elles ne doivent pas sous-estimer le risque de corruption accru parmi leurs salariés et dans leurs filiales. Dans ce contexte d’incertitude, ces derniers peuvent être davantage susceptibles de céder sous la pression à des mécanismes de corruption,  ou bien de commettre des fraudes comptables et autres manipulations d’états financiers afin de booster artificiellement les résultats de l’entreprise. Par exemple, en produisant des faux documents, comme des actes de vente fictifs, ou en enregistrant a priori des revenus « futurs » inexistants.

Au niveau des individus, limiter ces risques nécessite de sensibiliser encore et toujours les collaborateurs de l’entreprise au risque de corruption et à ses enjeux , et de les mettre en confiance malgré tout, de sorte qu’ils ne cèdent pas aux pressions extérieures comme en interne.

À l’échelle de l’entreprise, il est nécessaire d’adapter son dispositif aux nouvelles pratiques, tout en respectant les circuits de vérification primordiaux, à l’instar des due diligence de tiers par exemple. Cela s’avère d’autant plus indispensable dans un contexte où les fournisseurs à risque prospèrent (voir plus haut). En parallèle, les dirigeants doivent donc faire preuve d’une extrême attention pour identifier les nouvelles menaces, en prendre la mesure et mettre en oeuvre les moyens requis pour une mise à niveau efficace.

Sources / Pour aller plus loin

Covid-19 et corruption 

Rançonlogiciels

Share
Published by
Brune Lange

Recent Posts

  • CJIP

La CJIP de SOTEC pour des faits de corruption d’agents publics étrangers au Gabon

La CJIP fait suite à un signalement Tracfin pour des faits survenus au Gabon dans…

3 jours ago
  • Jugements et affaires en cours

L’affaire Lafarge face à la justice française : les enjeux d’un procès hors normes en 2025

Prévu en 2025, le procès de Lafarge, désormais filiale d'Holcim, sera sans précédent dans l'histoire.…

6 jours ago
  • Anticorruption

Anticor de retour en première ligne après avoir récupéré son agrément

Anticor est devenue en 20 ans un acteur incontournable dans la lutte anticorruption en France…

1 mois ago
  • Anticorruption

La Fédération Française d’Équitation dans le collimateur de l’Agence Française Anticorruption

Outre la parution du guide dédié aux fédérations sportives, l'AFA a diligenté un contrôle de…

2 mois ago
  • Anticorruption

Dans le monde anglo-saxon, l’essor des lois anticorruption préventives sur les traces de Sapin 2

Les lois anticorruption préventives touchent désormais à la sphère d'influence du Commonwealth Depuis une dizaine…

3 mois ago
  • CJIP

La CJIP d’ADP INGENIERIE pour faits de corruption liés à la négociation de contrats en Libye et à Fujaïrah (E.A.U.)

Ces faits de corruption sont intervenus en Libye (2006-2008) et à FujaÏrah aux E.A.U. (2011-2013)…

3 mois ago