L’exploitation automatisée des données pour lutter contre la fraude

Co-écrit par Etienne Quelain, Thomas Seeburger et Julien Pinot.

Détournement de fonds, corruption, vol d’identité… ces risques qui s’abattent sur les entreprises depuis bientôt 10 ans sont tous des types de fraude.

Dans cet article découvrez quels sont les moyens classiques pour se prémunir des fraudes et quel a été le choix de Beijaflore pour accompagner l’un de ses clients.

 

Qu’est-ce qu’une fraude ?

Une fraude est un acte malhonnête fait dans l’intention de tromper en contrevenant à la loi ou au règlement. Elle peut aussi être perçue comme une forme aggravée de mauvaise foi.

En effet, l’auteur de la fraude cherche intentionnellement à écarter l’application de la règle de droit qui devrait être retenue (fraude à la loi) ou la mise en œuvre des droits de tiers (fraude aux droits des créanciers, organisation frauduleuse d’insolvabilité etc.). Elle peut prendre différentes formes (fiscale, sociale ou encore bancaire) et est accomplie avec l’objectif d’obtenir un avantage. Cet acte malhonnête est puni par la loi.

 

La fraude en entreprise

Lorsque l’on parle de fraude en entreprise, il peut s’agir de :

  • fraude interne: participation active ou passive d’un collaborateur de l’entreprise (inclut les comportements déloyaux, la corruption de salariés, les malversations, la malveillance avec intention de nuire, etc.) ;
  • fraude externe : le fait d’individus extérieurs à une entreprise qui agissent au détriment de celle-ci, de ses clients ou de tiers ;
  • fraude mixte : participation active ou passive d’un collaborateur de l’entreprise en complicité avec des individus extérieurs.

Afin de déterminer la démarche à suivre concernant la détection de fraude, les entreprises peuvent prendre appui sur les différentes lois qui leurs correspondent. Par exemple, une entreprise d’assurance de 700 salariés dont le siège social se trouve à Brest et qui génère un chiffre d’affaires de 200 millions d’euros pourra prendre appui sur :

  • la loi Solvabilité II qui fixe les exigences de capital minimum requis en fonction du risque opérationnel (la fraude en étant un) ;
  • la loi Sapin II qui a pour but d’aider à la lutte contre la corruption avec 8 mesures obligatoires à mettre en œuvre dans toutes les société ou groupe de sociétés de 500 salariés ou plus dont le siège social se trouve en France et dont le chiffre d’affaires est d’au moins 100 millions d’euros (ex : mettre en place un dispositif permettant le signalement de fraude)
  • Le Règlement Général sur la Protection des Données qui rend légitime le traitement de données à caractère personnel à des fins de prévention de fraude, uniquement si le responsable du traitement des données en a été autorisé par le droit Français (considérants 47 et 71 du RGPD).
  • Les lois applicables pour la fraude en matière civile

 

Comment détecter les fraudes

Les fraudes étant par définition dissimulées, leur détection peut s’avérer complexe. Il existe néanmoins de nombreux moyens pour les détecter ou mettre en œuvre des dispositifs pour les éviter.

A l’exception de la méthode d’analyse statique qui analyse toutes les valeurs possibles et remonte des alertes lorsqu’il y a une détection d’incohérences, toutes les méthodes ont pour base la cartographie des risques de fraude dans l’entreprise. Cette cartographie est obtenue en analysant les scénarios possibles d’actes frauduleux en prenant en compte la taille, le secteur, la nature des transactions réalisées et la maturité de l’entreprise sur le sujet.

Après avoir identifié les risques, l’entreprise peut alors sélectionner les schémas de fraude sur lesquels elle veut se concentrer. Elle peut alors choisir :

  • de réaliser un audit pour identifier des processus inadaptés avant d’établir un plan d’action ;
  • d’implémenter du contrôle interne par la mise en place de mécanismes de signalement d’irrégularités, de sensibilisation de l’ensemble des collaborateurs, de vérification « surprises » ;
  • d’utiliser l’analyse de données après avoir ciblé les opérations ou processus à analyser avec les responsables métiers et identifié les potentiels schémas de fraude. Seuls les tests les plus pertinents dans le cadre de l’analyse anti-fraude seront ainsi réalisés.

 

Exemple d’application

Un acteur majeur de l’assurance soumis à de fortes contraintes réglementaires a choisi de renforcer son dispositif de lutte contre la fraude. Après l’étude de différentes possibilités, il a opté pour l’implémentation d’un processus d’analyse de données. Beijaflore a implémenté en plusieurs étapes un dispositif visant à détecter automatiquement les cas de fraude.

