Malgré la médiatisation des affaires de ransomware et de fraude au Président, en dépit des campagnes de sensibilisation des assureurs, banquiers et spécialistes de la prévention des risques, le succès des escrocs en tout genre ne parait pas faiblir. Comment un individu et une organisation peuvent-ils encore tomber dans le panneau ? Explications du psychologue Frédéric Laura.

Une PME met la clé sous la porte suite à un virement hasardeux de sa comptable sur un compte bancaire de l’escroc qui lui a enjoint, un vendredi soir, d’effectuer un paiement en se faisant passer pour son Président. Une affaire devenue aujourd’hui hélas banale, comme le paiement de rançons à des malfaiteurs ayant réussi à contaminer tous les ordinateurs d’une société pour crypter l’ensemble de leurs fichiers opérationnels (ransomware). Les banques, les spécialistes du risque ou encore les CCI se sont pourtant emparés du phénomène et multiplient les campagnes d’information auprès des dirigeants d’entreprise. Dans ces conditions, pourquoi ces manipulations continuent-elles à réussir ?

Frédéric Laura*, psychologue du travail installé en région parisienne, avance plusieurs explications :

L’organisation est en cause, et pas seulement l’individu manipulé

« Avant de considérer la faute d’un collaborateur, il faut regarder les faiblesses de l’organisation à laquelle il appartient. Or dans ces affaires, il y a des constantes. Les escrocs s’engouffrent dans les nouvelles failles des entreprises : des hiérarchies multiples (opérationnelle, fonctionnelle, internationale), parfois peu connues, ou dont on maîtrise moyennement la langue. Les patrons peuvent parfois incarner un rôle de chef dont on ne discute pas les ordres ».

Difficile pour un simple collaborateur de débuter la relation avec un supérieur par un refus d’obtempérer

Les malfaiteurs sont également très informés des organigrammes. Ils les surveillent, notamment sur les réseaux sociaux professionnels, pour connaître le parcours de leur future victime mais aussi les mouvements de personnel à la tête de l’entreprise. « Ils peuvent ainsi plus facilement endosser la personnalité d’un cadre nouvellement nommé, par exemple dans une filiale étrangère, et qui donne un ordre soudain ». Difficile pour un simple collaborateur de débuter la relation avec ce haut personnage par un refus d’obtempérer…

Parmi les autres caractéristiques des organisations fragiles, Frédéric Laura cite « des blocages de communication, des difficultés à exprimer ses doutes ou faire un rapport d’étonnement dès lors que l’on doit effectuer des ordres de virement ou de sorties de stock par exemple, dans des conditions qui nous paraissent troublantes, inattendues, originales ».

Enfin, un management de « droit divin » a du mal à reconnaître ses erreurs vis à vis de ses employés. Résultat, quand un incident mineur se produit, qui pourrait jouer un rôle salutaire de révélateur des failles de l’organisation, « il n’est pas débriefé collectivement ».

L’escroc, un pervers narcissique qui ne prend pas de risques

Pour éclairer la mécanique de la fraude, le psychologue n’oublie pas de parler de l’escroc, « un pervers narcissique qui veut se faire aimer de sa victime, jouit de son pouvoir d’autorité et d’éblouissement sur la personne manipulée, et n’a aucune morale qui pourrait le retenir, alors même qu’il manie volontiers des principes moraux pour peser sur les réactions ».

L’escroc ne prend pas beaucoup de risques. Un vol à mains armées aujourd’hui, c’est le risque de la perpétuité pour quelques dizaines de milliers d’euros de gain. Alors que les arnaques sur internet et les manipulations par mail ou par téléphone peuvent rapporter autant, rapidement et facilement, en encourant des risques pénaux très inférieurs… Voilà pourquoi les organisations criminelles investissent dans la cybercriminalité. La pression sur les entreprises et leurs collaborateurs n’a pas fini d’augmenter.

webconf-fraude

Des techniques d’influence sophistiquées

Les escrocs nous proposent des fictions, mais les appuient sur des techniques d’influence bien identifiées, que l’on peut regrouper au sein du terme « ingénierie sociale ». Parmi elles, Frédéric Laura distingue tout particulièrement la communication hypnotique, au cours de laquelle le manipulateur va agir sur la façon dont sa victime perçoit la réalité, en créant une série d’acquiescements faciles, pour ensuite proposer une adhésion à des décisions plus difficiles. « Il en profite pour scruter nos émotions, et ensuite nous mettre en phase avec elles. Par exemple, face à une personne qui semble craindre sa hiérarchie, il suggérera des actions propres à contenter ses chefs ».

L’escroc crée de l’instabilité émotionnelle, isole du collectif, abaisse l’esprit critique de sa victime

Autre approche, créer une tension, puis la résoudre. « La première technique s’apparente au pied dans la porte, la seconde à la porte claquée au nez. Après avoir formulé une demande exorbitante, que sa victime refuse logiquement, la seconde demande est plus accessible et la victime a souvent envie de faire plaisir ». Le psychologue, intarissable sur le sujet, explique comment l’escroc crée de l’instabilité émotionnelle, isole du collectif, abaisse l’esprit critique de sa victime. « Au final, il lui propose une solution qui va, par exemple, lui éviter le rejet par les collègues – ou leurs critiques ».

Après le sinistre, panser les plaies, penser l’après

Une fois l’escroquerie réussie, l’entreprise ne doit pas rester abasourdie. « Déjà, il faut faire quelque chose pour la victime, réellement traumatisée, parce qu’elle a rencontré le mal en même temps que ses propres limites. Elle se sent vulnérable, faillible ». Il va lui falloir du temps pour se reconstruire, et de l’aide. Or c’est souvent le contraire qui se produit. L’entreprise se focalise sur la « faute » du collaborateur, le harcelant pour qu’il l’explique, souvent des semaines durant et à des interlocuteurs différents. « Cela me fait penser aux techniques de Thamzing, employées par les maoïstes chinois notamment pendant la révolution culturelle. Ils obligeaient leurs prisonniers à entendre les critiques, puis à faire et refaire leur autocritique ».

Et de fait, dans l’entreprise, la personne ainsi rendue entièrement responsable de la réussite de l’escroquerie démissionne souvent… quand elle ne se fait pas licencier. Parmi les autres comportements souvent observés : l’absentéisme, mais aussi un développement de paranoïa, une sur-vigilance… La victime cherche à se dédouaner quitte à en faire trop, s’exposant à des pathologies d’épuisement, de dépression ou de burn-out.

Pourtant, conclut le psychologue, « l’entreprise aurait tout intérêt à prendre soin de ce collaborateur ». Et pas seulement par compassion. « Il peut être un facteur de développement de confiance : dire les problèmes sans peur et sans crainte plutôt que de se taire… L’entreprise aura montré l’exemple en le protégeant et en acceptant les faits… ». Car elle a aussi mis en danger son employé par des failles de sécurité, alors qu’une entreprise a des obligations légales de résultats en matière de santé au travail et donc de prévention.

La communication, première arme de l’escroc, première défense de l’entreprise

Première arme de l’escroc, la communication « sera aussi la meilleure défense de l’entreprise si celle-ci la base sur la confiance et la spontanéité. Cela passe par des formations aux techniques de manipulation, la sensibilisation aux méthodes d’influence psychologique, la venue d’un psychologue dans l’entreprise. Enfin, n’oublions pas qu’apprendre aux managers à savoir reconnaître et accueillir un collaborateur en souffrance psychologique peut permettre la détection en amont des escroqueries ».

* Pour en savoir plus, nous vous conseillons la lecture du blog de Frédéric Laura.