Fraude au président et phishing ciblé : les arnaques les plus coûteuses en France

Le 8 mars 2018, le directeur général de Pathé Films à Amsterdam reçoit un email de ce qu'il croit être le siège parisien du groupe. Objet : une acquisition confidentielle en cours, nécessitant des transferts de fonds immédiats. Sur quatre semaines, il autorise des virements pour un total de 19,2 millions d'euros vers des comptes à Dubaï. Quand le siège découvre l'affaire, l'argent a disparu.

L'affaire Pathé n'est ni un cas isolé ni une anomalie. C'est le fonctionnement normal de la fraude au président, une arnaque qui a coûté des centaines de millions d'euros aux entreprises françaises depuis 2010, et qui continue de frapper en 2026 avec des techniques de plus en plus sophistiquées.

Ce que les Américains appellent BEC (Business Email Compromise), les Français l'appellent fraude au président ou FOVI (Faux Ordres de Virement International). Le mécanisme est toujours le même : un escroc se fait passer pour un dirigeant et ordonne un virement urgent à un employé qui a la main sur les comptes. L'arnaque repose sur la confiance hiérarchique, pas sur l'exploitation de failles informatiques.

Cet article passe en revue les cas les plus coûteux survenus en France, décortique les techniques utilisées par les escrocs, explique pourquoi la France est un terrain de chasse privilégié, et détaille les moyens de s'en protéger. Avec des noms, des montants, des dates et des décisions de justice.

L'ampleur du phénomène : des chiffres qui donnent le vertige

Avant d'entrer dans les cas individuels, posons les ordres de grandeur.

Le FBI IC3 (Internet Crime Complaint Center) classe le BEC comme la catégorie de cybercriminalité la plus coûteuse au monde. En 2023, les pertes déclarées aux États-Unis seuls atteignaient 2,9 milliards de dollars, soit plus que les rançongiciels, les fraudes à l'investissement et les vols de données combinés (FBI, Internet Crime Report 2023). Entre juin 2016 et décembre 2023, les pertes cumulées déclarées au FBI dépassent 55 milliards de dollars.

En France, l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLTIC) estimait en 2017 que la fraude au président avait coûté plus de 485 millions d'euros aux entreprises françaises depuis 2010. Ce chiffre ne couvre que les affaires signalées. La Direction centrale de la Police judiciaire (DCPJ) a publiquement reconnu que le taux de plainte pour ce type de fraude reste faible : beaucoup d'entreprises préfèrent absorber la perte plutôt que d'exposer publiquement une faille humaine.

Cybermalveillance.gouv.fr, la plateforme nationale d'assistance aux victimes d'actes de cybermalveillance, classe les FOVI dans son top 5 des menaces visant les entreprises depuis la création du dispositif en 2020. Dans son rapport d'activité 2024, le dispositif note une recrudescence des arnaques au virement ciblant les PME, souvent combinées avec du phishing par email et par téléphone.

Pourquoi les chiffres officiels sous-estiment la réalité

Trois raisons expliquent cet écart entre les statistiques officielles et les pertes réelles.

Le défaut de plainte. Une PME qui perd 80 000 euros dans une fraude au président ne porte pas toujours plainte. Le dirigeant craint la publicité négative, doute que la police retrouve l'argent (il a souvent raison), et redoute que ses clients, ses banquiers et ses assureurs l'apprennent. Selon les estimations de la DCPJ, le ratio de plaintes effectives pour les FOVI oscille entre 30 et 50 % des cas réels.

La confusion des catégories. Les fraudes au président sont parfois classées comme « escroqueries » dans les statistiques pénales, parfois comme « cybercriminalité », parfois comme « fraude bancaire ». Le ministère de l'Intérieur publie des statistiques agrégées où les FOVI se perdent dans des catégories plus larges.

L'absence de registre centralisé. Contrairement aux violations de données personnelles (déclarées à la CNIL) ou aux incidents touchant les Opérateurs d'Importance Vitale (déclarés à l'ANSSI), il n'existe aucune obligation de déclaration pour les fraudes au virement. Chaque affaire reste dans les tiroirs du commissariat local ou de la gendarmerie qui a recueilli la plainte.

Pathé Netherlands (2018) : 19,2 millions d'euros volatilisés

L'affaire Pathé est probablement le cas de fraude au président le plus médiatisé en France et aux Pays-Bas. Elle mérite un examen détaillé parce qu'elle illustre, étape par étape, comment l'arnaque fonctionne contre des professionnels expérimentés.

