Skip to content
Retour au blog
fraude phishing RH paie

Fraude à la paie par phishing : protéger le service RH

Le service RH est une cible de choix : accès aux RIB, fiches de paie, données personnelles. Scénarios réels et protocoles de protection.

Thomas Ferreira 19 min de lecture

Ce scénario, reconstitué à partir de cas réels, le 14 janvier 2025, le service RH d’une PME industrielle de 120 salariés en région lyonnaise reçoit un email de ce qu’il croit être l’un de ses opérateurs de production. L’email, envoyé depuis une adresse Gmail personnelle, explique que le salarié a changé de banque et demande la mise à jour de son RIB avant le prochain virement de salaire. Le message est poli, contient le nom complet du salarié, son numéro de matricule, et un nouveau relevé d’identité bancaire en pièce jointe.

La gestionnaire de paie effectue la modification dans le SIRH. Le 30 janvier, le salaire de 2 340 euros net est viré sur le nouveau compte. Le 5 février, le vrai salarié contacte les RH : il n’a pas reçu son salaire. L’entreprise découvre alors que l’email provenait d’un imposteur qui avait collecté les informations du salarié sur LinkedIn et sur le site de l’entreprise.

Ce scénario n’est ni exceptionnel ni nouveau. Selon le FBI IC3, les fraudes par détournement de paie (BEC/payroll diversion) sont en forte hausse ces dernières années. En France, Cybermalveillance.gouv.fr a publié en mars 2025 une alerte spécifique sur la recrudescence des demandes frauduleuses de changement de coordonnées bancaires ciblant les services RH et paie des entreprises de toutes tailles.

Le service RH est devenu l’une des cibles les plus rentables pour les attaquants. Pas parce que les professionnels des ressources humaines sont moins vigilants, mais parce qu’ils détiennent un accès concentré aux coordonnées bancaires de tous les salariés, aux données personnelles au sens du RGPD, et aux systèmes de paie qui permettent de modifier les flux de virements.

Le service RH : une cible à forte valeur

Un gestionnaire de paie dans une PME de 50 à 500 salariés accède au quotidien aux RIB de chaque salarié (un seul RIB modifié suffit à détourner un salaire), aux données personnelles complètes (numéro de sécurité sociale, adresse, copie de pièce d’identité), aux données salariales (salaires, primes, historique de rémunération), et au SIRH et logiciel de paie qui exécutent les virements. Ces données sont parmi les plus recherchées sur le marché noir, et elles permettent aussi de calibrer un scénario de fraude au président crédible.

Pourquoi les RH sont plus exposées que les autres services

Le volume de demandes entrantes. Un service RH traite en continu des demandes de salariés : congés, attestations, changements de coordonnées bancaires. Un email frauduleux se fond dans le flux normal. L’attaquant n’a pas besoin de créer un contexte artificiel : le contexte existe déjà.

La relation de confiance. Les RH traitent les demandes des salariés avec bienveillance, pas avec suspicion. Cette posture d’écoute est précisément ce que les attaquants exploitent. Les principes d’ingénierie sociale reposent sur la manipulation de la confiance.

L’absence fréquente de double validation. Dans beaucoup de PME, un seul gestionnaire de paie gère l’intégralité du processus. Le même individu qui reçoit l’email frauduleux est celui qui exécute la modification, sans qu’un second regard ne soit posé sur l’opération.

Les trois scénarios d’attaque les plus courants

Les fraudes à la paie par phishing se déclinent en trois scénarios principaux, par ordre de sophistication croissante. Chacun exploite un vecteur d’entrée différent et nécessite des contre-mesures spécifiques.

Scénario 1 : le faux email de salarié demandant un changement de RIB

C’est le scénario le plus fréquent et le plus simple à exécuter. L’attaquant envoie un email au service RH en se faisant passer pour un salarié de l’entreprise, et demande la modification de ses coordonnées bancaires.

