Fraude interne en PME : quand la personne de confiance est le problème
Quand on parle de fraude aux dirigeants de PME, la plupart pensent aux pirates, aux faux courriels de banque, aux rançongiciels. Ces menaces-là sont réelles. Mais il y en a une dont personne ne veut parler, parce qu’elle fait mal en dedans : la fraude commise par un employé de confiance. Et dans une PME, c’est souvent la personne la plus fiable en apparence qui a le plus de latitude pour mal agir.
Note : cet article est basé sur une histoire vraie, survenue dans une entreprise québécoise. Certains détails ont été volontairement modifiés pour préserver la confidentialité de l’entreprise et des personnes impliquées.
Une PME de 40 employés, une employée modèle, trois ans de détournements
L’entreprise compte une quarantaine d’employés. Comme dans bien des PME, une seule personne s’occupe des finances : saisie des factures, approbation des paiements, conciliation bancaire, paies. Tout le cycle passe entre ses mains. Une employée de longue date, appréciée, jamais malade, toujours disponible. Le genre de personne sur qui le propriétaire se repose les yeux fermés.
C’est exactement ça, le problème.
Pendant environ trois ans, cette personne a détourné des dizaines de milliers de dollars avec un stratagème classique : le fournisseur fictif. Un faux fournisseur dans le système comptable, avec un nom crédible, une adresse, un compte bancaire qu’elle contrôlait. Elle saisissait des factures, les approuvait elle-même, payait, puis faisait la conciliation, toujours elle. Les montants restaient raisonnables, noyés dans le volume normal des dépenses. Rien qui saute aux yeux dans un rapport mensuel.
Pourquoi personne n’a rien vu
Avec le recul, c’est facile de se demander comment ça a pu durer trois ans. La réponse est simple : il n’y avait aucune séparation des tâches. La même personne créait la dépense, l’approuvait, la payait et vérifiait que tout balançait. Elle contrôlait aussi les preuves, c’est elle qui classait (ou pas) les pièces justificatives, elle qui répondait au comptable externe, elle qui préparait les documents de fin d’année.
Quand une seule personne contrôle à la fois la transaction et sa vérification, la fraude n’est pas juste possible, elle est pratiquement indétectable. Il n’y a pas de recette miracle là-dedans : sans un deuxième regard indépendant, le système se vérifie lui-même, et il se trouve toujours correct.
La découverte : une absence prolongée
La fraude n’a pas été découverte par un audit, ni par un logiciel, ni par un soupçon du propriétaire. Elle a été découverte par hasard, pendant une absence prolongée de l’employée. Une remplaçante temporaire a repris les dossiers pour assurer la continuité des paiements et des opérations. En faisant le tour des fournisseurs, elle est tombée sur un nom qu’elle ne connaissait pas, avec des paiements réguliers et aucune pièce justificative au dossier. Elle a posé la question. Personne dans l’entreprise n’avait jamais entendu parler de ce fournisseur.
C’est souvent comme ça que ces fraudes sortent : pas par la technologie, mais parce que quelqu’un d’autre met enfin les mains dans les dossiers. C’est pour ça que les vacances obligatoires sont un contrôle anti-fraude reconnu, on y revient plus bas.
La direction a eu le bon réflexe : plutôt que de confronter l’employée et de risquer la destruction de preuves, elle a contacté un bureau d’investigation.
L’enquête : le travail du Groupe BIRA
Un fournisseur inconnu et des paiements sans justificatif, c’est un red flag, mais pas encore une preuve. Pour transformer un soupçon en dossier solide, l’entreprise a fait appel au Groupe BIRA, un bureau d’investigation avec plus de 40 ans d’expérience dans ce genre de dossiers.
C’est leur équipe qui a mené la vraie enquête : recherche d’actifs, vérifications corporatives et bancaires, et surtout l’établissement du lien entre le fournisseur fictif et l’employée. Leur travail a permis de monter un dossier recevable, avec des preuves documentées correctement, ce qui change tout quand vient le temps de récupérer des sommes ou d’entreprendre des recours. Une enquête menée croche peut faire échouer un dossier pourtant clair. C’est un métier, et le Groupe BIRA le fait depuis longtemps.