La chronologie des faits

En mars 2018, Dertje Meijer, directrice générale de Pathé Netherlands (filiale néerlandaise du groupe français Pathé), et Edwin Slutter, directeur financier, reçoivent des emails provenant apparemment de la direction parisienne du groupe. Les messages évoquent l'acquisition confidentielle d'une société à Dubaï, une opération qui nécessite des avances de trésorerie.

Les emails sont rédigés en anglais professionnel, signés du nom du PDG de Pathé France, et insistent sur la confidentialité absolue de l'opération. « Ne parlez de ceci à personne, pas même aux autres membres du conseil. Les régulateurs boursiers surveillent. »

Sur une période de quatre semaines, Meijer et Slutter autorisent cinq virements totalisant 19,2 millions d'euros vers des comptes aux Émirats arabes unis. Chaque demande est accompagnée de documents falsifiés - lettres d'avocat, bordereaux de virement, confirmations de comptes séquestres.

L'arnaque est découverte quand le siège parisien interroge la filiale sur des mouvements de trésorerie anormaux. Les deux dirigeants sont licenciés. L'argent n'a jamais été récupéré.

Ce que l'affaire révèle

La qualité de la recherche préalable. Les escrocs connaissaient la structure de gouvernance de Pathé, les noms des dirigeants, les relations entre la filiale et le siège, les montants de trésorerie disponibles. Ce niveau de préparation implique des semaines, voire des mois, de reconnaissance : consultation du registre du commerce, des rapports annuels, des profils LinkedIn, des communiqués de presse.

L'exploitation de la distance géographique. La filiale néerlandaise et le siège français ne partagent pas les mêmes bureaux. Les interactions se font par email. Cette distance rend la vérification par un simple passage de tête dans le bureau du PDG impossible.

La puissance du secret. L'injonction de confidentialité empêche les victimes de consulter quiconque. Ce mécanisme isole la cible et désactive le principal filet de sécurité contre la fraude : la vérification par un tiers.

Le montant progressif. Le premier virement n'était pas de 19 millions. Les escrocs ont commencé par un montant plus modeste, puis ont augmenté progressivement. Ce schéma de « pied dans la porte » est un classique de l'ingénierie sociale documenté en psychologie depuis les travaux de Freedman et Fraser (1966). Pour une analyse complète des biais cognitifs exploités par ces techniques : Psychologie du phishing : pourquoi les plus intelligents cliquent.

Les suites judiciaires

Pathé a poursuivi ses anciens dirigeants aux Pays-Bas pour négligence. En 2022, le tribunal d'Amsterdam a jugé que Meijer et Slutter avaient fait preuve de « négligence grave » en ne vérifiant pas l'authenticité des demandes, malgré des signaux d'alerte (montants inhabituels, destination inhabituelle, procédure inhabituelle). Les deux anciens dirigeants ont été condamnés à verser des dommages-intérêts.

L'affaire n'a donné lieu à aucune condamnation pénale des escrocs, qui n'ont jamais été identifiés.

Vallourec (2013) : 22 millions d'euros, record français

L'affaire Vallourec détient un record peu enviable : c'est la plus grosse fraude au président connue en France au moment des faits.

Les faits

En 2013, Vallourec, multinationale spécialisée dans les tubes en acier sans soudure (13 milliards d'euros de chiffre d'affaires à l'époque, 20 000 salariés), est victime d'une fraude au président qui lui coûte 22 millions d'euros.

Les détails de l'affaire ont été moins médiatisés que ceux de Pathé, Vallourec ayant cherché à limiter la couverture médiatique. Ce que l'on sait : des escrocs se sont fait passer pour des dirigeants du groupe et ont convaincu des employés de la comptabilité d'effectuer des virements internationaux. Comme dans l'affaire Pathé, la confidentialité de l'opération était martelée à chaque échange.

Le montant - 22 millions d'euros - est colossal, mais il faut le rapporter au chiffre d'affaires de Vallourec à l'époque. Pour la multinationale, c'est une perte absorbable. Pour une PME de 50 salariés, un montant proportionnellement équivalent représenterait la totalité de sa trésorerie. Pour comprendre ce que représente le coût d'un incident cyber pour une petite structure : Combien coûte vraiment une cyberattaque pour une PME de 50 personnes.

Pourquoi les grands groupes sont visés

On pourrait penser que les grandes entreprises, avec leurs procédures de contrôle interne, leurs directeurs de l'audit et leurs RSSI, sont moins vulnérables. C'est l'inverse.

