Fiche de révision : Introduction à la lutte contre la fraude numérique

📋 Plan du Cours

1. Panorama de la fraude en entreprise
2. Schémas de fraude et signaux d’alerte
3. Responsabilité du commissaire aux comptes
4. Valeur ajoutée de l’audit des SI
5. Cadre juridique du système d’information
6. Contrôlabilité permanente et chemin de révision
7. Contrôle fiscal informatisé et FEC
8. Données personnelles et sécurité pénale
9. Propriété intellectuelle des logiciels
10. Cadre européen du numérique

📖 1. Panorama de la fraude en entreprise

🔑 Notions clés & Définitions

• Fraude en entreprise : La fraude est un acte intentionnel impliquant des manœuvres trompeuses visant un avantage indu ou illégal, commis par des acteurs internes ou des tiers.
• Délits primaires : Les délits primaires sont l’acte frauduleux initial, comme le vol, l’escroquerie ou l’abus de confiance, qui déclenche la fraude.
• Délits secondaires : Les délits secondaires sont les actions destinées à dissimuler ou prolonger la fraude, comme les faux et la manipulation comptable ou des SI.
• Trois piliers de la fraude : Les trois piliers décrivent l’intention, le mode opératoire et la dissimulation, formant un ensemble indissociable de la fraude dans la durée.

📝 Points essentiels

• La fraude est un risque universel qui touche toutes les tailles d’organisations et s’intensifie quand le contrôle interne devient relâché ou routinier.
• La fraude s’inscrit dans la durée : la répétition d’anomalies, même mineures, constitue un signal d’alerte majeur pour l’auditeur.
• Les schémas frauduleux combinent de plus en plus trois dimensions : humaine (ingénierie sociale), organisationnelle (failles de contrôle) et numérique (usage détourné des SI).
• La transformation digitale augmente la surface d’exposition : chaque automatisation, interface ou flux dématérialisé peut devenir un point d’entrée pour un fraudeur.
• Les principales catégories de fraudes incluent financières, détournements d’actifs, fraudes aux paiements, fraudes informatiques et manipulation comptable.
• Les facteurs de risque récurrents comprennent la concentration des pouvoirs, la faiblesse du contrôle interne, l’absence de séparation des tâches, la pression sur les résultats et la routine des contrôles.

💡 Astuce mémo

Piliers = I-M-D : Intention, Mode opératoire, Dissimilation (et ça dure).

📖 2. Schémas de fraude et signaux d’alerte

🔑 Notions clés & Définitions

• Trilogie de la fraude : La fraude se comprend par la combinaison d’une intention, d’un mode opératoire et d’une phase de dissimulation qui permet de durer.
• Séquence universelle de fraude : Les schémas frauduleux suivent souvent une logique en trois temps : extraction de valeur, dissimulation, puis conversion du gain pour le fraudeur.
• Fournisseur fictif : Un schéma de fraude achats consiste à créer un tiers inexistant ou contrôlé, pour produire des factures non fondées et détourner les paiements.
• Ingénierie sociale : L’ingénierie sociale regroupe des fraudes qui exploitent des biais humains, souvent via l’urgence et la confidentialité pour contourner les contrôles.
• Montants calibrés : Des montants systématiquement proches d’un seuil laissent penser à une fraude visant à éviter des validations ou contrôles automatiques.

📝 Points essentiels

• Les fraudes se détectent mieux par convergence d’indices, car une anomalie isolée peut être trompeuse alors que la répétition et le regroupement de signaux renforcent la suspicion.
• Tous les schémas partagent une logique extraction de valeur puis dissimulation des traces, avec une conversion finale en bénéfice personnel.
• Dans les achats, l’absence de séparation entre création du fournisseur et saisie des factures est une faille centrale permettant un contournement du contrôle interne.
• Un signal fort est la modification répétée de coordonnées bancaires (ex. RIB) peu après la création d’un fournisseur, surtout si elle coïncide avec des paiements calibrés sous les seuils.
• Une fraude par ingénierie sociale présente typiquement une urgence artificielle et une exigence de confidentialité, avec un contournement explicite des circuits de validation habituels.
• Lors d’un encaissement client, des délais anormaux, des avoirs injustifiés et des passages en perte suspects exigent des tests de cut-off renforcés pour vérifier l’exhaustivité en clôture.

💡 Astuce mémo

Convergence + Contournement : indices répétés (et calibrés) + urgence/confidentialité = suspicion forte.

