Kiabi a dit…
Contre la volonté de la direction de l’entreprise (semble-t-il), le détournement de 100 millions d’euros par une ex salariée de Kiabi a été relayé par la presse. Cette affaire étonnante (dans une époque où on ne cesse de parler de dettes, afficher une “évaporation” de 100 millions ne peut qu’interpeler) s’est doublée d’une communication pour le moins surprenante. En effet, le communiqué que la presse a largement répandu, précise que la perte de 100 millions ne met pas l’entreprise en péril. S’il est logique de rassurer les investisseurs et partenaires en faisant comprendre que, malgré cette perte, il n’y a pas péril en la demeure, cette même déclaration peut aussi être prise pour un tacite encouragement donné à ceux dont les ambitions sont inférieures à cette somme. Si une communication alarmiste est toujours malvenue, une telle annonce laisse perplexe. Il vaut parfois mieux ne rien dire.
Au-delà de la communication, cette affaire suscite en outre des interrogations quant à sa gouvernance et sa sûreté que nous allons développer.
La gouvernance
Quand bien même ce détournement ne met pas l’entreprise en péril, la première question que chacun peut se poser est de savoir comment il est possible qu’une entreprise de cette taille se fasse ainsi, en douceur, subtiliser 100 millions. On nous parle de délinquance astucieuse et de fraude sophistiquée, mais la technique exposée dans la presse, si elle nécessite un certain savoir-faire, est loin d’être nouvelle ou innovante : des films et séries l’ont déjà amplement montrée. La surprise nous semble anticipable.
Se pose ensuite la question de la surveillance des mouvements financiers au sein de l’entreprise : qui les décide, qui les vérifie, qui les valide, qui les contrôle ? In fine, qui est responsable de quoi ? D’autant que, d’après les premiers éléments recueillis, il semblerait que l’investissement frauduleux ait été réalisé en 2023 et que le pot aux roses n’ait été découvert qu’environ un an après. Cela signifie que pendant quasiment un an, soit 100 millions manquaient à l’appel sans que personne ne s’en rende compte, soit quelqu’un a menti sans jamais en être suspecté. Pourtant, on trouve sur internet un plan de vigilance de l’entreprise (visiblement de 2019) qui mentionne son dispositif de contrôle interne dont un des objectifs est la “fiabilité de son information financière”. Quis custodiet ispsos custodes ?
La troisième question pourrait être d’ordre cyber. En effet, selon France Info et Challenges, l’auteur des faits aurait “usurpé l’identité d’un haut responsable pour valider ses manigances.” Comment a-t-elle pu récupérer les identifiants de ce responsable, et comment ce dernier a-t-il pu ne pas se rendre compte de l’usage frauduleux de ses identifiants ? Un chantier relatif aux processus internes vient vraisemblablement de s’ouvrir chez Kiabi, d’autant que le même article nous apprend qu’elle “aurait aussi bénéficié de défaillances majeures des règles de contrôle interne de l’enseigne”. Ce qui peut soulever des questions sur la cybersécurité interne, la sensibilisation à la fraude, le contrôle interne.
Enfin, car il va bien falloir boire la coupe jusqu’à la lie, un chantier processus de recrutement est également ouvert. Toujours selon le même article de Challenges, l’auteur n’en serait pas à son coup d’essai : ” L’enquête a fait émerger qu’elle avait déjà été condamnée à deux ans de prison avec sursis pour une escroquerie dans une autre maison, à hauteur de 800 000 euros. Une décision de justice qu’ignorait Kiabi.” S’il est logique que l’intéressée ne clame pas sur tous les toits sa condamnation pour escroquerie, il peut être utile de demander (et vérifier) des références, sachant que l’éloignement-sanction n’existe pas que dans les armées depuis les limogeages de 1914. Il y a quasiment 20 ans de cela, un dirigeant de PME m’avait avoué que sa comptable avait détourné la TVA pendant un certain temps et que, lorsqu’il avait voulu prévenir son précédent employeur de cette mésaventure, la réponse de ce dernier avait été “à ton avis, pourquoi l’ai-je laissée partir ?’
Tout ceci nous incite à nous demander que rôle la sûreté a joué dans cette affaire.