Les grands groupes sont des cibles de choix pour trois raisons.

Premièrement, les montants disponibles sont élevés. Un virement de 5 millions d'euros ne déclenche pas nécessairement d'alerte dans une entreprise qui en brasse des centaines de millions. Le seuil de détection est plus haut.

Deuxièmement, la complexité organisationnelle crée des angles morts. Un groupe avec des filiales dans 30 pays, des dizaines de directeurs financiers régionaux et des relations hiérarchiques matricielles offre de multiples points d'entrée. L'escroc n'a pas besoin de tromper le PDG du groupe : il lui suffit de tromper un comptable d'une filiale en se faisant passer pour le directeur financier de la zone.

Troisièmement, l'information est publique. Les rapports annuels, les communiqués de presse, les organigrammes publiés sur le site corporate, les profils LinkedIn des cadres dirigeants : tout est accessible. Un escroc compétent peut reconstituer la chaîne de décision d'un virement en quelques heures de recherche.

Etna Industrie (2016) : la PME qui a poursuivi sa banque - et gagné

L'affaire Etna Industrie est devenue un cas d'école en droit bancaire français, et elle est d'un intérêt direct pour toutes les PME.

Les faits

En 2014, Etna Industrie, une PME industrielle francilienne d'environ 50 salariés, est victime d'une fraude au président. Un escroc se fait passer pour le dirigeant de l'entreprise et convainc la comptable de procéder à des virements internationaux. Montant total : 542 000 euros, répartis en trois virements vers des comptes en Chine et en Estonie.

La comptable, employée de longue date, décrit après les faits un scénario classique : l'interlocuteur la tutoyait, connaissait les noms des autres salariés, insistait sur l'urgence et la confidentialité, et prétendait qu'un cabinet d'avocats allait la contacter pour finaliser l'opération.

La bataille juridique avec la banque

Là où l'affaire Etna Industrie se distingue, c'est dans ses suites judiciaires. L'entreprise ne s'est pas contentée de porter plainte contre les escrocs (jamais retrouvés). Elle a assigné sa banque, la Banque CIC, devant le tribunal de commerce, puis la cour d'appel, pour manquement au devoir de vigilance.

L'argument d'Etna Industrie : les virements étaient manifestement anormaux. L'entreprise n'avait jamais effectué de virements vers la Chine ou l'Estonie. Les montants étaient disproportionnés par rapport aux mouvements habituels du compte. La banque aurait dû alerter le titulaire du compte avant d'exécuter les ordres.

La banque se défendait en invoquant l'obligation d'exécuter les ordres de virement du titulaire du compte, conformément à la directive européenne sur les services de paiement.

L'arrêt de la Cour de cassation

En 2018, la Cour de cassation a tranché en faveur d'Etna Industrie (Cass. com., 24 octobre 2018, n° 17-21.112). L'arrêt pose un principe qui a fait jurisprudence : le banquier a un devoir de vigilance face à des opérations inhabituelles, même en l'absence de procuration irrégulière. Le caractère anormal des virements (montants, fréquence, destinations) aurait dû déclencher une vérification auprès du véritable dirigeant.

La banque a été condamnée à rembourser une partie des sommes détournées.

Ce que cette décision change pour les PME

L'arrêt Etna Industrie a eu deux effets.

D'abord, il a encouragé d'autres entreprises victimes à se retourner contre leurs banques. Depuis 2018, les tribunaux de commerce français ont traité des dizaines de cas similaires, avec des résultats variables. Certaines banques ont été condamnées, d'autres ont obtenu gain de cause en démontrant que le client avait lui-même commis une faute (absence de procédures internes, par exemple).

Ensuite, il a poussé les banques à renforcer leurs systèmes de détection des virements suspects. Plusieurs établissements ont mis en place des alertes automatiques pour les virements vers des pays nouveaux, les montants inhabituels, ou les virements multiples en peu de temps. Ce qui, paradoxalement, a rendu les entreprises un peu plus prudentes : quand votre banque vous appelle pour vérifier un virement, vous réfléchissez à deux fois.

Intermarché (2015) : 15 millions d'euros de tentative déjouée

En 2015, le groupement Intermarché (Les Mousquetaires) a été la cible d'une tentative de fraude au président pour un montant de 15,7 millions d'euros. L'arnaque a été partiellement déjouée, mais pas entièrement.