Ce qui aurait pu aider : la trace numérique
Soyons clairs : chez Ékivo Stratégie, on n’a pas participé à ce dossier. Mais comme spécialistes TI dans les Laurentides, on regarde cette histoire avec nos lunettes à nous. Parce que pendant trois ans, cette fraude a laissé des traces numériques partout, et personne ne les regardait.
Une analyse de la trace numérique aurait pu sonner l’alarme bien avant :
- Les journaux d’accès au système comptable auraient montré qui crée les fournisseurs, qui approuve, qui paie, et révélé que c’est toujours la même personne, souvent en dehors des heures normales.
- L’historique des modifications aurait exposé la création du fournisseur fictif et les changements de coordonnées bancaires.
- Les courriels et leurs métadonnées auraient confirmé qu’aucune communication réelle n’existait avec ce supposé fournisseur.
- Les écritures supprimées ou modifiées laissent des marques dans la plupart des systèmes, encore faut-il que quelqu’un les consulte.
Et il y a un deuxième enjeu, aussi important que la détection : la valeur légale de la preuve. Des journaux bien configurés et conservés de façon intègre, ça tient la route devant un tribunal. Des journaux inexistants ou accessibles à la personne qu’on soupçonne, c’est contestable. La préservation de la trace numérique, ça se prépare avant l’incident, pas après. Et quand l’incident arrive, une trace numérique bien préservée donne des munitions solides à une équipe d’enquête comme celle du Groupe BIRA : les deux expertises se complètent.
Prévenir avant de guérir
Le risque de fraude interne est un risque latent : tant que rien n’éclate, tout a l’air correct. Voici les contrôles de base que toute PME devrait avoir :
- Séparer les tâches. La personne qui saisit une facture ne devrait jamais être celle qui l’approuve et qui fait la conciliation. Même dans une petite équipe, on peut répartir ces rôles, ou impliquer le propriétaire au-delà d’un certain montant.
- Contrôler et surveiller les accès. Avec Ékivo Care, notre service d’infogérance, les droits d’accès aux systèmes financiers sont définis, limités et surveillés en continu. Un accès inhabituel, ça se détecte.
- Avoir des journaux fiables. Des journaux activés, centralisés et hors de portée des usagers qu’ils surveillent, c’est ce qui transforme un soupçon en preuve.
- Imposer des vacances et des rotations. C’est exactement ce qui a démasqué la fraude dans ce cas-ci. Une absence prolongée avec remplacement réel, c’est un des contrôles anti-fraude les plus simples et les plus efficaces qui existent.
- Vérifier avant d’embaucher. Le Groupe BIRA offre des vérifications préembauche qui vont au-delà du CV : antécédents, validations corporatives, références sérieuses. Pour un poste qui touche aux finances, c’est un minimum.
- Encadrer la gouvernance des accès. Avec Ékivo Horizon, notre service vCIO, on aide les dirigeants à définir qui a accès à quoi, pourquoi, et comment ça se révise, avant qu’un trou dans les contrôles coûte cher.
Et chez vous, qui vérifie le vérificateur?
Cette PME québécoise n’avait rien fait de mal au sens habituel : juste une confiance normale, dans une structure où personne ne vérifiait la personne qui vérifiait tout. C’est le cas de bien des entreprises de la région en ce moment, sans qu’elles le sachent.
Et si vous avez déjà un doute sur une situation en cours, ne jouez pas à l’enquêteur : un dossier monté croche peut faire échouer un recours pourtant solide. C’est le travail du Groupe BIRA, et ils le font depuis plus de 40 ans.
Si vous vous demandez où vous en êtes, qui a accès à quoi, ce que vos journaux capteraient vraiment, ce qui resterait comme preuve si quelque chose arrivait, on peut le regarder avec vous. C’est exactement ça, notre évaluation de posture TI : un portrait clair, sans engagement.