![](\"https:\/\/external-content.duckduckgo.com\/iu\/?u=https%3A%2F%2Fportail.lutte-ouvriere.org%2Fmedias%2Fbreve%2Fimages%2F2024%2F09%2F100-millions-d-euros-detournes-Kiabi-annonce-avoir-ete-victime-d-une-fraude-financiere-sophistiquee-d-ampleur-1945527_jpg.png.1200x675_q85_box-0%252C0%252C1279%252C720_crop_detail.png&f=1&nofb=1&ipt=b953e872785c7b39fb89e8666f1e7e6ba10cda272ec171aaabc7e714c2f11531&ipo=images\")
<\/p>\nContre la volont\u00e9 de la direction de l’entreprise (semble-t-il), le d\u00e9tournement de 100 millions d’euros par une ex salari\u00e9e de Kiabi a \u00e9t\u00e9 relay\u00e9 par la presse. Cette affaire \u00e9tonnante (dans une \u00e9poque o\u00f9 on ne cesse de parler de dettes, afficher une \u00ab\u00a0\u00e9vaporation\u00a0\u00bb de 100 millions ne peut qu’interpeler) s’est doubl\u00e9e d’une communication pour le moins surprenante. En effet, le communiqu\u00e9 que la presse a largement r\u00e9pandu, pr\u00e9cise que la perte de 100 millions ne met pas l’entreprise en p\u00e9ril. S’il est logique de rassurer les investisseurs et partenaires en faisant comprendre que, malgr\u00e9 cette perte, il n’y a pas p\u00e9ril en la demeure, cette m\u00eame d\u00e9claration peut aussi \u00eatre prise pour un tacite encouragement donn\u00e9 \u00e0 ceux dont les ambitions sont inf\u00e9rieures \u00e0 cette somme. Si une communication alarmiste est toujours malvenue, une telle annonce laisse perplexe. Il vaut parfois mieux ne rien dire.<\/p>\n
Au-del\u00e0 de la communication, cette affaire suscite en outre des interrogations quant \u00e0 sa gouvernance et sa s\u00fbret\u00e9 que nous allons d\u00e9velopper.<\/p>\n
<\/p>\n
Source<\/a><\/p>\n Quand bien m\u00eame ce d\u00e9tournement ne met pas l’entreprise en p\u00e9ril, la premi\u00e8re question que chacun peut se poser est de savoir comment il est possible qu’une entreprise de cette taille se fasse ainsi, en douceur, subtiliser 100 millions. On nous parle de d\u00e9linquance astucieuse et de fraude sophistiqu\u00e9e, mais la technique expos\u00e9e dans la presse, si elle n\u00e9cessite un certain savoir-faire, est loin d’\u00eatre nouvelle ou innovante : des films et s\u00e9ries l’ont d\u00e9j\u00e0 amplement montr\u00e9e. La surprise nous semble anticipable.<\/p>\n Se pose ensuite la question de la surveillance des mouvements financiers au sein de l’entreprise : qui les d\u00e9cide, qui les v\u00e9rifie, qui les valide, qui les contr\u00f4le ? In fine<\/em>, qui est responsable de quoi ? D’autant que, d’apr\u00e8s les premiers \u00e9l\u00e9ments recueillis, il semblerait que l’investissement frauduleux ait \u00e9t\u00e9 r\u00e9alis\u00e9 en 2023 et que le pot aux roses n’ait \u00e9t\u00e9 d\u00e9couvert qu’environ un an apr\u00e8s. Cela signifie que pendant quasiment un an, soit 100 millions manquaient \u00e0 l’appel sans que personne ne s’en rende compte, soit quelqu’un a menti sans jamais en \u00eatre suspect\u00e9. Pourtant, on trouve sur internet un plan de vigilance<\/a> de l’entreprise (visiblement de 2019) qui mentionne son dispositif de contr\u00f4le interne dont un des objectifs est la \u00ab\u00a0fiabilit\u00e9 de son information financi\u00e8re\u00a0\u00bb<\/em>. Quis custodiet ispsos custodes<\/em> ?<\/p>\n La troisi\u00e8me question pourrait \u00eatre d’ordre cyber. En effet, selon France Info<\/a> et Challenges<\/a>, l’auteur des faits aurait \u00ab\u00a0usurp\u00e9 l\u2019identit\u00e9 d\u2019un haut responsable pour valider ses manigances.\u00a0\u00bb<\/em> Comment a-t-elle pu r\u00e9cup\u00e9rer les identifiants de ce responsable, et comment ce dernier a-t-il pu ne pas se rendre compte de l’usage frauduleux de ses identifiants ? Un chantier relatif aux processus internes vient vraisemblablement de s’ouvrir chez Kiabi, d’autant que le m\u00eame article nous apprend qu’elle \u00ab\u00a0aurait aussi b\u00e9n\u00e9fici\u00e9 de d\u00e9faillances majeures des r\u00e8gles de contr\u00f4le interne de l\u2019enseigne\u00a0\u00bb<\/em>. Ce qui peut soulever des questions sur la cybers\u00e9curit\u00e9 interne, la sensibilisation \u00e0 la fraude, le contr\u00f4le interne.