Les escrocs ont contacté un cadre financier du groupe en se faisant passer pour un membre de la direction générale. Le scénario était identique aux autres cas : acquisition confidentielle, nécessité de discrétion, virements urgents vers l'étranger. Plusieurs virements ont été exécutés avant que l'alerte ne soit donnée.

Ce cas est intéressant parce qu'il touche un groupe de distribution, un secteur que l'on associe moins spontanément à la cybercriminalité que la finance ou l'industrie. En réalité, les groupes de distribution manipulent des flux de trésorerie considérables (marges faibles mais volumes énormes), ce qui les rend attractifs pour les escrocs.

L'affaire Intermarché illustre aussi un point que les responsables sécurité connaissent bien : l'alerte vient rarement du système de détection. Dans la majorité des cas de FOVI, c'est un humain qui finit par se poser une question - « C'est quand même bizarre, cette histoire » - et qui décroche le téléphone pour vérifier. Le problème, c'est que cette question arrive souvent après le premier virement, pas avant.

Michelin : la filiale piégée par un faux directeur

Le groupe Michelin, basé à Clermont-Ferrand, a lui aussi été victime d'une fraude au président visant l'une de ses filiales. Les détails précis ont été moins médiatisés que dans d'autres affaires - Michelin n'a pas communiqué publiquement le montant exact - mais le cas a été confirmé par plusieurs sources proches du dossier et évoqué dans le cadre de présentations de l'OCLTIC sur la cybercriminalité financière.

Le schéma : un appel téléphonique prétendument du siège de Clermont-Ferrand à un responsable financier d'une filiale étrangère, suivi d'emails falsifiés confirmant l'opération de virement. L'escroc connaissait les procédures internes, les noms des interlocuteurs habituels, et le vocabulaire propre au groupe.

Michelin fait partie de ces entreprises du CAC 40 qui, après l'incident, ont revu intégralement leurs procédures de validation des virements. Le groupe a mis en place un système de double validation obligatoire avec contre-appel sur un numéro prédéfini, un dispositif que la plupart des grands groupes français ont depuis adopté.

Les cas KPMG : quand les auditeurs se font auditer

KPMG, l'un des « Big Four » de l'audit et du conseil, a été cité dans plusieurs affaires de fraude au président, tant en France qu'à l'international. L'ironie est amère : un cabinet dont le métier consiste à vérifier les contrôles internes des entreprises se retrouve lui-même victime de l'absence de contrôles.

Dans plusieurs cas documentés par la presse économique, des employés de bureaux KPMG ont exécuté des virements frauduleux après avoir reçu des emails prétendument envoyés par des associés seniors du cabinet. Le montant total des pertes n'a pas été rendu public, KPMG invoquant la confidentialité.

Ce qu'il faut retenir : aucune entreprise n'est immunisée par son expertise. Les cabinets d'audit, les banques, les compagnies d'assurance, les forces de l'ordre elles-mêmes (la DGSI a signalé des tentatives ciblant des administrations publiques) - toutes les organisations qui manipulent des fonds sont des cibles potentielles. La fraude au président n'exploite pas une faille technique. Elle exploite la condition humaine : le respect de l'autorité, la peur de décevoir le patron, l'envie d'être celui qui gère une opération « confidentielle et stratégique ».

Les PME dans le viseur : des milliers de cas passés sous silence

Les affaires Pathé, Vallourec et Intermarché font la une parce que les montants sont spectaculaires. Mais la réalité quotidienne de la fraude au président en France, c'est la PME de 20 à 200 salariés qui perd entre 50 000 et 500 000 euros. Des montants qui ne font jamais la une, mais qui mettent parfois l'entreprise en péril.

Les cas remontés par les tribunaux de commerce

Les greffes des tribunaux de commerce français conservent des dizaines de décisions impliquant des PME victimes de FOVI. Voici quelques exemples, tirés des bases de données juridiques, sans nommer les entreprises quand les décisions ne sont pas publiques.

Entreprise de BTP en Île-de-France (2019). Fraude au président par email et téléphone. La comptable exécute deux virements de 130 000 et 85 000 euros vers la Pologne. Le dirigeant était en vacances. L'entreprise assigne sa banque : elle obtient le remboursement partiel de 85 000 euros (le premier virement ayant été jugé « non anormal » par le tribunal car le montant était dans la fourchette habituelle).

