L’évolution de la menace provenant de l’intérieur

Une récente note d’information, « The Threat from Within: A Growing Concern »,¹ publiée conjointement par l’ACAMS et Cifas,² a proposé un cadre pour comprendre l’évolution du paysage des risques posés par les initiés opérant au sein des organisations publiques comme privées.

Autrefois définies de manière étroite comme des comportements de traders véreux ou d’employés mécontents, les menaces internes englobent aujourd’hui un éventail beaucoup plus large de risques. Elles incluent notamment : la collusion avec des acteurs externes menaçants, tels que des groupes du crime organisé ; l’infiltration d’initiés malveillants pour une exploitation à long terme (parfois placés par des acteurs étatiques) ; ainsi qu’une complaisance interne conduisant à des défaillances critiques des dispositifs de lutte contre la criminalité financière ou des contrôles de cybersécurité. Cet article analyse ce phénomène préoccupant à travers plusieurs études de cas récentes qui révèlent l’ampleur, la complexité et la nature intersectorielle des fraudes, du blanchiment d’argent, de la cybercriminalité et d’autres stratagèmes malveillants facilités par des initiés.

ACAMS et Cifas ont souligné une évolution critique : Les menaces internes ne se limitent plus à des incidents isolés, mais s’intègrent de plus en plus à des fraudes complexes et à des stratagèmes géopolitiques de blanchiment d’argent. Les initiés peuvent agir comme facilitateurs, complices ou gardiens, sciemment ou par négligence, rendant la surveillance interne à la fois essentielle et difficile. Dans tous les cas examinés, les initiés ont joué un rôle déterminant, à la fois dans la réussite de l’infraction et dans le contournement des contrôles existants.

Tous ces cas impliquent divers facteurs environnementaux et doivent être analysés en fonction de leurs caractéristiques propres, telles que la criminalité sous-jacente, les particularités organisationnelles et les cadres de contrôle en place.

Des études de cas :

1. Un cas récent provenant du Kenya illustre l’ampleur du risque que peuvent représenter les initiés pour une seule institution financière (IF).³ Un audit d’Equity Bank a révélé une fraude interne de 11,6 millions de dollars (1,5 milliard de KSh) s’étendant sur une période de 90 jours. Des identifiants informatiques volés à un cadre supérieur du service paie ont permis d’effectuer plus de 40 virements non autorisés vers des comptes externes via la paie et des portefeuilles mobiles. Des employés à tous les niveaux et dans tous les services, incluant des cadres supérieurs comme des agents débutants, ont été mis en cause, certains pour collusion directe, d’autres pour ne pas avoir signalé des activités suspectes. Au total, plus de 1 200 employés ont été licenciés ou remerciés dans le cadre d’une purge interne.

La fraude impliquait plusieurs méthodes : détournement de paiements mobiles, virements interbancaires non autorisés (y compris vers l’étranger) et acceptation de « pourboires » ou de pots-de-vin de la part de clients. L’ampleur de la purge a mis en lumière des faiblesses systémiques de gouvernance dans les contrôles internes et la culture d’entreprise, ainsi que dans les équipes de lutte contre la fraude et les audits judiciaires de routine. Ce cas montre comment le risque interne peut infiltrer des transactions apparemment routinières, soulignant la nécessité d’une surveillance proactive du comportement des employés.

2. En mai 2024, une ancienne analyste budgétaire du Département d’État américain a reconnu avoir détourné plus de 650 000 dollars au détriment de son employeur.⁴ Elle manipulait les dossiers des fournisseurs et soumettait de fausses autorisations de paiement, exploitant la confiance interne liée à son rôle de responsable financière. Cela illustre le « risque de position privilégiée », où l’accès aux systèmes, combiné à une séparation insuffisante des tâches et à un manque de surveillance transactionnelle, a permis une fraude durable. Ce cas montre comment les lacunes internes dans les processus peuvent amplifier des vulnérabilités critiques dans les institutions. Une diligence raisonnable accrue et une détection des anomalies dans les processus d’achats et de paiements fournisseurs sont tout aussi essentielles que la surveillance au niveau des clients.

3. En juin 2025, une affaire a mis en lumière qu’un cadre dirigeant du CFA Institute, un organisme de formation financière basé aux États-Unis, avait détourné plusieurs millions de dollars au moyen de fausses notes de frais et de faux paiements à des prestataires.⁵

La fraude s’est étendue sur plusieurs années, reposant sur l’usage de documents falsifiés et sur des défaillances de supervision.

