Les attaques criminelles se multiplient, portées par l'intensification des flux globalisés et le développement de l'intelligence artificielle. Pionnière sur le sujet, la chaire Management des risques criminels forme depuis vingt ans les étudiants de l'EDHEC Business School à faire face aux menaces qui pèsent sur les entreprises.
Dans les cours de Bertrand Monnet, professeur de management à l'EDHEC Business School, il arrive d'échanger à distance avec un hacker, ou de travailler sur une interview filmée quelques semaines plus tôt avec un narcotrafiquant international. L'enseignant, qui travaille sur les risques criminels en partenariat avec des entreprises depuis vingt ans et part régulièrement en immersion sur les terrains où prospère le crime, compte dans son répertoire plusieurs représentants du banditisme, qu'il fait intervenir anonymement et à distance. Les yeux rivés sur l'écran partagé par le hacker, les étudiants proposent des noms de grandes entreprises et voient s'afficher sur les forums du dark web toutes les vulnérabilités de ces groupes, tous les comptes qu'il est possible de pirater pour un montant donné.
« Les hackers ont toujours un coup d'avance, explique Bertrand Monnet. La première fois que j'ai entendu le mot ChatGPT, c'était dans la bouche de l'un d'entre eux. » Les faire intervenir dans ses cours permet de « documenter l'économie criminelle par ceux qui la font », c'est-à-dire d'enseigner aux étudiants la réalité des risques criminels qui pèsent sur les entreprises, loin des séries à succès et de la culture populaire.
Des entreprises vulnérables face à la prolifération des menaces
Depuis la création de la chaire Management des risques criminels en 2005, les menaces ont proliféré, constate Bertrand Monnet. La cybercriminalité augmente, jusqu'à coûter 10 000 milliards d'euros par an à l'échelle mondiale, et la finance criminelle s'est développée : les montants spectaculaires générés par les activités criminelles doivent en effet être blanchis, et ce blanchiment massif menace directement les nouveaux acteurs de la finance vers lesquels s'orientent beaucoup d'étudiants à leur sortie d'école, qu'il s'agisse de certaines fintechs ou de plateformes de cryptomonnaies.
Si la menace criminelle a toujours existé, l'accroissement et l'intensification des flux physiques dus à la mondialisation ont rendu les entreprises plus vulnérables aux trafics. C'est ainsi que l'armateur MSC, un des géants du transport maritime, s'était retrouvé infiltré en 2019 par un gang de narcotrafiquants qui, avec la complicité de plusieurs membres de l'équipage, étaient parvenus à faire transiter 20 tonnes de cocaïne dans un cargo.
La digitalisation est l'apogée de cette interconnexion, explique Philippe Very, professeur en stratégie qui enseigne au sein de la chaire : « une entreprise aura beau essayer de se protéger, l'organisation criminelle pourra l'atteindre par le biais d'un maillon de sa chaîne ». Les exemples abondent. En 2013, des hackers se seraient introduits dans le système central des magasins du géant américain Target par le biais d'un fournisseur de climatisation, dans le but d'atteindre les données bancaires des clients. En Suède, c'est la chaîne Coop qui a été infectée par capillarité en 2021 par le biais du logiciel de caisse Kaseya. « La méthode est toujours la même, résume Bertrand Monnet. Les hackers vont chercher des maillons faibles, c'est-à-dire des produits low-tech, peu sécurisés, rarement mis à jour, comme des logiciels de comptabilité. » Philippe Very conclut en revisitant un adage attribué à Robert Mueller, ancien dirigeant du FBI : « il y a deux sortes d'entreprises : celles qui se sont fait hacker, et celles qui ne savent pas qu'elles se sont fait hacker. »
Au-delà de la cybercriminalité, certaines menaces sont sous-estimées, remarque Bertrand Monnet. À l'heure où le transport maritime représente 90% du fret mondial, la piraterie met en péril les entreprises, tout comme la contrefaçon, qui ne concerne pas seulement « le faux sac Gucci fabriqué dans la banlieue de Naples », insiste-t-il, mais aussi de faux médicaments ou de fausses pièces mécaniques.
Des risques reconfigurés par l'IA
Ces dernières années, l'intelligence artificielle a bouleversé le paysage des organisations criminelles, conduisant Bertrand Monnet à préférer parler de « criminalité digitale » pour élargir le terme « cybercriminalité ».
« Avant, il fallait aller sur des forums du dark web pour acheter un ransomware ou louer les services d'un hacker, explique Bertrand Monnet. Aujourd'hui, on peut coder seul quelque chose de tout à fait fonctionnel, simplement avec ChatGPT. » En matière de fraude, l'IA permet également d'écrire des messages avec un wording quasi-parfait, expliquent les deux enseignants, et de créer des deepfakes très difficiles à distinguer d'une image réelle ; on assiste ainsi à un retour de « la fraude au président », dans laquelle un employé est convaincu de s'adresser au président du board alors qu'il s'agit d'un hacker.
