Comment former ses collaborateurs aux risques de fraude, et aux moyens de les contrer ? S’il n’existe pas de recette miracle, du moins peut-on éviter les erreurs les plus courantes, à commencer par le manque d’engagement des dirigeants. Entretien avec Francis Hounnongandji, Président de l’IFPF (Institut Français de Prévention de la Fraude).

L’édition 2018 de l’étude annuelle DFCG – Euler Hermes auprès des Directeurs financiers français le confirme : quand une organisation réussit à déjouer une tentative de fraude, c’est une fois sur deux le fruit d’une réaction ou d’une initiative humaine, comme le doute, ou la suspicion. Bien loin devant les systèmes de sécurité informatique (12%) ! On comprend aisément l’importance de former son personnel à lutter contre la fraude. De fait, 87% des entreprises interrogées dans cette même étude déclarent « sensibiliser les équipes et faire des formations internes ».

Reste à savoir comment. Pour Francis Hounnongandji, Président de l’IFPF (Institut Français de Prévention de la Fraude), à chaque niveau de responsabilité correspond un type de formation.

Engager le top-management

Pour le Top management la formation va se focaliser sur les responsabilités et les enjeux stratégiques, opérationnels, économiques, juridiques, financiers, de réputation, etc. Objectif : lui faire comprendre les enjeux, et la partition qu’il doit jouer. Sans ce niveau de prise de conscience, l’efficacité de la formation du personnel à lutter contre les fraudes sera sérieusement entamée, et la mobilisation des autres niveaux de collaborateurs dans le combat risque de vite s’amenuiser, ou devenir aléatoire.

Cette formation aux dirigeants commence en général par une courte présentation et une séance de questions-réponses. S’en suit idéalement une ou plusieurs réunions du Comex pour convenir et formaliser les rôles et les responsabilités de chacun(e), et définir leur degré de tolérance à la fraude au regard du business model en cours ou désiré.

Malheureusement, cet exercice indispensable est rarement réalisé. Beaucoup de dirigeants se contentent d’un rôle plus passif d’arbitre dans l’allocation des ressources, et de relais des messages que les spécialistes anti-fraude leur demandent de diffuser.

Former les services à lutter contre la fraude

Pour les services et les fonctions spécialisées, les formations doivent être plus pointues et plus techniques, car ils seront en charge de définir et de mettre en œuvre l’organisation et les dispositifs anti-fraude au sein de l’entreprise. Elles peuvent prendre la forme de certifications professionnelles, la plus connue au niveau mondial étant le Certified Fraud Examiner (CFE).

Le reste des collaborateurs doit s’approprier les messages essentiels des politiques et procédures de l’entreprise, et connaître ce que l’on attend d’eux. Tout le monde doit avoir une connaissance fonctionnelle de la politique anti-fraude.

Les messages principaux à communiquer

Il est important d’afficher et de préciser les valeurs éthiques de l’entreprise, ainsi que les conséquences des actes frauduleux, pour elle, mais également pour les collaborateurs.

Il faut aussi faire comprendre que chacun a un rôle à jouer :

  • quels comportements adopter,
  • quelles sont les pratiques dangereuses, voire interdites,
  • qu’est-ce qui doit alerter,
  • vers qui se tourner en cas de doute,
  • quelles actions prendre pour pro-activement contribuer au bon fonctionnement des dispositifs anti-fraude
  • etc.

En particulier, il convient d’insister sur les éléments d’alerte sur les types de fraude dont le risque financier a été défini le plus élevé. Les méthodes et les ressources allouées peuvent aussi être abordées, pour démontrer l’importance de l’enjeu.

Les conditions de la réussite

La prise de conscience au plus haut niveau de l’organisation, et la promotion sincère (et perçue comme telle) de la démarche de gestion des risques de fraude par les dirigeants constituent un ingrédient essentiel du succès. Il faut aussi expliciter les retombées positives et concrètes de la gestion des risques de fraude. Les messages et modes de communication doivent enfin être adaptés à chaque public.

Les pièges à éviter

Liste non exhaustive des erreurs les plus couramment commises – malheureusement ce sont aussi les plus lourdes !

  • Recopier les approches et contenus adoptés par une autre entité ou une autre entreprise, mais pas forcément appropriés à votre cas.
  • Ne pas adapter suffisamment les messages aux spécificités des populations visées – en termes de culture, de contenu, de mode de communication ;
  • Délivrer des messages en contradiction avec les pratiques couramment observées dans l’entreprise ;
  • Soutenir et accompagner la formation sans réel engagement de la Direction ;
  • Multiplier les histoires horribles… mais dans des contextes trop éloignés de l’entreprise concernée, et des préoccupations du public visé !

Après la formation

Les formations font partie intégrante d’une démarche globale qui comprend la sensibilisation, la formation, l’éducation, et l’application dans un esprit d’amélioration continue. Sans actions concrètes après les formations, les motivations et les réflexes s’émoussent…

Et si vous organisiez un test de phishing ?

A l’heure du GDPR, les attaques de phishing pour dérober frauduleusement les accès et mots de passe, et les données qui se trouvent derrière, sont plus dangereuses que jamais. Des entreprises organisent de fausses attaques de phishing, pour mesurer le niveau de vigilance de leurs collaborateurs…
En savoir plus