Cette affaire met en évidence plusieurs signaux d’alerte typiques liés aux « initiés » :

• Changements de train de vie inexpliqués
• Résistance face aux audits
• Absence de congés ou de délégation (le classique « risque de personne clé »)

Ce cas souligne la nécessité d’utiliser des analyses comportementales : contrôles réguliers du train de vie, renforcement des dispositifs d’alerte interne et outils de détection d’anomalies (par ex. factures en double, montants ronds, etc.) sont indispensables.

4. Dans un autre exemple préoccupant de collusion, quatre hommes, dont un initié, ont été condamnés à des peines de prison pour avoir manipulé le processus d’achat du NHS Scotland au moyen de pots-de-vin.⁶ L’initié a reçu des pots-de-vin en échange de l’attribution de contrats à certaines entreprises, parfois pour des services surfacturés ou inutiles. La fraude aux achats, en particulier dans les secteurs financés par des fonds publics, entraîne des effets domino en matière de blanchiment d’argent, notamment la création de fournisseurs-écrans, la surfacturation et l’intégration des fonds via des circuits de paiement légitimes.

Les recommandations en matière de contrôle incluent :

• la séparation des pouvoirs dans les processus d’approvisionnement ;
• des audits réguliers des fournisseurs ;
• l’analyse des schémas révélant des irrégularités contractuelles.

5. En mai 2025, il a été révélé que des pirates informatiques avaient soudoyé et recruté des agents d’appel corrompus afin d’accéder aux systèmes internes de Coinbase.⁷ Les initiés, approchés en ligne, ont fourni leurs identifiants ou facilité un accès détourné en échange d’argent. Cette affaire combine des éléments de cybersécurité et de menace interne dans une typologie hybride : des initiés recrutés depuis l’extérieur. Cela confirme les avertissements selon lesquels des acteurs externes (par exemple, des groupes de cybercriminalité ou du crime organisé) ciblent de plus en plus les initiés au sein des institutions financières et des plateformes technologiques.

Lorsque les sociétés d’actifs numériques sont utilisées comme points d’entrée dans le système financier, les actions d’un seul employé peuvent conduire à des échecs systémiques en matière de lutte contre le blanchiment de capitaux (LBC) et de contournement des sanctions, notamment, mais pas uniquement, le transfert de cryptomonnaies liées à des régimes sanctionnés ou au financement de la prolifération d’armes de destruction massive.

6. Une procédure civile de confiscation engagée par le Département de la Justice américain décrit comment des acteurs liés à la Corée du Nord ont blanchi plus de 7,74 millions de dollars au moyen d’un réseau de sociétés fictives, de plateformes d’échange compromises et de fausses identités.⁸ Fait notable, une partie de ces opérations de blanchiment s’est appuyée sur des initiés au sein de plateformes d’échange numériques ou sur des intermédiaires travaillant dans des banques régionales. Les initiés sont désormais essentiels aux opérations de blanchiment géopolitique, qu’ils soient recrutés volontairement ou sous la contrainte. L’usage du télétravail, de fausses offres d’emploi ou d’identités de fournisseurs compromises permet à des acteurs sanctionnés de s’infiltrer dans les processus financiers.

Un récent article⁹ du Wall Street Journal a également révélé comment des milliers d’informaticiens nord-coréens infiltrent des entreprises occidentales grâce au télétravail, souvent sous de fausses identités ou en collusion avec des recruteurs. Ces travailleurs génèrent des devises étrangères pour le régime et obtiennent un accès direct à des systèmes sensibles. Le risque dépasse largement la simple fraude aux paiements : il s’étend à des accès malveillants, où les initiés peuvent manipuler du code, créer des portes dérobées ou exfiltrer des données. Les équipes LBC et antifraude interne devraient intégrer la diligence raisonnable en matière de recrutement ainsi que la gestion des prestataires dans leurs dispositifs de contrôle.

Tendances transversales et enseignements concrets

1. Collusion des initiés avec des menaces externes       

Tous ces cas comportent une forme de dynamique personnelle qui rend certains individus vulnérables à des griefs perçus, à l’influence d’acteurs étatiques, de réseaux criminels ou de prestataires corrompus. Les professionnels de la LBC, de la lutte contre la cybercriminalité et de la lutte contre la fraude doivent élargir la définition de la diligence raisonnable client pour y inclure la diligence raisonnable appliquée aux employés et aux partenaires externes.