La mécanique. L’attaquant identifie un salarié de l’entreprise cible sur LinkedIn ou sur le site web de l’entreprise. Il crée une adresse email qui ressemble à l’adresse personnelle du salarié (prenom.nom.perso@gmail.com, par exemple) ou qui usurpe l’adresse professionnelle du salarié si le domaine de l’entreprise n’est pas protégé par une politique DMARC en mode reject. Il envoie un email au service RH avec un nouveau RIB, souvent accompagné d’un prétexte crédible : changement de banque, divorce, déménagement.

Ce qui rend l’attaque crédible.

L’email contient des détails personnalisés : nom complet, poste occupé, ancienneté, parfois le nom du manager direct. Ces informations sont accessibles publiquement sur LinkedIn et sur les réseaux professionnels. L’attaquant n’a besoin d’aucun accès préalable au système d’information de l’entreprise.

Le prétexte est plausible. Un salarié qui change de banque est un événement banal. Le service RH traite ce type de demande plusieurs fois par mois. L’email ne demande rien d’inhabituel.

Le timing est choisi. L’email est envoyé quelques jours avant la date habituelle de clôture de paie, quand le service RH est sous pression pour finaliser les modifications du mois en cours.

Ce scénario illustratif, inspiré de cas réels, en 2024, une ETI du secteur agroalimentaire en Bretagne a subi ce type de fraude sur cinq salariés simultanément. L’attaquant avait envoyé cinq demandes de changement de RIB le même jour, chacune depuis une adresse Gmail différente, chacune ciblant un salarié réel. Trois des cinq modifications ont été effectuées avant qu’un gestionnaire ne remarque la coïncidence. Perte estimée : 8 700 euros (trois salaires détournés). L’entreprise a récupéré un seul virement grâce à un rappel interbancaire effectué dans les 24 heures.

Scénario 2 : la compromission du compte email d’un collaborateur RH

Ce scénario est plus grave. L’attaquant envoie un email de phishing ciblé au gestionnaire de paie, imitant une notification du SIRH ou du logiciel de paie (Sage, ADP, PayFit, Silae). Le gestionnaire clique et saisit ses identifiants sur une fausse page de connexion.

Avec cet accès, l’attaquant peut lire tous les échanges passés, récupérer des modèles de bulletins de paie et des copies de RIB, envoyer des emails « depuis » l’adresse légitime du gestionnaire, et créer des règles de transfert automatique pour prolonger son accès même après un changement de mot de passe.

La compromission d’un compte email permet à l’attaquant de rester invisible pendant des semaines. Le FBI a publié en 2024 un avertissement (IC3) documentant des cas où l’attaquant avait maintenu un accès prolongé avant de modifier les coordonnées bancaires de plusieurs salariés en une seule opération.

Scénario 3 : les faux documents d’onboarding

Ce scénario cible le processus de recrutement et d’intégration des nouveaux salariés. Il est particulièrement efficace dans les entreprises en croissance qui recrutent régulièrement.

La mécanique. L’attaquant se fait passer pour un futur collaborateur en cours d’intégration. Il envoie au service RH des documents d’onboarding falsifiés : copie de pièce d’identité, RIB, attestation de sécurité sociale. Les documents semblent légitimes mais contiennent les coordonnées bancaires de l’attaquant. Si le service RH crée le dossier salarié sans vérification croisée avec le manager ou le recruteur, le premier salaire est viré sur le compte frauduleux.

La variante sophistiquée. Dans certains cas documentés, l’attaquant a compromis l’email du manager recruteur et a envoyé une « confirmation d’embauche » interne au service RH, accompagnée des faux documents du « nouveau salarié ». Le service RH, recevant la demande du manager légitime, n’a aucune raison de douter.

Ce qui rend l’attaque difficile à détecter. Un nouveau salarié est par définition inconnu du service RH. Il n’y a pas d’historique de communication, pas de signature email de référence, pas de voix au téléphone à reconnaître. Le processus d’onboarding en cybersécurité est souvent le maillon le plus faible de la chaîne RH.

Le phishing de fiche de paie : un vecteur d’attaque en expansion

Au-delà de la modification de RIB, les attaquants utilisent les bulletins de paie comme appât pour du phishing classique. L’email imite le système de distribution de fiches de paie de l’entreprise : « Votre bulletin de mars 2026 est disponible. Consultez-le ici. » Le lien mène vers une fausse page de connexion qui capture les identifiants professionnels du salarié. La consultation du bulletin de paie est un geste mensuel automatique, personne n’ignore un message concernant son salaire, et les systèmes de distribution dématérialisée (Coffreo, Digiposte, Primobox) envoient des notifications facilement imitables.

