Un simple courriel demandant de régler une facture sur de nouvelles coordonnées bancaires peut suffire à détourner plusieurs milliers d’euros. Les TPE, PME et ETI d’Aquitaine sont particulièrement exposées dès lors qu’elles règlent des fournisseurs, travaillent à l’international ou délèguent les paiements dans l’urgence. La fraude au virement ne repose pas seulement sur une faille informatique : elle exploite surtout la confiance, les habitudes de travail et l’absence de vérification indépendante.
Le danger est concret : un escroc peut se faire passer pour un fournisseur habituel, un dirigeant, un avocat ou un partenaire financier. Son message paraît crédible, car il reprend la charte graphique de l’entreprise, le nom d’un interlocuteur connu, le détail d’une facture et parfois même le fil d’échanges réel. La priorité n’est donc pas de devenir expert en cybersécurité, mais de mettre en place une chaîne de décision qui empêche un e-mail, aussi convaincant soit-il, de déclencher seul un virement.
Comprendre la fraude au faux ordre de virement
La fraude au faux ordre de virement, souvent désignée par l’acronyme FOVI, recouvre plusieurs scénarios. Dans le monde anglo-saxon, on parle fréquemment de business email compromise (BEC), c’est-à-dire de compromission ou d’usurpation d’une messagerie professionnelle.
Le principe est toujours similaire : le fraudeur pousse une personne habilitée à payer à utiliser un compte bancaire qu’il contrôle. L’ordre de paiement semble légitime, mais le bénéficiaire final ne l’est pas.
Les scénarios les plus fréquents en entreprise
- La fraude au faux fournisseur : un prétendu fournisseur annonce un changement de RIB, parfois en invoquant un audit, un changement de banque ou une réorganisation comptable. Les factures à venir, voire des factures déjà échues, sont alors réglées sur le compte du fraudeur.
- La fraude au président : une personne usurpe l’identité du dirigeant ou d’un cadre et exige un paiement confidentiel et urgent. Elle isole souvent le collaborateur chargé du virement en lui demandant de ne pas en parler.
- L’interception de messagerie : le pirate a réellement accédé à la boîte e-mail d’un fournisseur ou d’un salarié. Il observe les échanges, attend le bon moment et modifie les coordonnées de paiement dans une conversation existante.
- La fausse demande d’acompte ou de régularisation : une entreprise reçoit une commande, un bon de livraison ou une relance falsifiés. La somme peut paraître modeste, ce qui abaisse la vigilance.
- L’usurpation d’un conseil habituel : cabinet comptable, avocat, banque ou commissaire aux comptes deviennent le prétexte d’une demande exceptionnelle, présentée comme sensible ou urgente.
Ces attaques ciblent autant les directions financières structurées que les petites sociétés. Une TPE peut être vulnérable parce qu’une seule personne crée et valide les paiements ; une organisation plus grande peut l’être parce que les responsabilités sont dispersées et les flux très nombreux.
Une adresse proche de celle d’un fournisseur, une signature soignée ou une facture exacte ne valident pas un changement de coordonnées bancaires. Toute modification doit être confirmée par un canal distinct, avec un contact déjà connu.
Repérer les signaux faibles avant de payer
Les escrocs ne commettent pas toujours de faute évidente. Ils misent plutôt sur une accumulation de détails plausibles. C’est pourquoi il faut vérifier les signaux de contexte, et non se limiter à l’apparence du message.
| Signal observé | Ce qu’il peut révéler | Réflexe à adopter |
|---|---|---|
| Demande inhabituelle de changement de RIB | Usurpation de fournisseur ou boîte e-mail compromise | Appeler le fournisseur sur un numéro déjà enregistré dans votre base |
| Ton très urgent ou confidentiel | Pression destinée à contourner les contrôles | Suspendre le paiement jusqu’à validation par un second responsable |
| Adresse e-mail légèrement différente | Imitation de domaine ou faute discrète | Vérifier caractère par caractère le nom de domaine |
| Paiement demandé vers un pays ou une banque non habituels | Compte de transit ou bénéficiaire frauduleux | Comparer avec l’historique fournisseur et escalader l’anomalie |
| Pièce jointe ou lien inattendu | Tentative de vol d’identifiants ou de malware | Ne pas ouvrir ; passer par le portail fournisseur ou le logiciel comptable |
| Nouvel interlocuteur qui refuse d’être joint | Volonté d’éviter toute vérification indépendante | Contacter l’interlocuteur habituel ou le standard de l’entreprise |
Un changement de compte bancaire n’est pas nécessairement frauduleux. En revanche, il constitue toujours un événement sensible, qui doit déclencher une procédure dédiée. Cette règle vaut également pour les demandes reçues depuis une adresse connue : l’adresse peut avoir été piratée.