2. Les défaillances de contrôle permettent la longévité des fraudes

L’activité d’un initié peut se poursuivre pendant plusieurs années. Des fonctions d’audit faibles, des cultures propices au contournement des règles et des capacités insuffisantes d’analyse des données facilitent ces intrusions. Les institutions devraient déployer :

• des analyses comportementales biométriques ;
• des politiques de congés obligatoires et de rotation des postes ;
• une surveillance en temps réel de la situation financière des employés et de leurs comportements d’accès.

3. Des domaines de risque interconnectés

Les menaces internes ne constituent plus un risque isolé. Elles interagissent avec les risques cyber, les risques géopolitiques, le contournement des sanctions, la fraude aux achats publics et les schémas de blanchiment d’argent facilités par les cryptomonnaies.

Recommandations pour les professionnels de la lutte contre la criminalité financière

1. Développer des bibliothèques de typologie des menaces internes : adapter les modèles de détection pour refléter les risques internes propres à un rôle, par exemple, les responsables des achats, les administrateurs IT ou les professionnels des RH.
2. Exercices d’attaques simulées : tester les systèmes au moyen de brèches internes simulées afin d’identifier les points d’accès les plus vulnérables.
3. Collaboration entre les services : les menaces internes se situent à l’intersection des RH, de la cybersécurité, de la LBC et de la conformité. Des équipes de détection interdisciplinaires peuvent s’avérer essentielles.
4. Intégrer une notation du risque des employés : utiliser une notation du risque pour le personnel, fondée sur les niveaux d’accès, les pressions financières et les anomalies comportementales, à l’image de la notation du risque client dans le cadre de la LBC.
5. Renforcer la protection des lanceurs d’alerte : les menaces internes sont souvent détectées en interne. Des canaux de signalement sécurisés et anonymes peuvent accélérer le signalement.

Conclusion

Les menaces internes occupent désormais une place centrale dans le paysage des risques liés à la fraude et à la criminalité financière. Y faire face nécessite des changements systémiques dans la manière dont les institutions surveillent, détectent et gèrent les risques internes. Ces études de cas récentes, qu’il s’agisse de ministères ou d’entreprises FinTech, ne sont pas des exceptions : ce sont des signaux d’alarme révélant une vulnérabilité plus large. Pour les professionnels de la LBC, de la cybersécurité ou de la lutte contre la fraude, la voie à suivre consiste à reconsidérer les menaces internes non pas comme un simple problème de personnel, mais comme un élément central de la gestion du risque de criminalité financière.

Joby Carpenter, SME, Emerging Threats and Illicit Finance, ACAMS, jcarpenter@acams.org,

1. « The Threat from Within: A Growing Concern », ACAMS, Cifas, mai 2025, https://www.acams.org/en/media/document/39113
2. Cifas est un service britannique à but non lucratif de prévention de la fraude, qui permet le partage de données et de renseignements entre ses membres issus des secteurs bancaire, du commerce de détail, de l’assurance et des télécommunications.
3. Adonijah Ndege, « Kenya’s Equity Group fires 1,200 staff after internal $15.4 million fraud probe », TechCabal, 30 mai 2025, https://techcabal.com/2025/05/30/equity-group-ceo-fires-1200-fraud/
4. « Former State Department Budget Analyst Pleads Guilty to Embezzling More than $650,000 », Bureau du procureur des États-Unis, 30 avril 2025, https://www.justice.gov/usao-dc/pr/former-state-department-budget-analyst-pleads-guilty-embezzling-more-650000 
5. Anika Arora Seth, « Ex-CFA Institute Executive Charged With Embezzling Millions », Bloomberg, 23 juin 2025, https://www.bloomberg.com/news/articles/2025-06-23/ex-cfa-institute-executive-charged-with-embezzling-millions
6. « Four men jailed for £6m bribery and corruption against NHS Scotland », NHS Counter Fraud Authority, 5 juin 2025, https://cfa.nhs.uk/about-nhscfa/latest-news/four-men-jailed-for-bribery-against-NHS-scotland
7. Tom Gerken, « Leading crypto firm Coinbase faces up to $400m hit from cyber attack », BBC, 15 mai 2025, https://www.bbc.co.uk/news/articles/c80k5plpx8do 
8. « Department Files Civil Forfeiture Complaint Against Over $7.74M Laundered on Behalf of the North Korean Government », Département de la Justice des États-Unis, 5 juin 2025, https://www.justice.gov/opa/pr/department-files-civil-forfeiture-complaint-against-over-774m-laundered-behalf-north-korean
9. Robert McMillan et Dustin Volz, « North Korea Infiltrates U.S. Remote Jobs―With the Help of Everyday Americans », The Wall Street Journal, 27 mai 2025, https://www.wsj.com/business/north-korea-remote-jobs-e4daa727