Variante : l’arnaque au faux bulletin de paie corrigé. « Une erreur a été détectée sur votre bulletin de paie. Un bulletin corrigé est disponible en téléchargement. » La pièce jointe contient un fichier malveillant. Ce scénario fonctionne particulièrement bien en période de changements réglementaires quand les salariés s’attendent à des ajustements sur leur fiche de paie.

Les signaux d’alerte que les gestionnaires de paie doivent connaître

Les attaques décrites ci-dessus laissent des traces. Un gestionnaire de paie entraîné à reconnaître ces signaux peut interrompre l’attaque avant le virement.

Signaux liés à l’email

  • L’adresse de l’expéditeur ne correspond pas (adresse personnelle Gmail/Outlook au lieu de l’adresse professionnelle, ou domaine légèrement différent)
  • Le salarié indique être injoignable par téléphone (« contactez-moi uniquement par email »)
  • La demande insiste sur l’urgence (« avant la clôture de paie de ce mois »)
  • Le ton ou le style ne correspondent pas au salarié habituel (vouvoiement au lieu de tutoiement, formulations inhabituelles)

Signaux liés à la demande

  • Changement de RIB vers une néobanque (N26, Revolut, Wise) quand le salarié était chez une banque traditionnelle
  • Plusieurs demandes de changement de RIB la même semaine (signal d’attaque coordonnée)
  • Le nom du titulaire du compte bancaire ne correspond pas exactement au nom du salarié
  • La demande contourne la procédure habituelle (email direct au lieu du formulaire interne)

Signaux techniques

Si votre client de messagerie affiche un avertissement sur l’email (bannière jaune ou rouge), c’est que l’email échoue aux vérifications SPF/DKIM/DMARC : il n’a pas été envoyé depuis un serveur autorisé pour le domaine de l’expéditeur. Vérifiez votre propre configuration avec le test gratuit de sécurité email.

Protocoles de prévention : sécuriser le processus de paie

La prévention de la fraude à la paie repose sur trois axes : les procédures organisationnelles, les mesures techniques, et la formation des équipes RH.

Procédure de vérification des changements de RIB

C’est la mesure la plus efficace et la moins coûteuse à mettre en place. Un protocole de vérification formalisé, appliqué sans exception, bloque la quasi-totalité des tentatives de fraude au changement de RIB.

Étape 1 : le canal de demande. Tout changement de coordonnées bancaires doit transiter par un canal officiel : formulaire papier signé, portail RH en libre-service avec authentification, ou formulaire interne prévu à cet effet. Les demandes envoyées par simple email, SMS, ou message Teams ne sont pas acceptées. Cette règle doit être communiquée à l’ensemble des salariés lors de l’embauche et rappelée annuellement.

Étape 2 : le contre-appel. Le gestionnaire de paie appelle le salarié sur le numéro de téléphone enregistré dans le SIRH (pas sur un numéro fourni dans la demande de modification). L’appel a pour objet de confirmer la demande et de vérifier l’identité du demandeur. Si le salarié est injoignable, la modification est mise en attente jusqu’à confirmation.

Étape 3 : le délai de carence. Un délai de 48 à 72 heures est appliqué entre la réception de la demande et la modification effective dans le système de paie. Ce délai laisse le temps au vrai salarié de réagir s’il reçoit une notification de modification, et au service RH de détecter d’éventuelles incohérences.

Étape 4 : la notification au salarié. Après la modification, un email de confirmation est envoyé à l’adresse professionnelle du salarié et, si possible, un SMS sur son numéro enregistré. « Vos coordonnées bancaires ont été modifiées le [date]. Si vous n’êtes pas à l’origine de cette demande, contactez immédiatement le service RH. »

Ce protocole est détaillé dans notre guide de procédure anti-fraude au virement, qui couvre aussi les virements fournisseurs.

