Stay connected

Recevez les dernières analyses des entreprises canadiennes

Toggle

Métier à risques

Par Lila MacLellan | 26 mars 2015
Métier à risques
Salim Hasham & Simon Padgett

En mai dernier, Nazir Karigar a été le premier cadre supérieur du Canada condamné à une peine d’emprisonnement pour un système de corruption échafaudé à l’étranger. Et depuis, il est devenu un cas de figure emblématique visé par la Loi sur la corruption d’agents publics étrangers renforcée récemment. Ex-agent de Cryptometrics Canada Inc., qui était une filiale de la société américaine aujourd’hui en faillite CryptoMetrics Inc., M. Karigar a été accusé d’avoir offert au moins 450 000 $ à des fonctionnaires de haut rang en Inde, où les pots-de-vin et la corruption sont réputés endémiques. Un juge de l’Ontario l’a condamné à trois ans de prison.

L’affaire n’était pas aussi retentissante que certains mécanismes de corruption d’autres sociétés à l’étranger. Mais elle révèle que, même si le Canada figure parmi les 10 pays les plus « droits » d’un indice de 2014 (Corruption Perceptions Index) publié par Transparency International, organisme non gouvernemental de Berlin, les sociétés canadiennes travaillant dans des pays classés beaucoup plus bas dans la liste sont plus vulnérables à la fraude et ne peuvent plus compter sur la clémence d’Ottawa. Et elles courent un risque nouveau : celui de se voir interdire de participer à tout marché du gouvernement canadien en cas de condamnation pour corruption à l’étrangerCe qui est dégrisant, c’est que le cas Cryptometrics Canada est inhabituel sous deux angles. Premièrement, même si le sondage Global Economic Crime Survey de PwC 2014 a conclu que 36 pour cent des entreprises canadiennes ont déclaré avoir été victimes de fraudes – un terme générique recouvrant les détournements, la falsification de rapports financiers ou l’abus de pouvoir qu’on constate dans les affaires de corruption –, la plupart des fraudes et activités de corruption passent inaperçues. Deuxièmement, la majorité des fraudes professionnelles (entre 80 et 85 pour cent, selon l’Association of Certified Fraud Examiners d’Austin au Texas) sont commises à l’interne par un employé ou même un membre de la haute direction malhonnête. 

Les entreprises préfèrent ne pas entourer de trop de publicité les cas classiques embarrassants de vol ou de fraude chiffrés en centaines de milliers voire en millions de dollars, dit Simon Padgett, chef régional de la Juricomptabilité de PwC Canada à Vancouver. Mais ces affaires sont courantes. 

Quatre facteurs de fraude

Alors comment, une entreprise visant l’expansion, évalue-t-elle ses points faibles quand elle envisage de prendre pied sur un marché d’outremer? M. Padgett cite quatre domaines clés que les entreprises de toutes tailles ou de tout secteur devraient évaluer avant d’aborder le détail de son activité.

Le premier, dit-il, est la culture, qui a une influence disproportionnée. « Nous savons que dans certains pays il faut verser un pot-de-vin juste pour éviter une contravention pour excès de vitesse », rappelle M. Padgett. Ce genre de problème endémique peut prendre les dirigeants occidentaux au dépourvu : « J’ai parlé à des clients qui disaient “mais, si je ne verse pas un pot-de-vin pour obtenir un marché ou un permis, nous fermons boutique et je jette 1 000 employés à la rue” ». Respecter la loi, répond M. Padgett, est une manière de « préparer un monde meilleur pour nos enfants et nos petits-enfants – pas une affaire d’un jour ». 

Une économie instable ou une récession longue sur un marché étranger font aussi monter le risque parce que plus le personnel est inquiet ou frustré, faute d’augmentations de salaire ou de primes pendant des années, plus certains risquent de recourir à des mesures désespérées. La distance elle-même est un troisième facteur : les gestionnaires ne comprennent pas toujours qu’il est souvent difficile, voire impossible, de garder le contrôle de ce qui se passe à l’autre bout du monde. Enfin, faire affaire dans un pays qui a une population essentiellement de passage augmente les risques que des employés se permettent des vols internes, sûrs d’être loin quand on découvrira leurs méfaits. 