📖 3. Responsabilité du commissaire aux comptes

🔑 Notions clés & Définitions

• Scepticisme professionnel : Approche d’audit où le commissaire aux comptes questionne les éléments recueillis et n’accepte pas les explications sans vérification adaptée.
• Lettre d'affirmation : Document formel par lequel la direction confirme ses responsabilités, notamment en matière de prévention et détection de la fraude, et atteste l’exhaustivité des informations transmises.
• Jugement professionnel : Capacité du commissaire aux comptes à adapter ses diligences aux risques identifiés, en privilégiant l’analyse critique sur l’exécution mécanique de procédures standard.
• Confirmations externes : Recueil de preuves auprès de tiers indépendants qui servent de base probante de haute qualité, notamment pour les soldes bancaires et des opérations clés.

📝 Points essentiels

• Le commissaire aux comptes doit adapter son programme de travail aux risques de fraude, sans se limiter à une approche standard, et renforcer l’attention sur les zones d’arbitrage humain.
• En présence de fraude potentielle, il intègre une imprévisibilité maîtrisée (rotation des tests, échantillons modifiés, zones ciblées différemment selon les années) pour rompre la routine.
• Les zones à vigilance renforcée incluent la reconnaissance des revenus, les écritures inhabituelles (OD manuelles de fin de période sans pièces justificatives), les opérations hors cycle et le management override.
• Les confirmations externes ne peuvent pas être remplacées par des documents fournis par l’entité, et leur absence (ou refus de circulariser, retards inexpliqués) impose d’étendre les diligences et de documenter une limitation.
• Si une fraude est avérée ou si une limitation importante empêche d’obtenir des éléments probants suffisants, le commissaire aux comptes réévalue la mission et adapte l’opinion, avec documentation de son raisonnement et de ses échanges avec la gouvernance.
• En cas de découverte de faits délictueux, il peut avoir l’obligation légale de révélation au procureur de la République selon les modalités prévues par la réglementation.

💡 Astuce mémo

Fraude = Anti-routine + preuves externes : casse la mécanique, puis exige le tiers.

📖 4. Valeur ajoutée de l’audit des SI

🔑 Notions clés & Définitions

• Jugement professionnel du CAC : Le jugement professionnel du commissaire aux comptes est l’évaluation documentée des risques et des réponses d’audit à partir des faits et des éléments probants disponibles.
• Exigences de traçabilité : Les exigences de traçabilité imposent de conserver des preuves écrites de toutes les décisions et adaptations d’audit, y compris les échanges avec la gouvernance.
• Confirmations bancaires externes : Les confirmations bancaires externes sont des preuves obtenues directement auprès des banques pour vérifier l’existence de soldes significatifs, notamment en contexte de zones à risque.

📝 Points essentiels

• La découverte d’une fraude impose une adaptation documentée de la stratégie d’audit avec renforcement des contrôles sur les cycles concernés et une mise à jour formelle de l’évaluation des risques.
• L’indépendance du commissaire aux comptes exige de ne jamais accepter des promesses verbales d’amélioration comme substitut à une remédiation attendue, une fois la défaillance constatée.
• Le régulateur attend une traçabilité complète reliant l’incident de fraude à l’adaptation du programme de travail et à la formalisation des échanges avec les organes de gouvernance.
• En cas de limitation d’étendue liée à l’impossibilité d’obtenir des éléments probants suffisants sur un poste significatif, l’opinion doit être impactée par une réserve ou par une impossibilité de certifier selon l’importance et la pervasivité.
• Le régulateur exige la mise en œuvre systématique de confirmations bancaires externes directes pour les soldes de trésorerie significatifs, sans exception liée à la zone géographique.
• Si la banque ne répond pas, l’auditeur doit poursuivre l’obtention d’éléments probants via des procédures alternatives renforcées, et informer formellement la gouvernance des conséquences potentielles.

💡 Astuce mémo

Fraude découverte = stratégie adaptée + risques réévalués + preuves renforcées + traçabilité gouvernance.

📖 5. Cadre juridique du système d’information

🔑 Notions clés & Définitions

• Contrôle fiscal informatisé : Le contrôle fiscal informatisé encadre l’accès de l’administration aux données comptables via des fichiers et documents numériques exploitablement normés.
• Fichier des Écritures Comptables : Le FEC est un fichier normé contenant les écritures comptables permettant à l’administration fiscale de contrôler la tenue et la cohérence des comptabilités informatisées.
• Décret comptable du 29 novembre 1983 : Le décret du 29 novembre 1983 encadre la comptabilité informatisée en imposant la documentation et le contrôle des traitements réalisés par le SI.
• RGPD : Le RGPD fixe un cadre légal de protection des données personnelles avec des exigences de sécurité, de gouvernance et de traçabilité pour les traitements.

