La fraude dont a été victime Vinci est difficile à éviter

La mésaventure vécue mardi par le groupe Vinci, victime de fausses informations qui ont fait dévisser le cours de son action et choqué la place financière parisienne, a mis en lumière la vulnérabilité des entreprises face à ce type de fraudes.

Il aura suffi d'un faux communiqué de presse, annonçant mardi après-midi une révision des comptes financiers à la suite d'énormes erreurs comptables entraînant le licenciement du directeur financier de Vinci, pour faire s'effondrer de plus de 18%, à 16H05, le titre du groupe de BTP et de concessions.

Reçu par plusieurs rédactions dont l'AFP, et repris par l'agence Bloomberg, ce document, mis en ligne sur un site internet miroir -- réplique très similaire du vrai site -- mais avec une adresse distincte (vinci.group et non vinci.com), était signé du nom du véritable responsable des relations presse, tout en renvoyant à un faux numéro de téléphone portable.

Une demi-heure plus tard suivaient un faux démenti, ajoutant à la confusion, et un autre, authentique, de Vinci. En Bourse, l'incendie a pris fin mais le titre a tout de même perdu au final 3,76% à 58,80 euros.

"Les conséquences d'une telle opération peuvent être dramatiques pour la société visée", a déclaré à l'AFP l'analyste de Saxo Banque, Andrea Tuéni, soulignant qu'au "plus fort de la baisse", la capitalisation boursière de Vinci est tombée à 30 milliards d'euros, fondant de près de 6 milliards.

En outre, certains investisseurs ont enregistré des pertes financières. "Un coup aussi élaboré, avec la volonté flagrante de manipuler le marché et d'une ampleur aussi forte, est relativement inédit en France", a ajouté l'analyste.

Encore sous le choc mercredi, la direction de Vinci s'employait à rassurer ses équipes en interne, en soulignant qu'il ne s'agissait pas de "hacking" (piratage), les systèmes informatiques de l'entreprise n'ayant "été touchés à aucun moment".

Le leader mondial du BTP étudiait les poursuites judiciaires à donner à l'affaire.

Le gendarme de la Bourse, l'Autorité des marchés financiers (AMF), a assuré qu'après ce "grave dysfonctionnement du marché", elle allait "s'attacher à déterminer toutes les responsabilités" et "travailler avec l'ensemble des parties concernées afin de limiter à l'avenir ce type de risque, et son impact sur les marchés financiers".

Des investigations seront menées pour "vérifier qui pourrait avoir tiré profit" de cette diffusion de fausses informations, "via une possible manipulation de cours", a ajouté l'AMF.

- "Faussaires artisanaux" -

Réaliser ce type de fraude n'est pas compliqué car "il est extrêmement facile de copier un site internet", souligne l'expert en cybersécurité du cabinet Wavestone, Gérôme Billois. "Il y a même des logiciels qui permettent d'aspirer tous les contenus et de les transmettre sur un autre site", dit-il.

Car Vinci n'a pas été victime d'un "piratage sophistiqué avec intrusion", mais de "faussaires artisanaux, quoique méthodiques", renchérit le porte-parole d'un grand groupe.

"Un email, un numéro de portable et photoshop, et le tour est joué. Il est évident que ça peut arriver à n'importe quelle entreprise", admet-il, d'autant plus que les moyens technologiques de se prémunir contre ces fraudes sont limités.

Parmi les mesures à prendre: une veille attentive sur internet, à l'aide de logiciels permettant à l'entreprise de déceler toute publication relative à son nom.

"Les attaques de désinformations et de communication malveillante visant à ternir l'image de l'entreprise ne sont pas nouvelles. Ce qui est nouveau c'est l'accélération de la diffusion de l'information", a estimé une porte-parole d'EDF.

La société doit aussi disposer de processus de gestion de crise afin de réagir en urgence, notamment pour stopper la propagation des fausses informations.

Mais pour mieux se protéger, "il faut avoir une approche globale de la sécurité, pas uniquement un focus sur la cybersécurité comme on a trop tendance à l'avoir", ajoute Olivier Hassid, directeur chez PwC, spécialisé en Sécurité et Sûreté.

Selon M. Billois, cet épisode "met en lumière la confiance aveugle qu'on a aujourd'hui dans le numérique". Il recommande d'adopter des "systèmes de signature électronique pour amener une garantie supplémentaire" sur l'identité de l'expéditeur.

"Mais cela ne remplace pas la relation personnelle avec les journalistes", souligne un second communicant. "Avant de faire des annonces aussi importantes, on appelle."

© 2016 AFP