Mais symétriquement, l'IA a renforcé les moyens de défense des entreprises. Là où un audit interne était auparavant chargé d'enquêter sur d'éventuelles fausses facturations à la direction financière, des programmes d'intelligence artificielle anti-fraude tournent désormais en permanence, de façon automatique, pour détecter la moindre anomalie. Sur les cyberattaques, l'IA gagne en efficacité : elle est désormais « capable de casser rapidement les clés de cryptage de ransomwares encore très dangereux il y a six mois. »
Plus encore, l'IA permet une meilleure assurabilité des risques criminels. Jusqu'ici, à défaut de pouvoir évaluer précisément certains risques, les assureurs se protégeaient en proposant des tarifs très élevés qui en devenaient dissuasifs. Désormais, des modèles prédictifs permettent d'ajuster les prix, ce qui représente une protection additionnelle pour les entreprises. « L'IA ne réduira pas la dangerosité des risques, conclut Bertrand Monnet, mais elle va changer la géographie de tous les supports externes de l'entreprise. »
Savoir identifier les zones grises
Si l'on pense avant tout les entreprises comme des cibles des menaces criminelles, elles peuvent en réalité se situer dans des zones plus floues. Un fabricant d'avions peut ainsi se retrouver victime collatérale de contrefaçon si son fournisseur de pièces mécaniques a acheté du faux ; il intégrera sans le savoir une pièce défaillante qui risque de causer un accident. Certains distributeurs peuvent également devenir l'outil d'organisations criminelles en distribuant ou transportant du faux à leur insu. Cette « imbrication horizontale d'acteurs strictement criminels et d'acteurs légaux aux comportements gris » exige que les dirigeants aient été formés au risque criminel, explique Bertrand Monnet.
Il arrive enfin qu'une entreprise génère directement de l'économie criminelle, sciemment ou non. Pour Bertrand Monnet, Purdue Pharma, l'entreprise pharmaceutique américaine qui a commercialisé dans les années 1990 l'OxyContin, est le « cas absolu ». L'entreprise a plaidé coupable en 2007 pour avoir induit le public en erreur sur le risque de dépendance lié à l'OxyContin et a versé l'une des amendes les plus lourdes jamais infligées à un groupe pharmaceutique. « Ils sont à l'origine de la crise des opioïdes aux États-Unis, qui tue 130 000 personnes par an, résume Bertrand Monnet ; s'ils n'avaient pas eu un comportement illicite, on n'en serait pas là. »
Former au doute et à l'éthique
Pour les deux professeurs, il est crucial de former les étudiants à ne jamais en arriver là. Dans les cours que dispense la chaire, explique Philippe Very, les étudiants sous-estiment souvent la violence que ces menaces criminelles peuvent entraîner : violence physique dans le cas d'un kidnapping, morale lorsque des pressions sont faites sur la famille, ou encore économique lorsque des postes sont supprimés suite à la déstabilisation de l'entreprise.
À travers des cas concrets, des échanges avec des intervenants qui travaillent au sein de grandes entreprises, les enseignants leur apprennent donc à détecter la présence de risques criminels ; puis, et c'est l'étape la plus importante pour Bertrand Monnet, il s'agit de « douter et arbitrer, en son for intérieur, outillé par la connaissance précise des techniques criminelles ». Pour ancrer l'importance du doute dans l'esprit de ses étudiants, qui pour beaucoup vont travailler dans des fonds d'investissement, Bertrand Monnet leur présente systématiquement le cas d'un trust derrière lequel se cachait la fille d'un narcotrafiquant mexicain. « Si le fonds avait contracté avec ce trust, explique l'enseignant, il se serait retrouvé à financer le crime organisé mexicain, avec la cascade de conséquences judiciaires et réputationnelles que l'on imagine. »
Ces risques criminels viennent aussi interroger la « structure éthique des dirigeants », explique le diplômé de Saint-Cyr, qui conçoit les enseignements de la chaire Management des risques criminels en lien étroit avec les enseignements de business ethics dispensés par Geert Demuijnck, pour renforcer les synergies entre les deux disciplines. Pour lui, c'est ce qui fait l'unicité de la formation proposée par l'EDHEC, avec la centaine de nationalités présentes sur le campus, qui enrichit les débats de perspectives culturelles variées sur la définition juridique de la contrefaçon ou les stratégies de protection des marques.
Mettre la culture des risques au cœur de l'entreprise
Cette culture du doute et de l'éthique ne peut pas être uniquement individuelle : elle doit s'accompagner d'un engagement de toute l'entreprise. Pour Philippe Very, cela passe par des exercices de crise réguliers, mais aussi par le fait de placer la direction sûreté plus près de la direction exécutive.
« Les entreprises doivent développer une approche holistique, horizontale et interconnectée du risque criminel », poursuit Bertrand Monnet. Pour cela, il faut associer le département des ressources humaines, « entité-clé » selon lui : « les personnes qui peuplent l'entreprise peuvent être soit des remparts, soit des relais du risque », d'où la nécessité de rendre les formations obligatoires et de les encadrer sur ces sujets.
Cela passe aussi par un changement des pratiques de choix de fournisseurs, pour ne pas éliminer d'office certaines petites entreprises qui ont certes un petit chiffre d'affaires et sont récentes, mais sont beaucoup plus sûres que certains mastodontes que Bertrand Monnet qualifie d' « aspirateurs à virus » ; ou par le fait de former les équipes des ventes à s'interroger lorsqu'elles s'aperçoivent que l'entreprise vend 20% de moins alors qu'il n'y a pas de nouvel entrant sur le marché, pour envisager l'hypothèse de la contrefaçon.
Enfin, cela signifie mettre le sujet « à l'agenda des boards » pour en faire un élément à part entière de la culture de l'entreprise. Les échanges de Bertrand Monnet avec des hackers le lui confirment : « quand les hackers font une campagne de phishing et que seules trois personnes répondent, ils se disent que la porte est fermée et vont voir ailleurs. »
Participer à la conversation