Ne pas confondre rapidité des virements et faille SEPA
Les virements SEPA facilitent les paiements en euros entre de nombreux comptes européens. Ils n’ont pas, à eux seuls, créé la fraude aux faux RIB. Le risque vient de la capacité des fraudeurs à donner une apparence légitime à un ordre de paiement et de la vitesse à laquelle les fonds peuvent ensuite être déplacés.
Un IBAN européen, un intitulé bancaire rassurant ou une facture au bon format ne suffisent donc pas. La question déterminante est : qui a confirmé le bénéficiaire, selon quelle procédure et par quel canal ?
Réagir dans les premières heures après un virement suspect
Lorsqu’un paiement semble avoir été envoyé vers un mauvais compte, chaque minute compte. Les fonds peuvent être rapidement transférés, fractionnés ou retirés. Une récupération reste parfois possible, mais elle dépend notamment du délai de détection, de la banque destinataire et du fait que les fonds soient encore disponibles.
Les actions à lancer immédiatement
- Contactez sans délai votre banque, via son numéro officiel ou votre chargé d’affaires, en précisant qu’il s’agit d’une fraude présumée. Demandez l’arrêt du virement s’il n’est pas encore exécuté ou l’émission d’une demande de rappel si l’opération est partie.
- Confirmez votre demande par écrit et conservez l’heure, le nom de vos interlocuteurs, les références du virement, l’IBAN bénéficiaire et les réponses reçues. Demandez les démarches suivantes et les délais annoncés.
- Prévenez la direction financière, la direction générale et le responsable informatique. Il faut traiter simultanément la récupération des fonds et le risque de compromission d’une messagerie.
- Sécurisez les accès concernés : changement immédiat des mots de passe, révocation des sessions actives, contrôle des règles de transfert automatique dans les boîtes e-mail, activation ou vérification de l’authentification multifacteur.
- Préservez toutes les preuves : e-mails avec leurs en-têtes, pièces jointes, captures d’écran, journaux de connexion, factures, RIB transmis et historique des échanges. Ne supprimez pas les messages frauduleux.
- Déposez plainte auprès de la police ou de la gendarmerie. Une plainte documentée est utile à l’enquête et souvent nécessaire pour les démarches avec l’assureur.
- Déclarez le sinistre à votre assureur si votre contrat couvre la fraude, la cybercriminalité ou les pertes financières. Vérifiez les délais de déclaration prévus par le contrat.
La banque peut tenter de bloquer ou de rappeler les fonds, mais l’issue dépend de la situation du compte bénéficiaire et des circuits bancaires. N’attendez ni la confirmation de fraude ni la réunion suivante pour alerter votre banque.
Évaluer l’ampleur de l’incident
La fraude peut se limiter à un faux e-mail isolé. Mais si le fraudeur a accédé à une messagerie, il a pu consulter des devis, factures, coordonnées clients, échanges contractuels ou données personnelles. L’entreprise doit alors rechercher :
- les connexions inhabituelles et les appareils non reconnus ;
- les règles automatiques de transfert ou de suppression d’e-mails ;
- les comptes utilisateurs disposant de droits de paiement ;
- les autres demandes de changement de RIB en cours ;
- les tiers qui pourraient avoir reçu des messages depuis la boîte compromise.
Si des données personnelles ont été exposées, l’entreprise doit apprécier ses obligations au regard de la réglementation applicable, notamment une éventuelle notification à la CNIL selon la nature et la gravité de la violation. L’accompagnement d’un conseil juridique, d’un prestataire de réponse à incident ou de l’assureur peut être pertinent.
Mettre en place une barrière opérationnelle contre les faux RIB
La prévention la plus efficace est organisationnelle : aucun salarié ne doit pouvoir modifier les coordonnées d’un tiers et payer ce tiers sans contrôle indépendant. Cette séparation des tâches doit être réaliste pour la taille de l’entreprise, y compris lorsqu’il n’y a que deux ou trois personnes en comptabilité.
Formaliser une procédure de changement de coordonnées bancaires
Une procédure robuste tient sur une page et doit être appliquée sans exception :
- la demande est enregistrée dans un outil ou un registre dédié ;
- le RIB reçu par e-mail est considéré comme une information à vérifier, non comme une instruction ;
- le fournisseur est rappelé sur un numéro déjà connu, issu de la fiche tiers, du contrat ou de son site officiel ;
- l’interlocuteur confirme les données essentielles et son identité ;
- une seconde personne valide la modification dans le logiciel comptable ;
- le justificatif de contrôle est archivé avec la date, le nom du vérificateur et le canal utilisé ;
- le premier paiement vers le nouveau compte fait l’objet d’une vigilance renforcée.