La sûreté
Pourquoi se demander quel a été le rôle de la sûreté ? Pour deux raisons. La première est parce qu’on entend encore proclamer que la sûreté protège les trois patrimoines de l’entreprise, à savoir le matériel, l’humain et l’immatériel. Si tel était le cas (nous avons déjà prouvé que c’était faux car le directeur sûreté ne s’occupe pas de la défense de la propriété industrielle de l’entreprise) les finances de l’entreprise étant immatérielles, il devrait alors avoir son mot à dire dans leur protection. La deuxième tient au fait que comme il est également affirmé que la sûreté protège l’entreprise des actions malveillantes alors que la sécurité s’occupe des accidents (sauf dans le bâtiment, le nucléaire et toutes les entreprises qui préfèrent parler de safety et de security), le directeur sûreté devrait être en première ligne, cette affaire étant un cas typique de malveillance interne visant un des trois patrimoines de l’entreprise.
Aucune déclaration, aucune mise en avant du directeur sûreté de l’entreprise, si tant est qu’il en existe un, car les recherches en ligne s’avèrent vaines. Les médias mentionnent volontiers la sécurité physique de Kiabi, sa cybersécurité, mais sa sûreté est totalement absente des articles. Kiabi n’est pourtant pas une PME avec un chiffre d’affaires d’1,25 milliards en 2023. Des ETI avec un CA moins élevé ont cependant un directeur sûreté. Se retrancher derrière la légendaire discrétion de la sûreté d’entreprise peut être une stratégie qui laisse cependant perplexe.
En plus des chantiers de contrôle des processus internes qui devraient être lancés dans l’entreprise (cf. supra), il semble également indispensable de lancer une réflexion sur la lutte contre les malveillances internes et donc la sûreté, ses missions, sa place dans l’entreprise et sa connaissance par l’ensemble des salariés. En bref, toutes les questions déjà exposées dans une thèse de doctorat qui demeurent en attente de traitement sérieux malgré les propositions faites par l’auteur de travaux communs.
Si nous envisageons l’avenir, nous remarquons que cette affaire montre la convergence de plus en plus grande entre la sûreté d’entreprise et la traçologie (ou forensique). Ce thème a déjà été évoqué dans le billet qui montre l’intérêt l’intérêt pour le directeur sûreté de connaitre et de mettre en œuvre la déclaration de Sydney. En passant ex ante et ex post l’affaire des faux espions de Renault au crible de cette déclaration, il démontre la pertinence de cette déclaration pour la sûreté d’entreprise. Si l’affaire Kiabi n’est pas du même ordre que l’affaire Renault, son analyse ex post à travers la déclaration de Sydney sera très certainement riche d’enseignements. Nous remarquons cependant que la grille d’analyse ex ante de l’affaire Renault est aisément transposable à l’affaire Kiabi. Et ce, d’autant plus qu’une veille de l’activité de cette ancienne employée via les réseaux sociaux aurait pu alerter puisqu’elle y étalait sans vergogne un train de vie plutôt confortable…
Enfin, terminons ces éléments relatifs à la sûreté en soulignant la certaine ingénuité dont elle a fait preuve car, après avoir étalé sa nouvelle vie sur les réseaux sociaux, elle a été arrêtée avec une importante somme en liquide et des bijoux de valeur dans ses bagages. Si la délinquance était astucieuse, la délinquante l’était moins.
Conclusion
Passer le rôle de la sûreté au crible d’une affaire médiatisée s’avère riche d’enseignements, même si la sûreté d’entreprise est singulièrement absente des discussions qui s’y rapportent. Si les interrogations mentionnées supra et les chantiers qu’il est utile de lancer concernent directement Kiabi, il semble néanmoins utile que les directions sûreté existantes se les posent, en incluant celle du rôle qu’elles devraient jouer si des faits similaires avaient lieu dans leur entreprise, et comment leur responsabilité serait alors engagée. La question à se poser est simple : puisque la sûreté protège les trois patrimoines de l’entreprise et qu’elle lutte contre les malveillances, le dispositif adopté dans mon entreprise aurait-il permis d’éviter la perte de ces 100 millions d’euros ? Perte, car il est fort probable que l’intéressée ne pourra pas les rembourser.
Tout aussi important, elle nous montre que même si le terrorisme ne peut être évacué des préoccupations des entreprises et donc de leur directeur sûreté (le regain de tensions dans le Monde pouvant s’exporter en France), il n’est cependant pas aberrant d’étudier sérieusement ce qui fait moins la une des journaux mais peut s’avérer désastreux pour l’entreprise : vols, détournements, “démarques inconnues”, fuites d’informations… L’image (autre bien immatériel de l’entreprise) de Kiabi a été sérieusement atteinte, il lui est maintenant nécessaire de la restaurer.