Un petit doute, une dernière vérification. C'est tout ce qui a séparé Alithya, une firme de consultation informatique de 500 employés établie à Québec, d'une fraude qui l'aurait détroussée de près de 500 000$.
La firme est apparemment l'une des rares à avoir réussi à intercepter à temps les fonds qui étaient destinés aux fraudeurs. Selon son PDG, Paul Raymond, l'argent était encore dans un compte transitoire à Hong Kong quand l'alerte a été donnée.
Lesdits fraudeurs «sont habiles», constate aujourd'hui M. Raymond, qui a accepté de partager son histoire afin d'éviter que d'autres ne se fassent prendre au piège.
«Ils ont commencé par identifier des personnes-clés en appelant à la réception et en demandant, par exemple, qui s'occupait des comptes recevables», explique-t-il.
Quand les criminels ont su qui cibler - une responsable du service de la comptabilité - , ils lui ont envoyé des courriels qui semblaient provenir... de M. Raymond lui-même.
«Ça lui disait que l'on travaillait sur une acquisition, qu'elle devait rester discrète et préparer un transfert de fonds.»
On invitait l'employée en question à communiquer avec un cabinet d'avocats établi en France. Ce cabinet, Lefèvre Pelletier&associés, existe bel et bien, mais n'est pas impliqué dans le coup. Il a même dû publier une notice sur son site internet pour prévenir la menace.
«Ces e-mails qui proviennent de messageries privées cherchent à obtenir de manière abusive la remise de sommes d'argent et demandent généralement un transfert de fonds dans le cadre d'opérations prétendument confidentielles [OPA] qui seraient particulièrement urgentes, écrit-on. [...] Ces e-mails sont frauduleux; ils ne proviennent pas du cabinet Lefèvre Pelletier&associés, Avocats/LPA et doivent être supprimés.»
Des communications téléphoniques, au cours desquelles les fraudeurs se faisaient passer pour des mandataires de ce cabinet d'avocats, ont même été acheminées. Ce n'est finalement qu'au moment où elle autorisait le transfert que l'employée a eu un doute.
«Elle a eu la présence d'esprit de communiquer avec moi à ce moment. Je crois qu'elle s'est dit que je n'aimais généralement pas régler les choses importantes par courriel.»
Les malfrats sont rusés, note M. Raymond, puisqu'ils parviennent à connaître ou estimer le montant maximal que peut manipuler l'employé ciblé sans autre autorisation.
«Dans notre cas, c'était 500 000$ et la somme qu'ils demandaient n'était pas beaucoup moins que ça.»
Prévention
Depuis l'événement, M. Raymond fait tout en son pouvoir pour faire connaître l'arnaque et éviter que d'autres entreprises en soient victimes.
À l'interne, il a aussi donné de nouvelles consignes aux employés qui sont en contact avec le public par téléphone, notamment les réceptionnistes.
«Nous leur avons demandé de prendre le numéro et de dire que l'on va rappeler, tout en restant poli, si quelqu'un appelle et ne connaît pas le nom de la personne à qui il veut parler. Un peu comme dans un hôtel, où vous ne pouvez pas simplement demander le numéro de la chambre sans connaître le nom de l'occupant. Juste ça, ça devrait compliquer la tâche des fraudeurs.»
Autrement, il n'y a pas grand-chose d'autre à faire que de s'assurer que le personnel reste vigilant, croit-il.
«Le maillon faible, c'est les individus. Il n'y a rien qui peut empêcher quelqu'un qui veut faire quelque chose de le faire.»