Société de négoce dans le Sud-Ouest (2020). L'escroc se fait passer pour le PDG et convainc un assistant commercial de modifier les coordonnées bancaires d'un fournisseur habituel. Trois factures sont payées sur le nouveau compte - 210 000 euros au total - avant que le vrai fournisseur ne réclame son dû. Cette variante, appelée « fraude au changement de RIB » ou « fraude fournisseur », est en forte progression et représente aujourd'hui près de 40 % des FOVI selon les données de la police judiciaire.

Cabinet médical en région lyonnaise (2021). Un salarié reçoit un appel du « comptable du cabinet » qui lui demande de commander un virement de 47 000 euros pour un « équipement médical urgent ». Le salarié obtempère. Le cabinet perd la totalité de la somme. Aucune action en justice contre la banque : le montant était trop faible pour justifier les frais de procédure.

PME agroalimentaire en Bretagne (2022). Fraude combinée email + deepfake vocal. L'escroc appelle le directeur financier en imitant la voix du PDG (probablement à l'aide d'un outil de synthèse vocale). L'appel est suivi d'un email de « confirmation » avec des coordonnées bancaires en Hongrie. Perte : 340 000 euros. L'entreprise a porté plainte mais l'affaire est toujours en cours d'instruction.

Le profil type de la PME victime

Les données consolidées par le GIP ACYMA (Groupement d'Intérêt Public Action contre la Cybermalveillance, opérateur de Cybermalveillance.gouv.fr) et par les services de police judiciaire permettent de dessiner un profil type.

Taille. 20 à 250 salariés. Assez grande pour manipuler des sommes importantes, trop petite pour avoir un service de contrôle interne dédié.

Secteur. Aucun secteur n'est épargné, mais les entreprises qui effectuent régulièrement des virements internationaux (négoce, industrie, BTP avec sous-traitance à l'étranger) sont surreprésentées.

Organisation comptable. La comptabilité est souvent tenue par une à trois personnes. La séparation des tâches (celui qui initie le virement n'est pas celui qui le valide) est absente ou contournable.

Absence de procédure formalisée. Pas de plafond de virement nécessitant une double signature. Pas de protocole de vérification pour les changements de coordonnées bancaires. Pas de contre-appel systématique.

Période. Les attaques surviennent préférentiellement pendant les vacances du dirigeant, les ponts, les périodes de clôture comptable - bref, quand la personne qui pourrait dire « stop, on vérifie » n'est pas là.

Comment la fraude au président fonctionne techniquement

Pour se protéger, il faut comprendre les mécanismes. La fraude au président combine de l'ingénierie sociale (la manipulation humaine) et des techniques informatiques (l'usurpation d'identité par email). Voici le détail.

Phase 1 : la reconnaissance

L'escroc commence par collecter un maximum d'informations sur l'entreprise cible. Les sources sont légales et accessibles à tout le monde.

Registre du commerce et sociétés. Infogreffe et Societe.com fournissent le nom du dirigeant, l'adresse du siège, le chiffre d'affaires, les noms des mandataires sociaux. Prix : quelques euros pour un extrait Kbis complet.

LinkedIn. Les profils des salariés révèlent l'organigramme, les relations hiérarchiques, les services (« Comptable chez X depuis 2019 »), parfois même les adresses email professionnelles. Un escroc qui sait que Marie Dupont est comptable chez Acme SAS et que son directeur est Jean Martin a déjà la moitié de ce dont il a besoin.

Le site web de l'entreprise. Les pages « équipe » et « contact » listent souvent les noms et les fonctions. Les communiqués de presse annoncent les acquisitions, les nominations, les projets - autant de prétextes plausibles pour un virement.

Les réseaux sociaux du dirigeant. Un post Instagram depuis les Maldives = le dirigeant est injoignable par téléphone. C'est le moment d'attaquer.

Phase 2 : l'usurpation d'identité par email

L'escroc doit envoyer un email qui semble provenir du dirigeant. Trois techniques existent, par ordre de sophistication croissante.

Le domaine sosie (lookalike domain). L'escroc enregistre un nom de domaine qui ressemble à celui de l'entreprise : acme-group.com au lieu de acme.com, acmesas.com au lieu de acme-sas.com, arme.com au lieu de acme.com. Le coût d'enregistrement : 10 euros. L'email envoyé depuis ce domaine passera les vérifications SPF et DKIM (parce qu'il est légitime pour le domaine sosie). Seul un œil attentif détectera la différence.

