Forensic ? Voilà un terme anglosaxon qui vient directement du jargon policier. Désignant en premier lieu les expertises de la médecine légale, le mot est ensuite utilisé dans le domaine informatique avec l’avènement de l’ordinateur pour les besoins du FBI. Plus généralement, il pourrait être le qualificatif d’une méthode, d’une récolte de données et de leur analyse qui pourront être opposables en justice.
Cette méthode Forensic n’est pas nouvelle en Europe et le secteur privé a très tôt compris les bénéfices qu’il pourrait en tirer dans le secteur Litigation. Ainsi les enquêteurs traquaient les résultats trafiqués, les comptabilités secondaires. Quelques années plus tard, pour faire face à la cybercriminalité, les techniques Forensic ont muté pour déjouer les attaques et participer à renforcer les systèmes d’informations. Là, il était question d’analyser des fichiers de logs et autres fichiers techniques. Dernièrement, les investigations Forensic sont utilisées dans les enquêtes internes pour répondre à la complexification des réglementations sociales. Le facteur humain prend donc de l’importance puisqu’il s’agit maintenant de déjouer une fraude, découvrir une corruption voir même d’établir un harcèlement.
Les investigations Forensic n’ont pas encore atteint leur plein développement sur le marché européen. Cela tient particulièrement au fait que la plupart des Directeurs d’Audit des groupes sont plus enclins à appliquer leur méthodologie standard quand une alerte ou un soupçon de fraude ou de corruption leur remonte. C’est une erreur assez compréhensible tant l’Audit et le Forensic sont des cousins proches dans la famille investigation. Nos voisins anglosaxons ont depuis longtemps compris les principales qualités et avantages d’une investigation Forensic dans une telle situation. Il y a fort à parier que cette tendance se généralisera à toute l’Europe avec le développement des dispositifs d’alerte éthique au sein des groupes internationaux.
Alors, pourquoi suivre la méthodologie Forensic plutôt que celle de l’Audit Interne ?
Bien sûr, en tant qu’investigateur expert en Forensic, je suis partie prenante de ce débat mais tâchons ensemble d’analyser objectivement les faits… comme le ferait une enquête Forensic justement.
Commençons par la méthodologie d’Audit. Cette dernière n’est pas adaptée pour prendre en charge un signalement de fraude ou de corruption remonté par le dispositif d’alerte. Tout d’abord, elle est organisée pour emprunter le sens inverse d’une enquête, elle part du risque général (le fonctionnement de l’entreprise) pour aller vers le particulier (le sujet de l’enquête) au fur et à mesure de la mise en œuvre d’un programme de travail. De manière plus générale, l’Audit intervient en amont de l’infraction alors que les investigations Forensic agissent en réaction. Or, une fraude, un acte de corruption ou de blanchiment ne prennent pas leurs racines dans un problème d’ordre général, ils trouvent leur origine en une ou plusieurs personnes particulières de l’entreprise qui exploitent une faiblesse pour leur profit personnel. Ce n’est pas la faille d’un système qui produit l’infraction. La faille n’est que l’opportunité exploitée par l’individu pour arriver à ses fins. C’est de cet individu que commence l’enquête Forensic qui grandira en cercles concentriques de plus en plus larges jusqu’à avoir couvert la totalité de l’infraction.
En se concentrant sur la faille du système, l’enquête d’un auditeur ne prend pas le meilleur angle de vue pour comprendre les faits qu’il révèle car il lui manque nécessairement des informations. La fraude, la corruption sont des infractions qui trouvent leur mode opératoire au cœur de la personnalité de l’auteur. Au contrario, lors d’une investigation Forensic, les enquêteurs débutent leur enquête par le prisme de l’individu. Ils récoltent des informations contenues dans son environnement le plus proche pour en déduire sa psychologie qui nous indiquera où et comment chercher les preuves. Là où l’Audit va pouvoir pointer un manquement au niveau de l’organisation et des responsabilités, une faille dans les procédures, le Forensic va comprendre les motivations et le but personnel du suspect et remonter la chronologie de ses actes. En Audit, le fonctionnement interne est l’élément central des investigations, en Forensic, il n’est que le décor planté autour de l’acteur. Ainsi, les auditeurs font un Audit de process, de situation dans une intention d’évaluation alors que les enquêteurs Forensic mènent une investigation sur une personne afin d’établir des faits opposables.