📝 Points essentiels

• Le système d’information engage un triple risque en cas de défaillance : juridique (preuve et conformité), fiscal (rejet/majorations) et pénal (responsabilités en cas d’atteinte).
• Le Code de commerce impose une comptabilité régulière et sincère adossée à des pièces justificatives, avec des exigences particulières lorsque le SI est le support des enregistrements.
• Le décret comptable du 29 novembre 1983 impose une documentation des procédures et traitements, afin de démontrer la maîtrise et la fiabilité des traitements informatisés.
• Le FEC doit être exhaustif, au format normé, cohérent avec les comptes et intègre sans retraitements postérieurs, sinon il peut être traité comme une opposition à contrôle fiscal.
• Le RGPD impose des mesures techniques et organisationnelles de sécurité et une traçabilité des traitements, y compris pour les données personnelles présentes dans les processus financiers.

📖 6. Contrôlabilité permanente et chemin de révision

🔑 Notions clés & Définitions

• Contrôlabilité permanente : La contrôlabilité permanente désigne la capacité du SI comptable à rester vérifiable à tout moment, grâce à des contrôles et des traces qui rendent l’information auditables en continu.
• Chemin de révision continu : Le chemin de révision continu est la possibilité de remonter, à partir d’un solde, jusqu’à la pièce justificative d’origine, sans rupture ni zone non traçable.
• Données sources exploitables : Les données sources exploitables correspondent au droit pour l’auditeur d’accéder aux informations d’origine directement, afin de contrôler le traitement sans dépendre de restitutions intermédiaires.

📝 Points essentiels

• Le PCG impose une contrôlabilité permanente permettant de vérifier les états produits à tout moment via la traçabilité et la disponibilité des éléments de preuve.
• Un chemin de révision continu permet de passer d’un solde comptable à la pièce justificative d’origine, sans dépendre d’une reconstitution ad hoc.
• Le principe permet à l’auditeur de réaliser des tests sur les données brutes directement, pour réduire le risque que des restitutions intermédiaires aient été altérées.
• La capacité à remonter l’information en continu justifie une exigence d’auditabilité du SI, notamment dans les traitements comptables informatisés.

💡 Astuce mémo

Solde → Pièce : “toujours remontable” (chemin de révision continu) pour prouver et contrôler sans rupture.

📖 7. Contrôle fiscal informatisé et FEC

🔑 Notions clés & Définitions

• Rejet de comptabilité : Le rejet de comptabilité est la conséquence d’un FEC incomplet, illisible ou non conforme, entraînant la remise en cause du résultat reconstitué.
• Taxation d’office : La taxation d’office est la sanction fiscale applicable en cas de rejet, avec inversion de la charge de la preuve au détriment du contribuable.
• Lisibilité et exploitabilité : La lisibilité et l’exploitabilité exigent que les données conservées restent restituables et utilisables pendant toute la durée légale de conservation.

📝 Points essentiels

• L’administration fiscale peut rejeter la comptabilité si le FEC est incomplet, illisible ou non conforme, conduisant à une reconstitution du résultat.
• En cas de rejet, l’entreprise s’expose à une taxation d’office avec inversion de la charge de la preuve.
• La non-conformité du FEC entraîne un risque financier chiffré de 5 000 € d’amende par exercice non conforme.
• La production du FEC doit être assurée par le système d’information avec une capacité à générer un fichier conforme aux spécifications de l’article A.47 A-1 du LPF.
• Une migration de logiciel sans garantie d’accès aux données historiques peut rendre les anciennes données non exploitables et donc non conformes au regard des exigences de lisibilité.

💡 Astuce mémo

FEC = fichier contrôlable : si ce n’est pas lisible et exploitable, le risque est le rejet puis la taxation d’office.

📖 8. Données personnelles et sécurité pénale

🔑 Notions clés & Définitions

• Traitements automatisés frauduleux : Traitements automatisés frauduleux regroupent des actions non autorisées qui portent sur les données, comme l’accès illégitime, l’altération ou la suppression.
• Négligence caractérisée : Négligence caractérisée désigne un manquement suffisamment grave à la mise en œuvre des mesures de sécurité informatique, pouvant engager une responsabilité pénale.
• Obligations de sécurité RGPD : Obligations de sécurité RGPD imposent des mesures techniques et organisationnelles pour protéger les données contre les atteintes liées au traitement automatisé.