Initiée sur 3 périmètres métiers ou directions supports début 2017, la détection automatique des anomalies est désormais implémentée sur 11 périmètres différents. Après étude de l’environnement et des processus de chaque activité, les analyses automatisées ont été implémentées grâce à des scripts adaptés pour répondre aux problématiques de chaque périmètre.

Dans un premier temps des équipes fonctionnelles sont intervenues pour identifier et analyser les processus métiers. Cette analyse a été menée par entretiens, revue documentaire, étude des risques connus et  examen des cas de fraude déjà survenus au sein de l’entreprise. Cette première phase a permis de définir les objectifs de contrôle et les tests à implémenter, aboutissant à des scénarios de fraude, des plus courants aux plus spécifiques : par exemple des vérifications sur les RIB fournisseurs, analyse des clauses bénéficiaires dans les contrats d’assurance-vie ou contrôle des actions permettant d’atteindre un bonus commercial.  Au total près de soixante scénarios de fraude ont ainsi été construits..

Les experts techniques ont ensuite automatisé les contrôles anti-fraude en suivant plusieurs étapes permettant d’assurer la fiabilité des analyses :

  • proposition et mise en place d’un outil d’analyse de données ;
  • obtention des données nécessaires ;
  • consolidation et formatage des bases de données ;
  • vérification de l’intégrité des bases ;
  • développement de scripts de contrôles pilotes;
  • industrialisation du développement des scripts
  • obtention des alertes de fraude.

Lorsque les premières alertes de fraudes potentielles ont été obtenues, les schémas de fraude exploités ont été analysés puis validés avec les métiers. Que l’alerte devienne un cas de fraude avéré ou un faux positif, les résultats sont ensuite réintégrés dans les scripts d’analyse afin de réduire le nombre de faux positifs… offrant ainsi une amélioration continue basée sur le machine learning.

Ce dispositif a permis à notre client d’exploiter des bases de données auparavant inutilisées et d’automatiser l’identification des anomalies. De par la communication réalisée au sein  de différentes directions et la formation de relais internes, la lutte anti-fraude s’est déployée sur ses processus critiques, renforçant ainsi son niveau de conformité aux différentes réglementations. Avec l’amélioration et l’automatisation des contrôles, cet acteur majeur de l’assurance a accéléré la détection de ses zones de risque et renforcé ses moyens de dissuasion contre la fraude.

 

Les sanctions prévues en cas de fraude

Les sanctions qui sont applicables en cas de fraude sont liées à la nature, la gravité de la fraude et la bonne foi de son auteur.

Code du commerce (articles L241-3 & L242-6)

Selon le code du commerce, la fraude est punie par 5 ans d’emprisonnement et 375 000€ d’amende au minimum (sanction qui peut être étendue à  7ans d’emprisonnement et 500 000€ d’amende en fonction de la gravité de la fraude).

Code pénal (Article 323-1)

Si la fraude est informatique, la sanction minimale est de 2 ans de prison et 60 000€ d’amende et peut aller jusqu’à 7 ans de prison et 300 000€ d’amende si la fraude est effectuée à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat.

Loi  Sapin II

Dans le cadre de la corruption (qui est une forme de fraude), les sanctions financières applicables peuvent s’élever jusque 200 000€ pour les personnes physiques et jusqu’à 1 million d’euros pour les personnes morales (en cas de violation de l’article 17 de la loi qui concerne l’élaboration d’un plan anticorruption). L’amende peut même atteindre 30% du chiffre d’affaires moyen annuel sur la base des trois derniers chiffres d’affaires annuels connus en cas de conclusion d’une convention judiciaire d’intérêt public.

Code des impôts (Article 1741)

Quiconque s’est frauduleusement soustrait ou a tenté de se soustraire frauduleusement à l’établissement ou au paiement total ou partiel des impôts est passible d’une amende de 500 000€ et d’un emprisonnement de 5 ans. Les peines peuvent être portées à 3 000 000€ et 7 ans d’emprisonnement lorsque les faits ont été commis en bande organisée ou réalisés/facilités par des moyens spécifiques.

Lois applicables – civil

La fraude en matière civile se base essentiellement sur deux types de fraude, les fraudes sociales et les fraudes fiscales. Les fraudes bancaires sont quant-à-elles identifiées comme des escroqueries au regard de la loi.

Dans le cadre des fraudes sociales, il est simple de savoir quelles sanctions sont prévues en fonction de la gravité et du contexte de la fraude commise. En effet, les codes de la construction et de l’habitation, de la sécurité sociale, du travail et celui des procédures pénales identifient chacun précisément les fraudes auxquelles ils font référence, ainsi que les sanctions encourues.

Les fraudes fiscales sont pour leur part encadrées par le code général des impôts pour l’identification de la fraude et par le code pénal pour les peines applicables.