S'abonner gratuitement
Se connecter

Fraude interne : un tabou qui coûte cher

La fraude interne n’est plus seulement l’histoire d’un salarié qui détourne une caisse, manipule une facture ou abuse d’un remboursement. Elle devient un risque hybride, à la frontière de la cybersécurité, de la conformité, de la fraude documentaire et de l’ingénierie sociale. Car le problème n’est plus uniquement l’attaque venue de l’extérieur, mais l’usage détourné d’un accès légitime. Lors de notre webinaire du 19 mai, CyberMoustache affirme observer depuis janvier 2026 une forte hausse des demandes de missions liées à des affaires de fraude interne, signe que les entreprises commencent enfin à nommer un sujet longtemps traité comme un tabou.

Les chiffres internationaux donnent la mesure du problème. Selon l’ACFE, son rapport 2026 repose sur 2 402 cas de fraude professionnelle dans 143 pays, pour plus de 3,4 milliards de dollars de pertes. La perte médiane atteint 104 000 dollars par dossier, mais la moyenne dépasse 1,4 million de dollars, ce qui montre l’effet dévastateur des grands dossiers. Un cas sur cinq dépasse le million de dollars.

Sachez par ailleurs qu’une fraude typique dure douze mois avant d’être détectée. Et plus elle dure, plus elle coûte. Les fraudes découvertes en moins de six mois génèrent une perte médiane de 40 000 dollars, contre plus de 1,1 million de dollars lorsqu’elles se prolongent au-delà de cinq ans. Les alertes humaines restent le premier mode de détection. En effet, 43 % des fraudes sont révélées par un signalement, dont plus de la moitié provient des salariés.

Les entreprises ont beau investir massivement dans la cybersécurité périmétrique, la fraude interne contourne souvent cette logique. Le fraudeur n’a pas toujours besoin de pirater. Il peut disposer du bon badge, du bon compte, du bon rôle applicatif, du bon accès métier. Le danger n’est donc pas seulement technique. Il est organisationnel.

L’accès légitime devient une marchandise

Ce qui change, c’est l’industrialisation du marché criminel autour des accès internes. CyberMoustache confirme, exemples à l’appui, que des acteurs recherchent ou vendent des capacités très concrètes : validation d’identité numérique, accès à des dossiers sociaux, enregistrement de diplômes, consultation de données administratives, fiches clients, comptes professionnels, documents d’identité ou informations issues de boîtes mail.

Pour les fraudeurs, un salarié malveillant, fragile, cupide ou simplement négligent peut valoir plus qu’une faille technique. Car une personne placée au bon endroit peut facilement valider une identité, créer un bon d’achat, modifier un dossier, extraire une base clients, imprimer un justificatif, supprimer une trace ou transmettre des informations exploitables.

Dans les cas observés par le cyber-enquêteur, l’argent reste le moteur principal, sous toutes ses formes, y compris les bons d’achat. Il insiste aussi sur une faiblesse opérationnelle très concrète. En effet, certaines entreprises ne savent pas annuler ou supprimer proprement des bons frauduleux une fois créés. Le mal est alors fait, et l’organisation doit improviser dans l’urgence, enquêter, réorganiser ses contrôles et absorber la perte.

L’affaire Kiabi illustre l’ampleur possible du risque financier. L’ex-trésorière de l’enseigne est soupçonnée d’avoir détourné 100 millions d’euros via une fraude financière, une somme initialement placée dans une banque allemande avant de disparaître. Le dossier reste judiciaire, mais il rappelle que les fonctions financières sensibles ne peuvent pas reposer sur la seule confiance statutaire.

La faille n’est pas l’IA, c’est l’absence de double contrôle

La fraude interne prospère quand les droits sont trop larges, les validations trop faibles et les contrôles trop tardifs. Le cas Arup, victime d’une fraude au deepfake à Hong Kong, le montre par ricochet. Dans cette affaire emblématique, un salarié a transféré 200 millions de dollars hongkongais, environ 25 millions de dollars américains, après une visioconférence truquée par IA. L’incident n’est pas une fraude interne au sens strict, mais il révèle le même défaut structurel : une opération critique ne doit jamais dépendre d’un seul canal de validation ni d’une seule personne.

“Le compte administrateur ne doit pas être celui qui valide les opérations” souligne CyberMoustache. Autrement dit, celui qui configure, celui qui exécute et celui qui approuve ne doivent pas être la même personne. C’est basique, mais encore trop souvent contourné au nom de la fluidité, de l’urgence ou de la confiance.

L’IA ajoute une couche de complexité. Selon le rapport ACFE-SAS 2026, seuls 7 % des professionnels interrogés estiment leur organisation plus que modérément préparée à détecter ou prévenir les fraudes alimentées par l’IA. Dans le même temps, 77 % observent une hausse de l’ingénierie sociale par deepfake et 75 % une progression de la fraude documentaire générée par IA.

Mais tout ne doit pas être mis sur le dos de l’IA. La technologie accélère la fraude, mais elle ne crée pas à elle seule l’échec du contrôle. La vraie faiblesse reste la même : l’absence de séparation des tâches, les logs inexploités, les droits excessifs, les alertes ignorées, la culture du silence, les contrôles a posteriori, les procédures d’exception jamais revues.

Contrôler sans sombrer dans la paranoïa

La réponse ne peut pas être une surveillance généralisée des salariés. Ce serait juridiquement risqué, socialement toxique et a priori inefficace. La bonne approche consiste à contrôler les actes sensibles, pas les personnes par principe. Les organisations doivent donc prioriser cinq chantiers :

  1. Cartographier les accès réellement critiques : validation d’identité, création de moyens de paiement, émission de bons, modification de coordonnées bancaires, export de données, suppression de dossiers, accès administrateur.
  2. Imposer le double contrôle sur les opérations à risque.
  3. Journaliser et analyser les actions sensibles : consultation massive, téléchargement anormal, impression inhabituelle, création répétée d’avoirs ou de bons, accès hors périmètre métier.
  4. Organiser un vrai canal d’alerte interne. L’ACFE montre que les signalements restent le premier moyen de détection ; sans dispositif simple, confidentiel et crédible, l’entreprise se prive de son meilleur capteur.
  5. Tester les parcours de fraude comme on teste une intrusion cyber : où peut-on créer de la valeur frauduleuse ? Qui peut valider ? Qui peut annuler ? Qui voit les logs ? Qui enquête ? Qui décide ?

La fraude interne met les entreprises face à leurs failles structurelles. Le sujet n’est pas de soupçonner tout le monde, mais d’arrêter de concevoir des processus où une seule personne, un seul compte ou une seule validation peut faire tomber des millions d’euros, exposer des données sensibles ou détruire la confiance des clients.

Pour accéder au replay de notre webinaire, c’est ici : https://www.youtube.com/watch?v=LjNc_A-rLC0

Dernières publications

couverture-magazine-code-confiance-signature-electronique-qui-merite-vraiment-votre-confiance
Couverture Code Confiance

Dernières parutions partenaires

L'agenda

logo-salon-souverainete-numerique-2026

Sur le même sujet

CNIL 2025 : l’année où la protection des données a changé d’échelle

Quand le CAPTCHA devient une arme : la fraude qui se cache dans la preuve d’humanité

photographie-djamel-belhaouci-avocat

Maître Djamel Belhaouci : « L’avocat cyber, c’est la pièce manquante de votre cellule de crise »

No Money for Terror : pourquoi la lutte antiterroriste se joue désormais dans les flux numériques

Fraude interne : un tabou qui coûte cher

Cyber Resilience Act : la cybersécurité devient un droit d’entrée sur le marché européen