«Monsieur Cocktail va survivre», assure-t-il, même s’il convient que la pente sera longue à remonter.

Peu d’entrepreneurs osent déclarer publiquement avoir été victimes de fraude. Si Patrice Plante a accepté de se confier au Soleil, c’est avant tout pour sensibiliser les dirigeants d’entreprise et leurs employés aux risques d’arnaques auxquels ils font face.

Le 7 février dernier, Monsieur Cocktail a été victime d’une «fraude du président». Ce stratagème employé par un fraudeur «consiste à se faire passer pour l’administrateur d’une entreprise et à adresser une demande de virement d’une somme importante de la trésorerie de l’entreprise vers un compte bancaire à l’étranger», peut-on lire dans un communiqué émis par la Sûreté du Québec.

«C’est une fraude très complexe avec un haut taux de réussite. J’ai parlé récemment avec plusieurs entrepreneurs qui en ont été victimes», souligne Patrice Plante — qui n’a aucun lien de parenté avec l’auteure de ces lignes.

«On n’a pas encore tous les diagnostics. Comment ont-ils fait pour pirater nos courriels? Ce qu’on a détecté, c’est qu’il y a eu des intrusions sur notre serveur courriel à partir du 12 novembre. On n’a jamais eu d’alertes Google là-dessus. Les fraudeurs ont réussi à pirater notre serveur et à utiliser mon courriel, en se faisant passer pour moi.»

Le faux Patrice Plante a demandé à la personne responsable des finances et de la comptabilité de Monsieur Cocktail de vider le compte et la marge de l’entreprise. Quelque 200 000$ ont ainsi été dérobés, ne laissant que des miettes dans le compte. «Heureusement, je venais d’immobiliser une partie de l’argent de l’entreprise. Autrement, c’est jusqu’à 500 000$ qu’on aurait pu perdre», calcule l’entrepreneur.

Patrice Plante sait bien qu’il ne reverra jamais son argent. Et comme le transfert bancaire a été effectué par un membre de son équipe, qui croyait agir de bonne foi, les recours sont quasi inexistants. «Il n’y a pas d’assurance qui couvre ce type de fraude», ajoute le fondateur de Monsieur Cocktail.

L’entrepreneur tient à préserver l’anonymat de la personne qui était en charge de la trésorerie de Monsieur Cocktail — bien que celle-ci ne fasse aujourd’hui plus partie de son équipe. «C’est aussi une victime là-dedans.»

Hausse des cas

Patrice Plante a porté plainte auprès du Service de police de la Ville de Québec moins de 24 heures après que son argent ait été subtilisé. Il a également informé le Centre antifraude du Canada. Mais le mal est fait.

«Selon ce que j’ai appris du modus operandi pour ce genre de fraude, l’argent est d’abord envoyé dans un premier pays étranger, et dès qu’il n’est plus gelé dans le compte, il est transféré une autre fois… Après sept ou huit transferts, il atterrit quelque part en Afrique, où il est converti en bitcoins puis volatilisé», explique le fondateur de Monsieur Cocktail.

Une façon de faire que confirme l’expert Benjamin-Hugo LeBlanc, directeur des services en cybersécurité chez KPMG. «L’argent va non seulement être transféré dans plusieurs pays, mais il va aussi être scindé dans plusieurs comptes, ce qui le rend très difficile à retracer.»

Sans commenter spécifiquement le cas de Patrice Plante, l’agente aux communications du SVPQ Marie-Pier Rivard indique que la police de Québec reçoit régulièrement des plaintes pour le même genre de fraude, de type «fraude du président».

Et ce n’est pas nouveau. Déjà en 2017, la Sûreté du Québec mettait en garde le public : «Plusieurs cas d’escroquerie au chef d’entreprise ou fraude du président ont été signalés aux services policiers dans les dernières années. Le total des pertes à ce jour sur le territoire québécois est considérable».

La pandémie a également facilité le travail des fraudeurs. «Le télétravail a ouvert de nouvelles vulnérabilités pour les entreprises. Il y a eu une recrudescence des cas de fraudes», souligne Benjamin-Hugo LeBlanc. Il précise que c’est désormais une entreprise sur quatre qui rapporte subir une tentative de cyberfraude en général — ce qui inclut des fraudes du président, mais aussi des hameçonnages pour voler des mots de passe, des tentatives d’infection au rançongiciel. etc.