Séparation des tâches dans le processus de paie

La personne qui reçoit la demande de modification ne doit pas être celle qui l’exécute dans le SIRH. Le gestionnaire de paie reçoit la demande et effectue la vérification (contre-appel). Un validateur (responsable RH, DAF, ou dirigeant) approuve la modification. Ce second contrôle ajoute quelques minutes au processus mais élimine le risque qu’un seul individu soit manipulé. Dans les très petites structures, un simple email de confirmation au dirigeant avant chaque modification de RIB suffit comme filet de sécurité minimal.

Sécurisation technique des accès

MFA sur tous les accès sensibles. Le SIRH, le logiciel de paie, la banque en ligne : chacun de ces accès doit être protégé par l’authentification multi-facteurs. Selon Microsoft (Digital Defense Report 2024), le MFA bloque 99,2 % des tentatives de compromission de compte.

Accès au moindre privilège. Chaque utilisateur du système de paie ne doit avoir accès qu’aux fonctionnalités dont il a besoin. Les droits d’administration du SIRH doivent être limités à un nombre restreint de personnes.

Journalisation des modifications. Toute modification de coordonnées bancaires doit être tracée : qui, quand, quelle valeur avant, quelle valeur après. Cette piste d’audit est obligatoire au titre du RGPD.

Protection du domaine email. Si votre domaine n’est pas protégé par une politique DMARC en mode reject, n’importe qui peut envoyer un email affichant une adresse @votreentreprise.fr. Vérifiez votre configuration avec le test gratuit de sécurité email nophi.sh.

Formation et simulation pour les équipes RH

La formation théorique ne suffit pas. La recherche du SANS Institute (Security Awareness Report 2025) montre que seule la mise en situation modifie durablement les comportements. Les scénarios à simuler pour le service RH : faux email de salarié demandant un changement de RIB, fausse notification du logiciel de paie, faux email de la direction demandant une extraction de données salariales, faux documents d’onboarding.

Une à deux simulations par mois, avec une difficulté progressive et des scénarios de spear phishing personnalisés. Chaque simulation est suivie d’un retour pédagogique immédiat : le gestionnaire qui clique voit une page expliquant quel indice il a manqué. Ce retour émotionnel ancre l’apprentissage bien plus profondément qu’un PowerPoint annuel.

RGPD et données de paie : ce que la loi impose

Les données de paie figurent parmi les données les plus sensibles au sens du RGPD. Une compromission de ces données déclenche des obligations légales précises que le service RH et la direction doivent connaître.

Les données de paie au regard du RGPD

Le bulletin de paie contient une concentration de données personnelles protégées par le Règlement Général sur la Protection des Données : nom, adresse, numéro de sécurité sociale, coordonnées bancaires, situation familiale, montant de la rémunération. Certaines de ces données relèvent de catégories spéciales au sens de l’article 9 du RGPD (données de santé si le bulletin mentionne un arrêt maladie, affiliation syndicale si des cotisations syndicales apparaissent).

Le traitement de ces données exige des mesures de sécurité proportionnées à leur sensibilité. L’article 32 du RGPD impose au responsable de traitement (l’employeur) de mettre en œuvre des mesures techniques et organisationnelles « appropriées » pour garantir un niveau de sécurité adapté au risque. Pour une analyse complète des obligations du RGPD appliquées à l’entreprise, consultez notre page sur la conformité RGPD.

Notification en cas de violation de données

Si une fraude à la paie par phishing entraîne un accès non autorisé à des données personnelles de salariés, l’entreprise est soumise à deux obligations de notification.

Notification à la CNIL dans les 72 heures (article 33 RGPD). L’entreprise doit notifier la violation à l’autorité de contrôle « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». La notification doit décrire la nature de la violation, les catégories de données concernées, le nombre de personnes touchées, les conséquences probables, et les mesures prises pour y remédier.

Notification aux personnes concernées si le risque est élevé (article 34 RGPD). Si la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, l’entreprise doit informer individuellement chaque salarié touché. La CNIL considère que l’accès non autorisé à des coordonnées bancaires et à des numéros de sécurité sociale constitue un risque élevé.