N’utilisez jamais le numéro de téléphone inscrit dans l’e-mail demandant le changement : il peut conduire directement au fraudeur. De même, un RIB signé ou portant un cachet n’apporte pas une sécurité suffisante, car ces documents se falsifient facilement.
Organiser les droits et validations de paiement
Le bon dispositif dépend du volume de virements et des outils bancaires disponibles. Le socle minimal consiste à distinguer, autant que possible, quatre fonctions : demandeur, contrôleur, valideur et émetteur du paiement.
| Contrôle | Mise en œuvre concrète | Bénéfice principal |
|---|---|---|
| Double validation | Deux personnes valident les paiements sensibles | Réduit le risque de décision isolée sous pression |
| Seuils d’autorisation | Validation renforcée au-delà d’un montant défini | Adapte le contrôle au risque financier |
| Liste de bénéficiaires surveillée | Revue régulière des créations et modifications | Détecte les nouveaux comptes anormaux |
| Rapprochement facture-commande-réception | Vérification des pièces avant paiement | Limite les fausses factures et doublons |
| Journalisation des modifications | Traçabilité des changements de RIB et des droits | Facilite l’audit et l’enquête en cas d’incident |
Les seuils ne doivent pas être la seule protection. Les fraudeurs savent fractionner une somme ou choisir un montant qui semble compatible avec les habitudes de l’entreprise. Un changement de RIB doit rester contrôlé quel que soit le montant.
Avantages
- Réduit fortement la probabilité qu’un e-mail seul déclenche un paiement frauduleux.
- Crée une traçabilité utile pour la direction, l’expert-comptable, l’assureur et les enquêteurs.
- Protège aussi contre les erreurs internes de saisie ou les doublons de paiement.
Inconvénients
- Ajoute un délai de validation, surtout lors de l’intégration d’un nouveau fournisseur.
- Nécessite de maintenir à jour les fiches tiers et les délégations de pouvoir.
- Peut être contourné si les équipes traitent les urgences hors procédure : la discipline reste décisive.
Renforcer les protections techniques sans les surestimer
Les outils ne remplacent pas les contrôles humains, mais ils réduisent les occasions de fraude. Les priorités sont généralement les suivantes :
- activer l’authentification multifacteur pour la messagerie, la banque en ligne, le logiciel comptable et les accès distants ;
- appliquer des mots de passe uniques et robustes, idéalement gérés dans un coffre-fort de mots de passe ;
- configurer les protections de messagerie, dont les mécanismes SPF, DKIM et DMARC lorsque l’environnement le permet ;
- limiter les droits d’administration et les droits de création de bénéficiaires ;
- mettre à jour les postes, serveurs, navigateurs et logiciels de sécurité ;
- sauvegarder les données importantes et tester la restauration ;
- alerter sur les connexions inhabituelles et les règles de transfert externe de messagerie.
Une sensibilisation courte, répétée et fondée sur de vrais exemples est souvent plus utile qu’une formation théorique annuelle. Les équipes comptables, achats, commerciales et de direction doivent savoir qu’elles ont le droit — et même l’obligation — de ralentir une demande inhabituelle.
Construire un plan d’action en 30 jours
Pour une PME, la prévention peut commencer sans projet informatique lourd. L’objectif est de sécuriser rapidement les flux les plus exposés, puis de tester le dispositif.
Semaine 1 : cartographier les paiements à risque
Listez les personnes qui peuvent créer un bénéficiaire, modifier un RIB, préparer un lot de virements ou valider un paiement. Identifiez les fournisseurs les plus importants, les paiements internationaux, les urgences récurrentes et les éventuels comptes partagés.
Semaine 2 : écrire et diffuser la procédure faux RIB
Établissez le circuit de rappel, les personnes habilitées à valider et le niveau d’escalade en cas de doute. Communiquez la procédure à tous les salariés concernés, y compris les remplaçants et les dirigeants.
Semaine 3 : corriger les accès et paramétrages
Activez l’authentification multifacteur, supprimez les accès obsolètes, revoyez les délégations bancaires et vérifiez les droits dans le logiciel comptable. Contrôlez en priorité les comptes des dirigeants et des collaborateurs du service financier.
