L'affaire, qui s'est déroulée entre 2019 et 2025, a secoué la municipalité des Pyrénées-Atlantiques. Un agent a méthodiquement détourné plus de trois millions d’euros en profitant d'une confiance totale et d'un manque de vigilance. Loin des scénarios de piratage complexes, son mode opératoire reposait sur une astuce d'une simplicité désarmante, démontrant que la plus grande vulnérabilité réside souvent dans le non-respect des règles de cybersécurité la plus élémentaire.
Comment un stratagème aussi simple a-t-il pu durer des années ?
Le plan de l'escroc reposait sur un double avantage. D'une part, il occupait une position clé au sein des services financiers de la mairie, ce qui lui donnait une connaissance approfondie des circuits de paiement. D'autre part, il était fortement impliqué dans la vie associative locale, notamment en tant que membre du bureau de l'Anglet Olympique Omnisports. Ce stratagème particulièrement efficace consistait à faire transiter l'argent de la mairie vers les comptes de l’association sportive avant de le virer sur ses propres comptes.
Pour masquer ses agissements, l'agent municipal établissait de fausses factures, présentées comme des dépenses légitimes de la collectivité ou du club. L'astuce cruciale résidait dans l'utilisation de l'ordinateur resté ouvert de son collègue durant la pause déjeuner. Cet accès lui permettait d'utiliser l'adresse mail et, surtout, le parapheur électronique de ce dernier pour approuver des paiements et valider des documents à son insu. Ce détournement, parfaitement intégré aux procédures habituelles, est ainsi passé sous les radars pendant des années.
Quelles failles de sécurité et de contrôle ont permis ce détournement ?
La première et la plus évidente des failles est la négligence humaine. Le fait de ne pas verrouiller sa session en quittant son poste de travail, même pour quelques minutes, a ouvert un boulevard à l'escroc. C'est une règle de base en sécurité informatique, souvent perçue comme une contrainte, mais dont cette affaire démontre le caractère absolument indispensable. N'importe qui pouvait alors accéder à des informations et des outils sensibles sans laisser de trace évidente.
La seconde faille était d'ordre organisationnel. L'agent était non seulement en position de commettre la fraude, mais il faisait aussi partie de la chaîne de contrôle. Ainsi, lorsqu'un responsable a finalement détecté une anomalie dans la comptabilité en juin 2024, il s'est tout naturellement tourné vers lui pour mener les vérifications. Cette position paradoxale a considérablement retardé la découverte de la supercherie, l'employé ayant pu maquiller ses traces pendant une longue période.
Quelle peine et quelles leçons tirer de cette affaire ?
Reconnaissant rapidement les faits après avoir été démasqué, l'agent a été jugé par le tribunal correctionnel de Bayonne. Il a été condamné à une peine de cinq ans de prison, dont deux ans fermes et trois avec sursis. À cela s'ajoutent une amende de 24 000 euros et, surtout, l'obligation de rembourser l'intégralité des sommes volées. L'argent détourné aurait été dépensé dans des services de voyance et des plateformes d'investissement hasardeuses. La justice a donc exigé la réparation complète du préjudice causé à l'argent public.
Au-delà du verdict, cette histoire est un rappel brutal de l'importance des mesures de sécurité fondamentales en entreprise comme dans les administrations. Elle illustre parfaitement que les menaces ne viennent pas toujours de l'extérieur sous la forme de cyberattaques sophistiquées. Les menaces internes, qu'elles soient intentionnelles ou non, peuvent être tout aussi dévastatrices. Un simple réflexe, comme le raccourci « Windows + L » pour verrouiller son poste, peut empêcher des catastrophes financières et préserver l'intégrité d'une organisation.