Sanctions et documentation

Le non-respect des obligations de notification expose l’entreprise à des sanctions de la CNIL pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. En pratique, les sanctions restent rares si l’entreprise démontre qu’elle avait mis en place des mesures de sécurité raisonnables avant l’incident. Les protocoles de prévention (vérification des RIB, MFA, formation) ne sont pas seulement des protections contre la fraude : ce sont aussi des preuves de conformité RGPD. Les sanctions CNIL sont un sujet que chaque dirigeant de PME devrait connaître.

Le RGPD impose aussi de documenter toute violation dans un registre interne (article 33, paragraphe 5), même si la notification à la CNIL n’est pas requise. En cas de contrôle, ce registre sera le premier document demandé.

Que faire en cas d’incident : les premières heures

Une fraude à la paie détectée exige une réaction rapide et coordonnée entre le service RH, la direction informatique, le DPO et le dirigeant.

Heure H : alerter la banque. Demander immédiatement le rappel du virement détourné. Les chances de récupération chutent après 48 heures.

Heure H+1 : sécuriser les accès. Vérifier si un compte email a été compromis (connexions inhabituelles, règles de transfert ajoutées). Réinitialiser les mots de passe du SIRH et du logiciel de paie.

Heure H+2 : déposer plainte. Via la plateforme THESEE ou en commissariat/gendarmerie. La LOPMI conditionne l’indemnisation par l’assurance cyber au dépôt de plainte dans les 72 heures.

Heure H+3 : notifier la CNIL. Si des données personnelles ont été compromises, la notification à la CNIL doit intervenir dans les 72 heures (article 33 RGPD). Si le risque est élevé pour les personnes concernées, une notification individuelle aux salariés touchés est aussi requise.

Le gestionnaire de paie qui a traité la demande frauduleuse est une victime, pas un coupable. La direction doit le rappeler explicitement. L’incident doit servir de levier pour renforcer les procédures et lancer un programme de simulation.

Le cas des prestataires de paie externalisée

De nombreuses PME externalisent la gestion de la paie à un cabinet d’expertise comptable ou à un prestataire spécialisé. Cette externalisation ne supprime pas le risque, elle le déplace. Si l’attaquant compromet le compte email d’un collaborateur du cabinet comptable, il accède aux données de paie de tous les clients du cabinet. Un seul phishing réussi peut affecter des dizaines d’entreprises.

L’usurpation de l’identité du prestataire est un autre vecteur courant : « Suite à une migration de nos systèmes, merci de renvoyer les RIB de vos salariés sur cette nouvelle adresse sécurisée. » Le service RH, habitué à échanger des données sensibles avec le prestataire, obtempère.

Les parades. Les échanges de données de paie avec le prestataire doivent transiter par un portail sécurisé avec authentification, pas par email. Tout changement dans les modalités d’échange (nouvelle adresse, nouveau portail, nouvel interlocuteur) doit être confirmé par téléphone. Le RGPD impose à l’employeur de s’assurer que ses sous-traitants mettent en œuvre des mesures de sécurité appropriées (article 28).

Anatomie d’une attaque avancée contre un service RH

Reconstituons une attaque réaliste étape par étape, basée sur les techniques documentées par l’ANSSI (cyber.gouv.fr) et par les rapports du FBI IC3.

J-21 : reconnaissance. L’attaquant identifie SAS Moreau & Fils, PME de 85 salariés dans le BTP à Nantes. Sur LinkedIn, il repère Sophie Bernier, gestionnaire de paie. Sur Societe.com, il confirme la taille de l’entreprise. Sur les réseaux sociaux, il constate que l’entreprise recrute : le processus d’onboarding est en cours.

J-14 : phishing initial. L’attaquant envoie un email ciblé à Sophie, imitant une notification de PayFit (identifié comme logiciel de paie via un post LinkedIn de Sophie). L’email, envoyé depuis payf1t-app.com (domaine sosie), demande une « revalidation de connexion ». Sophie clique et saisit ses identifiants sur une fausse page. L’attaquant prend le contrôle de sa boîte email.