La personnalité du suspect, ses motivations, son mobile sont donc des informations nécessaires à une enquête Forensic. Pour les obtenir, les enquêteurs vont récupérer les données presque personnelles du sujet à savoir celles qui sont contenues dans son matériel informatique. Provenant directement du suspect, ses informations vont nous renseigner sur ses agissements, ses habitudes, son contexte et ses relations. Un portrait en sera établi et le mobile s’en dégagera. Nous aurons donc une hypothèse solide de travail qui nous permettra d’élargir les recherches en fonction de l’antériorité des faits, de leur portée, de l’intervention d’éventuels complices, etc…
Pour arriver à cette connaissance intime du sujet, l’équipe Forensic a besoin d’enquêter pratiquement au contact de ce dernier. Son ordinateur, son téléphone et ses mails seront analysés. C’est à ce moment que commence le jeu du chat et de la souris. Le suspect peut être tenté de cacher ou d’effacer les preuves de ses agissements. Pour cela, nous disposons de puissants outils nous permettant de remonter à l’information originale. Partition cachée ou formatée, messages cryptés, documents effacés ou cachés, autant d’astuces que l’investigateur Forensic a appris à repérer et à déjouer. Sa connaissance approfondie des rouages techniques des ordinateurs et des téléphones, lui permet d’avoir toujours un coup d’avance. Lorsqu’on connaît les failles exploitées par le Forensic, on comprend qu’il est très difficile de dissimuler une donnée numérique et que toute utilisation laisse une trace qui peut être remontée. Parfois, c’est un lourd volume de données que doit analyser l’équipe Forensic. Comment trouver le mail incriminant parmi des millions ? Là encore, des logiciels Ediscovery nous assistent pour trouver l’aiguille dans la meule de foin en un temps très court. Mieux encore, à l’heure de l’intelligence artificielle et du maching learning, les stations d’analyse se comportent comme un véritable enquêteur pour trier les données intéressantes des autres qui ne le sont pas. Là où l’Audit travaille sur des échantillons statistiques, l’investigateur Forensic utilise le profilage et l’analyse systématique de l’ensemble des données.
Les techniques de recherche de Corporate Intelligence entrent ensuite en scène. Aux informations quasi-personnelles découvertes sur son matériel informatique vont s’ajouter celles qui se trouvent en dehors de l’entreprise : les réseaux sociaux et les bases de données ouvertes. Les prises illégales d’intérêt, les trafics d’influence et autres ententes illicites n’y résisteront pas.
On pourrait penser que les différences entre l’Audit et le Forensic s’arrêtent au stade des investigations numériques. De par mon expérience, il subsiste une autre différence de taille, les entretiens.
Bien-sûr, un auditeur sait mener des entretiens. Aucun Audit ne pourrait se dérouler sans un échange entre l’auditeur et la personne auditée. Toutefois, il ne s’agit pas là d’évaluer la performance ou le bon suivi des protocoles d’un employé, d’instaurer la confiance pour s’assurer de sa collaboration. J’ai pour habitude de comparer un entretien d’Audit à l’audition d’un témoin. Concernant celui du sujet de l’enquête, le déroulement est tout autre car il peut incriminer une personne pour des faits pouvant impliquer son renvoi pour faute grave voire sa responsabilité pénale. Les enjeux sont bien différents pour la personne entendue. Cet entretien avec le suspect demande d’employer des techniques et une stratégie bien particulière car il faut tenir compte que les situations personnelle et professionnelle du sujet peuvent être impactées. Ce dernier va donc instinctivement chercher à se défendre pour les protéger. La négation sera son premier réflexe, les mensonges et les demi-vérités viendront par la suite. En soulignant les incohérences de ses mensonges, il sera bien vite acculé, englué dans ses déclarations et ne pourra résister aux faits qui lui seront opposés. L’entretien d’une enquête Forensic, à l’image d’une audition des services de Police, d’un juge ou d’un avocat, fait la démonstration pénale des faits constatés, démontrant un à un les éléments constituant l’infraction. Elle se déroule comme une partie d’échec où chacun avance ses pions cherchant à dérouler sa stratégie. L’un cherche à sauver son roi alors que l’autre ne cherche qu’à établir la vérité sur l’échiquier.
Faire le compte des différences entre l’Audit et le Forensic ne saurait être honnête sans terminer par l’inventaire de nos points communs. Comme je le disais dans mes propos préliminaires, nous sommes les cousins d’une même famille : l’Investigation. Ainsi les notions de respect stricte des règles, d’intégrité, d’objectivité, de gestion de la preuve et de déontologie sont partagées entre les auditeurs et les investigateurs Forensic et essentielles à leurs enquêtes.
Chers utilisateurs, le 15/06/2022 Internet Explorer a tiré sa révérence. Afin d’éviter tout dysfonctionnement, nous vous invitons à installer à un autre navigateur, comme Google Chrome. en cliquant ici, ou celui de votre choix.
Merci d’effectuer cette vérification avant de nous contacter en cas de problème constaté.
