Même si la pandémie de COVID-19 semble tirer à sa fin, le télétravail conservera sa cote de popularité chez les employés et ne disparaîtra pas de sitôt. Les employeurs doivent donc logiquement comprendre l’augmentation des risques de fraude associés au télétravail et les moyens de les atténuer.
Comme l’a démontré la récession de 2008, la fraude en milieu de travail a tendance à augmenter lorsque l’économie pique du nez. L’incertitude économique actuelle et des changements importants dans la main-d’œuvre présentent tous les signes de fraude accrue. Après deux ans de pandémie, les entreprises constatent une hausse des fraudes.
Parmi les types de fraudes plus nombreuses qui découlent du télétravail, on retrouve notamment le vol de données, le vol de temps (par manque de surveillance), la fraude liée à la paie, les escroqueries d’embauche et la fraude de la part de fournisseurs.
Plus que jamais, les entreprises de toutes les tailles doivent s’assurer de mettre en œuvre des mesures de lutte contre la fraude ou de les renforcer, tâche qui peut s’avérer difficile en raison des effectifs réduits et changeants.
Menaces
La plupart des gens conviennent que la fraude en milieu de travail s’explique à l’aide du triangle de la fraude : occasion, pression et rationalisation. Comme la pandémie a entraîné le monde dans l’incertitude économique, les entreprises sont susceptibles d’effectuer des coupures dans les services ne produisant pas de revenus, comme la conformité et l’audit interne. En ajoutant à cela la surveillance réduite qui vient avec le télétravail, les fraudeurs ont la porte grande ouverte pour agir.
De nombreuses familles ont vécu au moins une sorte de perte en raison de la pandémie. Un des conjoints a peut-être été mis à pied, ou ses heures de travail ont pu être réduites. Les prix ont augmenté en raison des ruptures d’approvisionnement. Il est plus difficile qu’avant de joindre les deux bouts. La pression, soit le deuxième côté du triangle de la fraude, augmente en raison de ces facteurs sur lesquels les gens n’ont aucun contrôle.
Les temps difficiles font que les fraudeurs ont de la facilité à rationaliser leurs actions : tout le monde le fait, les temps sont durs, ce n’est que de l’argent du gouvernement (PCU), la haute direction est tellement riche qu’elle ne remarquera pas quelques dollars ici et là, etc. Alors que les entreprises peinent à rester à flot, les fraudeurs sont moins perceptibles qu’avant en raison de la pression et des inquiétudes accrues causées par la pandémie. De l’autre côté, les entreprises dont la croissance est exponentielle n’ont pas le temps de mettre en place des mesures de contrôle adéquates.
Escroqueries par courriel (hameçonnage, compromission du courriel professionnel) : On sait tous que bon nombre de brèches de sécurité commencent par un courriel d’hameçonnage. Selon le FBI, la compromission du courriel professionnel a entraîné mondialement des pertes de 26 milliards de dollars entre 2016 et 2019. Les employés en télétravail sont plus susceptibles d’être victimes d’une tentative d’hameçonnage simplement parce qu’ils ne peuvent pas faire le tour du bureau pour demander à leurs collègues s’ils ont reçu le même courriel.
Atténuation des risques
En tant qu’entreprise, il y a bien des mesures que vous pouvez prendre pour atténuer les risques de fraude, même lorsque vos employés sont en télétravail.
- Ne réduisez pas vos équipes d’audit interne ou de conformité. Conservez vos ressources qui travaillent à détecter les fraudes.
- Demandez toujours à vos employés de se connecter à un RPV pour accéder au réseau de l’entreprise. Si possible, servez-vous de l’authentification multifacteur.
- Ne laissez pas les employés utiliser leurs propres appareils pour le travail. Fournissez des ordinateurs portables et des téléphones.
- Exigez des mots de passe sûrs en déployant un gestionnaire de mots de passe. Un tel logiciel veille à ce que les employés n’aient pas à mémoriser de longs mots de passe complexes et leur génère des mots de passe sûrs. Cela règle aussi le problème des mots de passe réutilisés. En effet, selon un récent sondage d’OpenVPN, 56 % des entreprises répondantes imposaient l’utilisation d’un gestionnaire de mots de passe.
- Découragez l’utilisation d’appareils personnels en fournissant un ordinateur portable d’entreprise. Comme mentionné ci-dessus, l’équipe des TI n’a aucun contrôle sur la sécurité d’un ordinateur personnel, et il n’est jamais recommandé de mélanger les données personnelles et celles de l’entreprise. Assurez-vous que l’équipe des TI configure l’ordinateur de sorte que les mises à jour et les correctifs soient installés automatiquement.
- Offrez une formation sur la cybersécurité à tous les employés (l’humain est le maillon le plus faible). La formation des employés est probablement le plus important outil d’atténuation des risques d’hameçonnage. Des études ont révélé que la plupart des brèches sont causées par des employés qui cliquent sur un lien malveillant dans un courriel d’hameçonnage. En offrant des formations de sensibilisation pour que les employés reconnaissent les courriels illégitimes, vous vous assurez de réduire le nombre de brèches dans une période donnée.
- Faites déclarer les incidents. Il est important que les employés puissent facilement déclarer les incidents présumés pour que la direction en intercepte le plus possible. Les employés doivent savoir comment déclarer un incident et être à l’aise de le faire. Pensez à mettre en place une ligne directe d’éthique ou de dénonciation.