L’arnaque au Président qui consiste à piéger un salarié en lui faisant croire que les instructions qu’il reçoit émanent du ou d’un dirigeant de son entreprise se propage grâce à l’IA qui permet maintenant de contrefaire les voix et les visages et de rendre indécelables les procédés de phishing. Alors que le salarié licencié parce qu’il s’était fait piéger perdait généralement en justice, la Cour d’appel de Paris, par un arrêt récent, inverse la tendance. Le licenciement d’une salariée qui avait viré 196.000 € à des hackers chinois est déclaré non-fondé au motif, notamment, que la salariée n’avait pas reçu de formation sur la cybercriminalité. Cadre averti fait le point.
L’arnaque au Président (ou CEO), escroquerie qui devient indécelable avec l’utilisation de l’IA.
Les modes opératoires de l’arnaque au Président consistent à convaincre le collaborateur d’une entreprise à effectuer un transfert important d’argent à des tiers. Pour cela, les « hackers » collectent le maximum d’informations sur le salarié sélectionné. Ce dernier, quand il est contacté par une personne qu’il pense être le dirigeant qui discute avec lui de sa situation personnelle, est mis en confiance. Lorsqu’il lui est demandé, sous le sceau de la confidentialité, d’effectuer des opérations inhabituelles, soit souvent des virements à l’étranger sur des comptes inconnus, avec bien sûr toujours un prétexte plausible, il s’exécute.
Jusqu’à présent, les procédés utilisés étaient les courriels, messages SMS, messages WhatsApp et, également, les appels téléphoniques puisque grâce à l’IA les voix peuvent être contrefaites. Avec ces différents modes opératoires, dont le salarié a connaissance sur le principe, le soupçon pourra naître dans son esprit au moment où on lui demandera d’effectuer une opération « anormale » et ce d’autant plus qu’il aura été sensibilisé, lors de formations au sein de son entreprise, sur la cybercriminalité en général et sur l’arnaque au Président en particulier.
Désormais l’arnaque au Président s’exerce par visioconférence
Les progrès de l’intelligence artificielle permettent maintenant aux hackers de contrefaire non seulement les voix mais aussi les visages. Ainsi, en février 2024, le salarié d’une multinationale de Hong-Kong verse 25 millions de dollars sur différents comptes étrangers à la demande de son supérieur hiérarchique, Directeur financier, et ce lors d’une visioconférence où tous les participants, à part lui, sont inexistants, uniquement créés par l’intelligence artificielle. On ne sait pas si le salarié a, au final, été licencié.
A l’heure actuelle, le recours à la fausse visioconférence dans le cadre d’une « arnaque au Président » se développe, et ce avec un grand risque pour les salariés. Alors que ces derniers n’ont généralement jamais entendu parler de cybercriminalité par visioconférence, ils peuvent craindre, pour le cas où ils se feraient piéger, de faire l’objet d’un licenciement confirmé par la justice prud’homale, et ce même en cas de totale bonne foi de leur part.
Le motif habituel du licenciement du salarié victime d’une arnaque au Président : le défaut de vigilance
Dans la plupart des affaires d’arnaque au Président, le salarié qui s’est fait piégé était de bonne foi. Et pourtant, la plupart du temps non seulement il est licencié, mais le licenciement est confirmé par la justice prud’homale. Il est reproché au salarié d’avoir manqué de vigilance, ne discernant pas l’escroquerie dont il était la cible et, de ce fait, d’avoir enfreint les procédures habituelles fixées par l’entreprise en matière de paiement ou de confidentialité des informations.
Selon un très récent arrêt de la Cour d’appel de Colmar du 9 août 2024, RG n° 22/00696, une salarié qui s’est fait piéger le 28 juillet 2020 en donnant des ordres de virement pour plus de 290.000 € a été licenciée. Sa bonne foi n’est pas mise en doute mais elle se serait rendue coupable des manquements suivants : elle n’aurait pas respecté les règles informatiques de la société, elle aurait répondu à des adresses ne figurant pas sur la nomenclature de l’entreprise, elle n’aurait pas décelé les fautes d’orthographe et les adresses inhabituelles.
Le fait qu’au final l’entreprise n’ait pas subi de préjudice, les ordres de virement ayant été bloqués à temps, ne permet pas à cette salariée, pourtant de bonne foi, d’échapper à un licenciement dont le bienfondé est confirmé par la Cour d’appel de Colmar.
Heureusement, une autre décision donne des perspectives plus favorables aux salariés victimes de cybercriminalité.
Pour pouvoir licencier le salarié victime d’une arnaque au Président, l’employeur doit démontrer qu’il n’a pas commis de faute de son côté.
La Cour d’appel de Paris, par un arrêt du 20 juin 2024, s’est prononcée sur le cas d’une comptable contactée par courriel par un individu se faisant passer pour son Président qui obtenait d’elle qu’elle vire une somme de 196.776,26 € à une société chinoise. Dans la lettre de licenciement il lui était reproché son défaut de vigilance puisqu’elle devait savoir que la société n’avait pas de partenaire commercial chinois, qu’elle ne procédait à des virements à l’international et que le montant des virements demandés était colossal par rapport à ceux effectués habituellement. Il lui était également reproché de ne pas avoir prêté attention aux fautes d’orthographe truffant les emails reçus, alors qu’elle devait savoir que le Président de la société était très attentif à l’orthographe et à la syntaxe.
La Cour d’appel de Paris constate que la salariée était de bonne foi, qu’elle n’avait jamais fait l’objet de la part de la société d’une formation en matière de cybersécurité lui inculquant les réflexes nécessaires pour déceler les fraudes. Il était également reproché à l’employeur « de ne pas avoir mis en place une procédure interne de sécurisation de la validation des flux financiers pour se protéger de ce type d’arnaques ».
Par ailleurs, pour exonérer la salariée de toute faute, la Cour d’appel prend en compte la manipulation dont elle a été victime : « La Cour observe encore que la manipulation qui est à l’œuvre de la part de l’auteur d’une « arnaque au Président » ne peut être ignorée et qu’elle a précisément pour objet de déstabiliser la cible identifiée comme maillon faible ».
Voilà une jurisprudence qui tombe bien à propos alors que les manœuvres utilisées dans le cadre de l’escroquerie de « l’arnaque au Président » atteignent des sommets de sophistication.
Comment un salarié qui reçoit des instructions en visioconférence de la part de son N+1 peut-il identifier qu’il ne s’agit pas de lui s’il n’a pas auparavant été averti par son entreprise qu’un tel risque pouvait intervenir ?
Source Cadre Averti