Nous avons récemment été informés d’une augmentation du nombre d’e-mails anonymes et de signalements en ligne envoyés à plusieurs entreprises via leurs systèmes de signalement internes. Le libellé de ces messages était identique et faisait état d’une violation présumée des réglementations de la SEC en matière de délit d’initié. Le signalement se lit comme suit :
J’ai la preuve que des initiés au sein de votre organisation vont faire chuter le cours de l’action de la société les 18, 19 et 20 juin afin d’en tirer un profit personnel. Leurs actions constituent une violation flagrante des règles de la SEC en matière de délit d’initié et de manipulation du marché. Je ferai le point lundi.
Qu’ils soient envoyés par e-mail ou via un système de signalement et de gestion des cas en ligne, les rapports fictifs peuvent constituer une menace accrue pour la sécurité informatique. Le « lecteur » ne soupçonne pas toujours que le rapport est un canular.
Un exemple antérieur met en évidence les conséquences réelles de ces canulars. En 2021, un chercheur a soumis un rapport fabriqué de toutes pièces via plusieurs hotlines d’entreprises dans le cadre d’une expérience universitaire, sans le consentement ni la connaissance des organisations concernées. Cette manœuvre a entraîné un gaspillage de ressources d’enquête, notamment des frais de conseil externe pour plusieurs entreprises et un risque pour la réputation des entreprises concernées. Nous avons connaissance d’au moins un autre projet de recherche universitaire qui a publié des allégations frauduleuses sur les systèmes de signalement des entreprises afin d’évaluer leurs réactions avant 2020.
Que les signalements fassent partie d’un projet de recherche universitaire malavisé sur les systèmes de signalement ou qu’ils constituent des tentatives de contournement de la sécurité de votre organisation, les signalements potentiellement faux doivent être traités avec prudence.
Lorsque ces schémas sont découverts, nos clients nous demandent s’il est sûr d’envoyer et de recevoir des messages de suivi avec le lanceur d’alerte via EthicsPoint ou WhistleB sans risque pour les systèmes de l’entreprise. La réponse est oui, sous certaines conditions. Il est sûr d’envoyer et de recevoir des messages de suivi dans EthicsPoint et WhistleB. Cependant, il est conseillé de ne pas fournir d’informations supplémentaires au lanceur d’alerte tant que vous n’avez pas vérifié que la soumission est légitime.
Si vous décidez de communiquer avec le lanceur d’alerte, nous vous recommandons d’utiliser le système de gestion des cas plutôt que le système de messagerie électronique de l’entreprise. Cela crée un niveau supplémentaire de séparation entre votre organisation et tout attaquant potentiel. Dans le cadre de nos protocoles de sécurité, toutes les pièces jointes téléchargées dans les systèmes EthicsPoint et WhistleB sont analysées pour rechercher des logiciels malveillants connus.
4 mesures à prendre si vous soupçonnez un faux signalement
Cela dit, les informations saisies en réponse au lanceur d’alerte doivent être aussi épurées que possible. En cas de doute, demandez conseil à un avocat, à votre service informatique et à vos auditeurs avant de répondre. Voici quatre mesures recommandées à prendre si vous recevez un signalement suspecté d’être un canular via votre système de gestion des cas.
Soyez prudent lorsque vous répondez au lanceur d'alerte
bien que les systèmes de hotline et de gestion des cas NAVEX soient sécurisés et que les communications entre vos enquêteurs et un lanceur d’alerte anonyme au sein de ces systèmes soient sécurisées et protégées, nous vous conseillons d’être prudent lorsque vous copiez-collez des informations fournies par un lanceur d’alerte. Soyez particulièrement prudent lorsque vous cliquez sur les liens fournis par le déclarant. Toutes les pièces jointes fournies par le déclarant seront analysées par nos systèmes, mais les liens ou le texte que vous collez dans votre navigateur ou votre système de messagerie électronique peuvent contenir des informations dangereuses.
Limitez les informations fournies au déclarant
limitez les informations vous concernant vous-même ou votre organisation lorsque vous communiquez avec ces déclarants. Tous les messages de suivi doivent se limiter à des demandes d’informations supplémentaires sans fournir de contexte supplémentaire ni de coordonnées directes. Nous vous déconseillons de fournir des adresses e-mail, des numéros de téléphone ou même les noms des membres de votre équipe d’enquête si vous n’êtes pas certain de la validité du rapport.
Si vous recevez un volume important de rapports potentiellement faux, envisagez de supprimer la fonctionnalité de recherche en ligne pendant un certain temps
cette fonctionnalité permet à un rapporteur de se connecter à Internet et d’effectuer une recherche par nom d’organisation ou de programme afin de déposer un rapport. Vous pouvez envisager de supprimer la fonctionnalité de recherche publique et de diriger vos employés vers l’URL personnalisée de votre programme. Le service clientèle de NAVEX peut vous aider à effectuer cette modification si nécessaire.
Supprimez les signalements identifiés comme étant des canulars
Certains signalements frauduleux sont évidents, mais d’autres peuvent sembler très réels. Si les détails d’un signalement que vous recevez ressemblent à ceux d’un signalement connu pour être un canular, soyez prudent. S’il s’agit d’un canular, nous vous recommandons de supprimer le cas de votre système.
Nous savons qu’il est important de disposer d’un système de signalement anonyme sûr et sécurisé et que les organisations prennent au sérieux tous les cas qui leur sont soumis. Ainsi, même si l’augmentation du nombre de signalements frauduleux est préoccupante, elle ne doit pas empêcher les organisations de maintenir un système de signalement robuste qui protège vos employés et votre organisation. Il suffit simplement d’être un peu plus vigilant.