Le spoofing d'adresse (usurpation technique). L'escroc falsifie le champ « From » de l'email pour afficher l'adresse réelle du dirigeant. Si le domaine de l'entreprise n'a pas de politique DMARC en mode reject, n'importe quel serveur peut envoyer un email qui affiche jean.martin@acme-sas.com dans la barre d'expéditeur. C'est là que la configuration SPF, DKIM et DMARC entre en jeu. Pour vérifier si votre domaine est protégé : Sécurité email des PME françaises : pourquoi tester SPF, DKIM et DMARC est urgent.

Le compte email compromis (Account Takeover). Le plus dangereux. L'escroc prend le contrôle de la boîte email réelle du dirigeant, généralement en exploitant un mot de passe faible, un phishing préalable, ou l'absence de MFA (authentification multi-facteurs). L'email provient réellement de la bonne adresse, passe toutes les vérifications techniques, et arrive dans la boîte de réception de la victime comme n'importe quel email légitime. La protection technique ne peut rien dans ce cas : seule la procédure humaine (contre-appel) protège.

Phase 3 : le prétexte et l'ingénierie sociale

L'email est envoyé. Maintenant, il faut convaincre la cible d'agir. Les escrocs utilisent un cocktail de biais psychologiques documentés par la recherche en sciences cognitives.

L'autorité. « Je suis le PDG, et je vous demande personnellement de gérer cette opération. » Robert Cialdini, professeur à l'université d'Arizona, a démontré dans ses travaux sur l'influence (1984) que les individus obéissent spontanément à une figure d'autorité, même quand l'ordre est inhabitunel. C'est l'expérience de Milgram appliquée au virement bancaire.

L'urgence. « Ce virement doit être effectué aujourd'hui avant 16h. » L'urgence empêche la victime d'activer son Système 2 (le mode analytique et délibéré) et la maintient en Système 1 (le mode automatique et rapide). C'est le même mécanisme que celui exploité par le phishing classique.

La confidentialité. « Cette opération est strictement confidentielle. N'en parlez à personne, y compris aux autres membres de la direction. » Ce mécanisme est redoutablement efficace : il isole la victime de toute possibilité de vérification et flatte son ego (« le PDG me fait confiance pour cette mission »).

La flatterie. « Je vous ai choisi(e) parce que vous êtes la personne la plus fiable de l'équipe. » L'escroc transforme la victime en complice volontaire de l'opération.

Le faux tiers de confiance. « Maître Dupont, du cabinet Dupont & Associés, va vous appeler pour vous donner les coordonnées bancaires. » Un complice se fait passer pour un avocat, un notaire ou un auditeur, ajoutant une couche de crédibilité. La victime qui hésite se fait rassurer par un « professionnel ».

Phase 4 : le virement et la fuite

Une fois l'ordre de virement exécuté, l'argent transite rapidement à travers plusieurs comptes dans différents pays (souvent Chine, Hong Kong, Émirats arabes unis, pays d'Europe de l'Est, puis Afrique de l'Ouest). Chaque rebond prend quelques heures. En 48 heures, l'argent est fractionné, converti en espèces ou en cryptomonnaies, et devient intraçable.

Le FBI estime qu'il faut agir dans les 24 à 48 heures suivant le virement pour avoir une chance de récupérer les fonds via les procédures de rappel interbancaire. Passé ce délai, le taux de récupération chute sous 10 %.

Le deepfake vocal et vidéo : la nouvelle arme des escrocs

La fraude au président entre dans une nouvelle ère avec l'arrivée des deepfakes. Ce qui était de la science-fiction en 2018 est devenu un outil opérationnel en 2024.

Le cas fondateur : la filiale britannique (2019)

En 2019, le Wall Street Journal a révélé le premier cas documenté de fraude au président par deepfake vocal. Le PDG d'une filiale britannique d'un groupe énergétique allemand reçoit un appel de son supérieur hiérarchique, le PDG du groupe. Il reconnaît sa voix, son accent allemand, ses inflexions. L'interlocuteur lui demande de transférer 220 000 euros vers un fournisseur en Hongrie. Le PDG de la filiale s'exécute.

La voix était une synthèse générée par intelligence artificielle. L'escroc avait utilisé des enregistrements publics du vrai PDG (interviews, conférences) pour entraîner un modèle de clonage vocal.

Arup à Hong Kong (2024) : 25,6 millions de dollars

L'affaire Arup, révélée par le Guardian en février 2024, marque un saut qualitatif. Un employé du bureau hongkongais d'Arup, le géant britannique de l'ingénierie, reçoit un email suspect de son directeur financier. Il hésite. Puis il rejoint la visioconférence prévue dans le message. À l'écran, il voit et entend son CFO, accompagné de plusieurs collègues. Tous sont des deepfakes vidéo générés en temps réel.