Semaine 4 : tester la réaction
Simulez une demande de changement de RIB ou un e-mail urgent du dirigeant. Mesurez le délai de détection, vérifiez que les numéros connus sont utilisés et ajustez les points de blocage. Un exercice simple révèle vite les failles entre la règle écrite et la pratique réelle.
La phrase la plus utile à installer dans l’entreprise est : « Je rappelle pour confirmer. » Un fournisseur sérieux comprendra cette vérification ; un fraudeur cherchera au contraire à l’empêcher.
Protéger la trésorerie et la responsabilité de l’entreprise
Une fraude au virement ne produit pas seulement une perte immédiate. Elle peut désorganiser la trésorerie, retarder le règlement du vrai fournisseur, dégrader une relation commerciale et mobiliser durablement les équipes. Les coûts indirects comprennent aussi l’analyse technique, le temps passé aux démarches bancaires et juridiques, ainsi que les mesures correctrices.
La question de la prise en charge par la banque, l’assureur ou un tiers dépend des circonstances, des contrats et des diligences réalisées. Il est donc prudent de documenter les procédures appliquées, les contrôles effectués et les décisions de paiement. Cette documentation démontre une gouvernance sérieuse et permet de reconstituer les faits si un incident survient.
Pour les entreprises de la région, le bon niveau de protection ne passe pas par la méfiance généralisée envers les fournisseurs : il repose sur une règle simple et constante. Toute instruction qui modifie un bénéficiaire ou un paiement doit être vérifiée hors de la messagerie qui l’a transmise.
À retenir
- Un changement de RIB reçu par e-mail doit toujours être confirmé par téléphone ou via un canal indépendant déjà connu.
- En cas de virement suspect, contactez immédiatement la banque, demandez le blocage ou le rappel des fonds et préservez toutes les preuves.
- Séparer la création des bénéficiaires, la vérification et la validation des paiements est le contrôle le plus utile contre la fraude.
Questions fréquentes
Qu’est-ce qu’une fraude au faux ordre de virement ?
Il s’agit d’une escroquerie dans laquelle un fraudeur amène une entreprise à virer des fonds sur un compte qu’il contrôle. Il peut se faire passer pour un fournisseur, un dirigeant, un avocat ou un partenaire bancaire. La manipulation repose souvent sur une fausse demande de changement de RIB, une facture modifiée ou un message présenté comme urgent.
Peut-on récupérer un virement envoyé vers le compte d’un escroc ?
Une récupération est parfois possible, surtout lorsque l’entreprise alerte sa banque très rapidement et que les fonds n’ont pas encore été transférés par le bénéficiaire. La banque peut tenter d’arrêter l’opération ou demander le rappel des fonds, mais cette démarche n’est pas une garantie de remboursement. Il faut agir sans attendre, conserver les références du virement et formaliser la demande par écrit.
Comment vérifier de manière fiable un changement de RIB fournisseur ?
La méthode la plus sûre consiste à contacter le fournisseur par un canal indépendant de l’e-mail reçu : un numéro déjà enregistré dans votre base tiers, mentionné dans le contrat ou publié sur son site officiel. La personne jointe doit confirmer le changement et son identité. La modification doit ensuite être validée par une seconde personne et tracée dans le dossier fournisseur.
Une PME doit-elle obligatoirement avoir deux validateurs pour chaque virement ?
La loi ne se résume pas à une règle universelle de double validation pour tous les paiements, mais la séparation des tâches constitue une mesure de sécurité fortement recommandée. Dans une très petite structure, le dirigeant peut assumer le second contrôle pour les nouveaux bénéficiaires, les changements de RIB et les montants inhabituels. L’essentiel est qu’une même personne ne puisse pas, sans regard extérieur, recevoir une instruction, modifier un compte et payer.
Quels services doivent être formés en priorité aux arnaques au virement ?
La comptabilité et la trésorerie sont les premières concernées, mais elles ne sont pas les seules. Les achats, l’administration des ventes, les commerciaux, les assistants de direction et les dirigeants peuvent recevoir ou relayer des instructions frauduleuses. Une sensibilisation ciblée doit aussi couvrir le service informatique, qui intervient lorsqu’une messagerie a potentiellement été compromise.
Que faire si la messagerie professionnelle a été utilisée par un fraudeur ?
Il faut immédiatement changer le mot de passe, révoquer les sessions en cours, vérifier l’authentification multifacteur et rechercher les règles de transfert ou de suppression créées dans la boîte e-mail. L’entreprise doit examiner les messages envoyés, les connexions récentes et les données accessibles afin d’identifier les tiers à prévenir. Selon les données touchées, une analyse des obligations de notification et un accompagnement spécialisé peuvent être nécessaires.