<\/p>\n Enfin, car il va bien falloir boire la coupe jusqu’\u00e0 la lie, un chantier processus de recrutement est \u00e9galement ouvert. Toujours selon le m\u00eame article de Challenges, l’auteur n’en serait pas \u00e0 son coup d’essai : \u00a0\u00bb L\u2019enqu\u00eate a fait \u00e9merger qu\u2019elle avait d\u00e9j\u00e0 \u00e9t\u00e9 condamn\u00e9e \u00e0 deux ans de prison avec sursis pour une escroquerie dans une autre maison, \u00e0 hauteur de 800 000 euros. Une d\u00e9cision de justice qu\u2019ignorait Kiabi.\u00a0\u00bb<\/em> S’il est logique que l’int\u00e9ress\u00e9e ne clame pas sur tous les toits sa condamnation pour escroquerie, il peut \u00eatre utile de demander (et v\u00e9rifier) des r\u00e9f\u00e9rences, sachant que l’\u00e9loignement-sanction n’existe pas que dans les arm\u00e9es depuis les limogeages de 1914. Il y a quasiment 20 ans de cela, un dirigeant de PME m’avait avou\u00e9 que sa comptable avait d\u00e9tourn\u00e9 la TVA pendant un certain temps et que, lorsqu’il avait voulu pr\u00e9venir son pr\u00e9c\u00e9dent employeur de cette m\u00e9saventure, la r\u00e9ponse de ce dernier avait \u00e9t\u00e9 \u00ab\u00a0\u00e0 ton avis, pourquoi l’ai-je laiss\u00e9e partir ?’<\/p>\n Tout ceci nous incite \u00e0 nous demander que r\u00f4le la s\u00fbret\u00e9 a jou\u00e9 dans cette affaire.<\/p>\n Pourquoi se demander quel a \u00e9t\u00e9 le r\u00f4le de la s\u00fbret\u00e9 ? Pour deux raisons. La premi\u00e8re est parce qu’on entend encore proclamer que la s\u00fbret\u00e9 prot\u00e8ge les trois patrimoines de l’entreprise, \u00e0 savoir le mat\u00e9riel, l’humain et l’immat\u00e9riel. Si tel \u00e9tait le cas (nous avons d\u00e9j\u00e0 prouv\u00e9 que c’\u00e9tait faux car le directeur s\u00fbret\u00e9 ne s’occupe pas de la d\u00e9fense de la propri\u00e9t\u00e9 industrielle de l’entreprise) les finances de l’entreprise \u00e9tant immat\u00e9rielles, il devrait alors avoir son mot \u00e0 dire dans leur protection. La deuxi\u00e8me tient au fait que comme il est \u00e9galement affirm\u00e9 que la s\u00fbret\u00e9 prot\u00e8ge l’entreprise des actions malveillantes alors que la s\u00e9curit\u00e9 s’occupe des accidents (sauf dans le b\u00e2timent, le nucl\u00e9aire et toutes les entreprises qui pr\u00e9f\u00e8rent parler de safety<\/em> et de security<\/em>), le directeur s\u00fbret\u00e9 devrait \u00eatre en premi\u00e8re ligne, cette affaire \u00e9tant un cas typique de malveillance interne visant un des trois patrimoines de l’entreprise.<\/p>\n Aucune d\u00e9claration, aucune mise en avant du directeur s\u00fbret\u00e9 de l’entreprise, si tant est qu’il en existe un, car les recherches en ligne s’av\u00e8rent vaines. Les m\u00e9dias mentionnent volontiers la s\u00e9curit\u00e9 physique<\/a> de Kiabi, sa cybers\u00e9curit\u00e9<\/a>, mais sa s\u00fbret\u00e9 est totalement absente des articles. Kiabi n’est pourtant pas une PME avec un chiffre d’affaires d’1,25 milliards en 2023. Des ETI avec un CA moins \u00e9lev\u00e9 ont cependant un directeur s\u00fbret\u00e9. Se retrancher derri\u00e8re la l\u00e9gendaire discr\u00e9tion de la s\u00fbret\u00e9 d’entreprise peut \u00eatre une strat\u00e9gie qui laisse cependant perplexe.<\/p>\n En plus des chantiers de contr\u00f4le des processus internes qui devraient \u00eatre lanc\u00e9s dans l’entreprise (cf. supra<\/em>), il semble \u00e9galement indispensable de lancer une r\u00e9flexion sur la lutte contre les malveillances internes et donc la s\u00fbret\u00e9, ses missions, sa place dans l’entreprise et sa connaissance par l’ensemble des salari\u00e9s. En bref, toutes les questions d\u00e9j\u00e0 expos\u00e9es dans une th\u00e8se de doctorat<\/a> qui demeurent en attente de traitement s\u00e9rieux malgr\u00e9 les propositions faites par l’auteur de travaux communs.<\/p>\nLa gouvernance<\/h2>\n
La s\u00fbret\u00e9<\/h2>\n