Tactiques offensives

Les programmes antifraude devraient offrir aux organismes les caractéristiques essentielles suivantes : un cadre de référence pour un processus d’évaluation régulière des risques de fraude; des politiques anticorruption qui disent clairement ce qui constitue une fraude et quelles en sont les conséquences; un système efficace de dénonciation; une formation antifraude; une attestation sur le code de conduite pour les employés; une méthodologie de surveillance et d’essai pour vérifier l’efficacité du programme. 

Ces méthodes aident à atténuer les risques qu’il est impossible d’éliminer complètement, dit M. Padgett. « Il faut être conscient qu’une entreprise peut être perçue comme une mine d’or facile à piller et que, dans certaines parties du monde, elle sera dans le collimateur des malfrats. »

Les cyber-risques continuent d’augmenter

Les cyber-attaques sont une méthode comme une autre de voler les entreprises, et elles sont très communes. Les recherches de PwC révèlent que le taux de croissance annuel composé des attaques informatiques visant les entreprises a augmenté de 66 pour cent depuis 2009. À l’échelle mondiale, le nombre total d’attaques détectées dépasse maintenant en moyenne les 100 000 par jour, selon Salim Hasham, associé, Conseils et Transactions, et leader national, Cyber-résilience de PwC Canada à Toronto. Mais il faut voir ce chiffre en contexte, dit M. Hasham : selon les estimations, plus de 71 pour cent de tous les incidents ne sont même pas détectés, ce qui en augmente considérablement la fréquence et l’impact.

Là aussi, on constate une augmentation de l’activité de l’intérieur des entreprises, ajoute M. Hasham, qui souligne qu’il est relativement facile d’utiliser des techniques d’appâtage et d’hameçonnage ou de payer simplement un employé pour avoir accès aux systèmes TI et aux données de la société. Malheureusement, la plupart des sociétés restent attachées à la théorie dépassée voulant que la cyber-protection est synonyme de protection des TI, dit-il, « si bien qu’à mesure que nous haussons la barre de la sécurité technologique, les cybercriminels se tournent vers le maillon le plus faible dans la chaîne, ce qui peut comprendre la chaîne d’approvisionnement ou plus généralement, l’élément humain. »  

Pour faire face à la nouvelle portée plus générale des cyber-risques, davantage de gestionnaires testent la résilience de leur entreprise par des exercices de modélisation des menaces. Cela consiste à se pencher sur cinq ou six groupes spécifiques d’acteurs qui peuvent avoir intérêt à infiltrer votre société. « Ils vont d’États-nations au crime organisé et comprennent les groupes terroristes, les défenseurs de causes sociales et maintenant, dans certains cas, les agences de renseignement intérieures », dit M. Hasham. 

L’exercice consiste notamment à demander aux gestionnaires de repérer exactement les actifs qui intéressent des groupes extérieurs sur la base de leurs motivations. Beaucoup de dirigeants ne reconnaissent toujours pas ce qui est le plus précieux dans une entreprise au-delà des renseignements sur les clients et les cartes de crédit, que ce soit la propriété intellectuelle convoitée par un pays étranger ou des données qui se vendraient à prix fort sur le marché noir, dit M. Hasham.

La modélisation consiste aussi à passer au peigne fin « toute la chaîne d’approvisionnement, la totalité des ressources humaines, vos fournisseurs,  vos clients, vos relations », explique-t-il, pas seulement à repérer les faiblesses de la sécurité des TI pour les organisations et leurs fournisseurs, mais aussi à dresser un profil des fraudeurs potentiels dans les deux cas. Examinez comment vous traitez les données sur les fusions et acquisitions et les communications au personnel reliées à des transactions, conseille M. Hasham. Voyez comment vous transmettez vos attentes sur les manières dont vos partenaires devraient travailler avec vous pour prévenir le cyber-crime. « Comparativement à ces éléments, la technologie est en fait un domaine assez simple », conclut-il.

Le contenu de ce champ restera confidentiel et ne sera pas accessible au public.
About PwC Canada Hide Footer