Retrouver un peu d’air

Après avoir encaissé «l’uppercut», Patrice Plante cherche à «redonner un peu d’air» à son entreprise. «J’ai pris des ententes avec mes fournisseurs, mais j’ai dû couper des postes névralgiques en ventes — deux temps pleins et un temps partiel, ce qui représente environ 130 000$ de salaires», explique l’entrepreneur.

Monsieur Cocktail était déjà en processus de restructuration. «Tout était sur les rails puis, du jour au lendemain, on s’est retrouvé dans une situation critique. Il faut qu’on continue à produire», indique le fondateur, qui estime devoir faire un chiffre d’affaires de 1,3 à 1,4 million $ pour réussir à faire un profit équivalent aux 200 000$ dérobés.

Son message aux entrepreneurs : «Parlez de ça avec votre staff, sensibilisez votre monde et faites de la formation!» Un message lancé juste avant le début du Mois de la prévention de la fraude, en mars.

Patrice Plante garde le cap sur ses projets à venir : «La seule chose que tu contrôles, c’est ton attitude face à ce qui arrive. J’ai choisi de me concentrer sur le positif à venir.»

———

Note : Monsieur Cocktail, c’est plus d’une vingtaine de sirops à cocktail (les premiers lancés en 2015), une gamme de spiritueux sans alcool, des sirops à café, des cocktails prêts-à-boire à la SAQ, des livres… C’est aussi son fondateur, Patrice Plante, qui signe notamment une chronique hebdomadaire dans Le Soleil depuis près de trois ans.

L’humain, le maillon faible

Qu’est-ce qui fait le succès de fraudes comme celles de type «fraude du président»? Pour mieux comprendre, Le Soleil a fait appel à l’expert en cybercriminalité Benjamin-Hugo LeBlanc — qui signe d’ailleurs une chronique chez nous depuis l’automne sur le vaste monde de la cybersécurité.

La fraude du président fait appel à «l’ingénierie sociale» de l’entreprise, alors que d’autres types d’attaques sont davantage d’ordre technique. L’ingénierie sociale est une technique de manipulation utilisée pour inciter une personne à transmettre elle-même des données sensibles. Elle est populaire chez les attaquants, explique M. LeBlanc, parce qu’elle vise le maillon faible de l’entreprise : l’humain.

«Les fraudeurs font appel à différents leviers psychologiques pour parvenir à leurs fins. De leur côté, les gens visés veulent aider, contribuer à régler le problème», mentionne le directeur des services en cybersécurité chez KPMG.

«Un attaquant sérieux va commencer par une phase de reconnaissance [de l’entreprise et de ses employés], elle peut être assez longue pour s’assurer d’un haut taux de crédibilité. L’attaquant va utiliser les informations qui lui sont accessibles, par exemple sur les réseaux sociaux comme LinkedIn.»

Vient ensuite une mise en scène pour inciter la personne visée à, par exemple, faire fi de la procédure normale pour transférer rapidement de l’argent à l’étranger. «On invoque un sentiment d’urgence. Ça fonctionne très bien», souligne M. LeBlanc.

L’expert en cybersécurité souligne l’importance de sensibiliser les employés aux divers types de fraudes, mais enjoint aux entreprises à ne pas se reposer uniquement sur leurs employés. «Il faut mettre en place des protocoles internes de sécurité, par exemple la double authentification.» Dans le cas d’une demande urgente ou inhabituelle, il est primordial de confirmer la demande de vive voix avec la personne concernée, en utilisant le contact en notre possession (et non celui fourni dans un courriel suspect), ajoute M. LeBlanc. «Les maîtres mots sont : vérification et validation.»

Si la fraude du président représente un cas typique où c’est l’identité du dirigeant d’entreprise qui est usurpée, le même type de fraude peut être utilisé en personnifiant un fournisseur, un client, un avocat ou encore un transporteur avec lequel fait affaire l’entreprise. En exploitant, toujours, la faiblesse de l’humain.