Rassuré par cette « réunion », il valide 15 virements pour un total de 25,6 millions de dollars (environ 23,5 millions d'euros au taux de l'époque).

Pour un panorama complet des menaces émergentes incluant le deepfake vocal : QR codes malveillants, deepfakes vocaux, SMS piégés : les nouvelles formes de phishing en 2026.

L'accessibilité du clonage vocal en 2026

Le clonage vocal n'est plus l'apanage de groupes criminels sophistiqués. Selon McAfee (2025), il suffit de 3 secondes d'audio pour reproduire une voix avec un niveau de fidélité suffisant pour tromper un interlocuteur au téléphone. Fortune rapporte en décembre 2025 que les auditeurs humains ne distinguent plus de manière fiable une voix clonée d'une voix authentique.

Les outils sont disponibles en ligne, souvent gratuitement ou pour quelques dizaines d'euros par mois. Un escroc qui dispose d'un extrait de la voix du dirigeant (vidéo YouTube d'une conférence, message vocal sur le répondeur de l'entreprise, interview podcast) peut générer un appel en temps réel pour moins de 50 euros d'investissement.

Le CESIN (Club des Experts de la Sécurité de l'Information et du Numérique) a alerté ses membres en 2025 sur la progression des tentatives de FOVI utilisant le deepfake vocal. Le baromètre CESIN 2026, publié en janvier, note que 14 % des entreprises interrogées ont signalé au moins une tentative de fraude utilisant une voix synthétique au cours des 12 derniers mois.

Les contre-mesures possibles

Face au deepfake vocal, les vérifications par téléphone perdent leur valeur. Si je vous appelle et que vous reconnaissez ma voix, ça ne prouve plus rien.

Plusieurs pistes se développent :

Le mot de passe vocal. Un code convenu à l'avance entre le dirigeant et les personnes habilitées aux virements. Simple, gratuit, efficace - tant qu'il reste secret. Certaines entreprises changent ce code chaque semaine.

Le contre-appel sur un numéro vérifié. Pas le numéro qui s'affiche sur l'appel entrant (facilement falsifiable), mais un numéro préenregistré dans l'annuaire interne. Si le PDG appelle pour demander un virement, vous raccrochez et vous le rappelez sur son numéro habituel.

La visioconférence avec vérification. Demander à l'interlocuteur de faire un geste spécifique (montrer un objet, tourner la tête, écrire quelque chose) que les systèmes de deepfake vidéo actuels reproduisent encore mal - mais ce rempart est temporaire, les outils progressent vite.

L'abandon du canal vocal comme preuve d'identité. À terme, la voix et l'image ne pourront plus servir de facteurs d'authentification. Seules les procédures formelles (double signature, validation dans un outil de gestion financière sécurisé, workflow d'approbation avec MFA) résisteront.

Pourquoi la France est un terrain de chasse privilégié

La fraude au président existe dans tous les pays. Mais la France figure parmi les pays les plus ciblés au monde, disproportionnellement par rapport à la taille de son économie. Plusieurs facteurs culturels et structurels l'expliquent.

La culture hiérarchique

Le sociologue néerlandais Geert Hofstede a développé un modèle de dimensions culturelles qui classe les pays selon leur « distance hiérarchique » (Power Distance Index). La France obtient un score de 68 sur 100, contre 40 pour les États-Unis, 35 pour le Royaume-Uni et 31 pour l'Allemagne. Ce score élevé signifie que les Français acceptent plus volontiers les inégalités de pouvoir et obéissent plus spontanément aux instructions d'un supérieur hiérarchique.

Dans le contexte de la fraude au président, cette dimension culturelle a une conséquence directe : un comptable français à qui le « PDG » demande un virement urgent est statistiquement moins enclin à remettre en question l'instruction qu'un comptable néerlandais ou allemand. Ce n'est pas une question d'intelligence, c'est une question de normes sociales intériorisées.

Philippe Herlin, économiste et chercheur au CNAM, a écrit sur ce sujet en 2017 : « La fraude au président exploite le rapport d'autorité qui est plus marqué dans les entreprises françaises que dans les entreprises anglo-saxonnes. Questionner un ordre du PDG est perçu comme un acte de défiance, pas comme un acte de prudence. »

L'habitude du virement SEPA

Les entreprises françaises utilisent massivement le virement SEPA pour leurs paiements fournisseurs. Contrairement aux chèques (qui laissent un délai d'encaissement et sont annulables) ou aux cartes de paiement (qui offrent des mécanismes de rappel), le virement est exécuté en quelques heures et, une fois confirmé, est quasiment irréversible dans les délais normaux.