📝 Points essentiels

• La responsabilité pénale des dirigeants peut être engagée en cas de négligence caractérisée dans la mise en œuvre des mesures de sécurité informatique.
• Les obligations de sécurité découlent du RGPD (article 32), de la directive NIS 2 et des normes sectorielles imposant des mesures techniques et organisationnelles.
• L’externalisation du SI ne transfère pas la responsabilité juridique : l’entité reste responsable de sa sécurité et l’auditeur doit évaluer la gouvernance interne.
• Le commissaire aux comptes doit évaluer l’impact d’un cyberincident sur la sincérité des comptes et adapter ses diligences si l’altération des données affecte la fiabilité financière.
• L’absence de procédure de crise (pas de PCA ni de PRA formalisés) aggrave la situation car la réponse est improvisée, non documentée et augmente le risque de perte définitive de données et de prolongation de l’interruption d’activité.
• En réponse, le commissaire aux comptes renforce les diligences sur la période affectée, alerte formellement la gouvernance et documente exhaustivement les impacts et travaux réalisés.

💡 Astuce mémo

Gouvernance d’abord : « prestataire ≠ responsable » et « cyberincident ≠ comptabilité intacte ».

📖 9. Propriété intellectuelle des logiciels

📖 10. Cadre européen du numérique

📅 Repères chronologiques

📊 Tableaux de synthèse

PDF vs facture électronique structurée

Délicats primaires vs délits secondaires

⚠️ Pièges & confusions fréquents

1. Prendre des documents internes (contrats/factures scannées) comme preuves suffisantes, alors que la logique exige des confirmations externes et des preuves indépendantes.
2. Qualifer à tort l’événement comme une « simple erreur isolée », alors qu’une fraude avérée implique une réévaluation du risque et des diligences renforcées.
3. Confondre conservation matérielle (fichier stocké) et conservation juridique : sans lisibilité/exploitabilité, le risque FEC et fiscal reste majeur.
4. Croire que « l’IA est un outil neutre » : sans documentation et gouvernance humaine, on ne peut pas apprécier la fiabilité des décisions automatisées.
5. Limiter l’analyse cyber au seul prestataire IT : l’entité et ses dirigeants restent responsables, et il faut évaluer l’impact sur la sincérité des comptes.
6. Assimiler un contrôle standardisé à une stratégie antifraude : la routine masque les risques, d’où l’imprévisibilité maîtrisée des tests.
7. Confondre PDF avec facture électronique : un PDF sans données structurées n’est pas une facture électronique au sens de la réforme.

✅ Checklist Examen

1. Définir la fraude en entreprise (acte intentionnel + tromperie + avantage indu/illégal) et distinguer délits primaires et délits secondaires.
2. Expliquer les « trois piliers » (intention, mode opératoire, dissimulation) et la logique universelle extraction de valeur → dissimulation → conversion.
3. Lister les facteurs de risque récurrents (concentration des pouvoirs, faiblesse du contrôle interne, absence de séparation des tâches, pression sur les résultats, routine des contrôles).
4. Donner des signaux d’alerte achats/fournisseurs (création récente, modifications de RIB, montants calibrés) et relier-les à l’absence de séparation des tâches.
5. Décrire les signaux d’alerte ventes/encaissements (délais d’encaissement anormaux, avoirs injustifiés, passages en perte suspects) et l’idée de cut-off renforcé.
6. Exposer le périmètre du CAC : pas détection systématique, mais identification et évaluation des risques d’anomalies significatives, avec scepticisme professionnel et imprévisibilité maîtrisée.
7. Justifier pourquoi les confirmations externes ne se remplacent pas par des documents de l’entité, et citer les cas où leur absence impose d’étendre les diligences et de documenter une limitation.
8. Relier la fraude découverte à l’audit SI : revue des habilitations, journaux, tests sur écritures manuelles/OD, audit des interfaces, paramétrages critiques, et exigence de traçabilité gouvernance.
9. Maîtriser le cadre juridique du SI (Code de commerce + décret 29 novembre 1983 + PCG/ANC + FEC via L.47 A LPF et exigence lisibilité/exploitabilité + RGPD article 32).
10. Expliquer le risque en cas de rejet FEC (rejet de comptabilité, taxation d’office, inversion de la charge de la preuve, amende de 5 000 € par exercice non conforme) et le risque de migration sans accès aux historiques.
11. Qualifier une non-conformité RGPD/cyber : négligence caractérisée, impact sur la sincérité des comptes, absence de procédure de crise (PCA/PRA) et posture attendue (diligences renforcées + alerte + traçabilité).