J-14 à J-7 : reconnaissance interne. L’attaquant lit les échanges internes. Il découvre que les demandes de changement de RIB transitent par simple email sans formulaire spécifique, que la clôture de paie est le 25 du mois, et qu’il n’existe pas de procédure de contre-appel. Il crée une règle de transfert silencieuse sur les emails contenant « RIB » ou « coordonnées bancaires ».

J-3 : exécution. Le 22 mars, trois jours avant la clôture, l’attaquant envoie trois demandes de changement de RIB depuis les adresses personnelles de trois salariés réels. Sophie, sous pression de clôture, traite les demandes sans contre-appel.

Résultat. Le 30 mars, trois salaires (7 200 euros) sont virés sur des comptes contrôlés par l’attaquant. La fraude est découverte le 5 avril. Le rappel interbancaire échoue.

Ce qui aurait bloqué l’attaque. Le MFA sur PayFit (le phishing initial aurait échoué). Un contre-appel systématique (la fraude aurait été détectée au premier appel). Des simulations de phishing régulières (Sophie aurait vérifié le domaine de l’expéditeur avant de cliquer).

Liste de contrôle : sécuriser votre processus de paie

Cette semaine : activer le MFA sur le SIRH, le logiciel de paie et les boîtes email du service RH. Formaliser un protocole de vérification pour tout changement de RIB (formulaire spécifique + contre-appel + délai de carence). Vérifier la configuration DMARC de votre domaine via le test de sécurité email nophi.sh. Communiquer la procédure à tous les salariés.

Ce mois-ci : instaurer la séparation des tâches (la personne qui reçoit la demande n’est pas celle qui valide la modification). Activer les notifications automatiques lors de toute modification de RIB. Restreindre les accès au SIRH selon le principe du moindre privilège. Auditer les règles de transfert dans les boîtes email du service RH.

Ce trimestre : lancer un programme de simulation de phishing ciblant le service RH. Former les gestionnaires de paie à la détection des domaines usurpés. Documenter la procédure dans le processus d’onboarding cybersécurité des nouveaux collaborateurs RH.

Ce semestre : déployer DMARC en mode reject sur votre domaine. Inclure la fraude à la paie dans le plan de réponse aux incidents de l’entreprise.

Ce que les assureurs vérifient en cas de sinistre

Les contrats d’assurance cyber couvrent de plus en plus la fraude au détournement de fonds, y compris la fraude à la paie. Mais les assureurs imposent des conditions préalables à l’indemnisation.

Procédure de vérification formalisée. L’assureur demandera si l’entreprise disposait d’une procédure documentée de vérification des changements de coordonnées bancaires. L’absence de procédure peut être invoquée comme un manquement à l’obligation de prévention.

MFA activé. L’authentification multi-facteurs sur les accès email et sur les systèmes de paie est devenue un prérequis quasi-universel chez les assureurs cyber depuis 2025.

Preuve de formation. Un rapport de simulation de phishing montrant que les équipes RH ont été régulièrement entraînées est un document précieux en cas de sinistre. Il démontre que l’entreprise a pris des mesures raisonnables pour prévenir le risque.

Dépôt de plainte dans les 72 heures. La LOPMI conditionne l’indemnisation au dépôt de plainte dans les 72 heures suivant la connaissance de l’incident. Passé ce délai, l’assureur peut refuser la prise en charge.

Thomas Ferreira est consultant en cybersécurité et fondateur de nophi.sh. Il accompagne les PME françaises dans la mise en place de programmes de sensibilisation au phishing, incluant des scénarios ciblés pour les services RH et paie.

Ressources complémentaires :

Articles similaires

Les faux emails impots.gouv : comment les reconnaître

Phishing impots.gouv.fr : les scénarios les plus courants, les indices qui trahissent un faux email des impôts et les réflexes pour protéger votre PME.

Arnaque au changement de RIB : anatomie d'une fraude

Arnaque au faux RIB fournisseur : comment les escrocs détournent vos paiements, cas réels en France, et protocole de vérification pour PME.

Attaques IA en entreprise : ce qui change en 2026

Phishing polymorphe, deepfakes vocaux, ClickFix, outils underground : comment l'IA a transformé les cyberattaques et pourquoi la formation classique ne suffit plus.