De plus, le virement SEPA vers l'espace économique européen est traité comme un virement domestique par les banques : pas de vérification supplémentaire, pas de délai additionnel. Un virement vers un compte en Pologne, en Hongrie ou en Estonie ne déclenche pas les mêmes alertes qu'un virement vers la Chine ou le Nigéria. Les escrocs l'ont bien compris et utilisent des comptes de transit dans l'UE.

Le tissu de PME

La France compte environ 4 millions de PME, qui représentent 99,9 % des entreprises et emploient 49 % des salariés du secteur privé (INSEE, 2024). Ce tissu de PME est la cible naturelle de la fraude au président : des entreprises qui manipulent des sommes conséquentes, mais qui n'ont souvent ni RSSI, ni procédure de contrôle interne formalisée, ni formation à la fraude.

Le baromètre du CESIN 2026 porte sur les grandes entreprises et les ETI. Pour les PME de moins de 250 salariés, les données sont fragmentaires. Cybermalveillance.gouv.fr est la principale source d'information, et les tendances qu'elle observe confirment : les PME sont la cible majoritaire des FOVI.

La tardive adoption du DMARC

En 2024, selon l'étude d'EasyDMARC portant sur plus de 2 millions de domaines européens, seulement 34 % des domaines d'entreprises françaises avaient un enregistrement DMARC. Parmi ceux-ci, moins de 15 % étaient en mode reject (le seul mode qui bloque effectivement les emails usurpés). Cela signifie que pour la grande majorité des entreprises françaises, n'importe qui peut envoyer un email qui affiche leur nom de domaine.

À titre de comparaison, les pays nordiques (Danemark, Suède, Norvège) affichent des taux d'adoption de DMARC supérieurs à 60 %, avec plus de 30 % en mode reject. Les Pays-Bas, où le gouvernement a imposé DMARC aux administrations dès 2018, dépassent les 50 %.

Cette lacune technique facilite directement la fraude au président par usurpation d'adresse. Si votre domaine n'a pas de DMARC en reject, un escroc peut envoyer un email depuis un serveur quelconque qui affichera pdg@votreentreprise.fr comme expéditeur. L'email arrivera dans la boîte du comptable avec la bonne adresse, le bon nom, et rien pour signaler qu'il est faux.

Vérifiez votre protection maintenant. Le test gratuit de sécurité email nophi.sh analyse vos enregistrements SPF, DKIM et DMARC en quelques secondes et vous attribue un score sur 10 avec des recommandations.

La jurisprudence française : quand les victimes se retournent contre les banques

L'une des particularités françaises de la fraude au président est le contentieux entre les entreprises victimes et leurs banques. Ce contentieux a produit une jurisprudence riche, qui mérite d'être connue de tout dirigeant.

Le fondement juridique : le devoir de vigilance du banquier

Le Code monétaire et financier impose aux établissements de crédit un devoir de vigilance face aux opérations suspectes. Ce devoir, initialement conçu pour la lutte contre le blanchiment (article L.561-6 et suivants), a été étendu par la jurisprudence aux virements frauduleux.

Le principe est le suivant : le banquier qui exécute un ordre de virement manifestement anormal, sans vérifier auprès du titulaire du compte, engage sa responsabilité. Le caractère « manifestement anormal » s'apprécie au regard de l'historique du compte : montants habituels, destinations habituelles, fréquence habituelle des virements.

Les décisions marquantes

Outre l'arrêt Etna Industrie (2018) déjà analysé, plusieurs décisions méritent l'attention.

Cour d'appel de Paris, 2020 (cas d'une PME du secteur textile). L'entreprise victime demande le remboursement de 380 000 euros virés vers la Chine. La banque est condamnée à rembourser 70 % du montant. Le tribunal retient que la banque aurait dû s'alerter devant un virement international vers un pays avec lequel l'entreprise n'avait jamais fait affaire.

Tribunal de commerce de Lyon, 2021 (cas d'une ETI industrielle). Quatre virements pour un total de 1,2 million d'euros vers des comptes en Estonie et en Lettonie. La banque est partiellement condamnée, mais le montant de l'indemnisation est réduit parce que l'entreprise n'avait pas mis en place les procédures de sécurité recommandées par sa propre banque (double signature, plafonds de virement).

Cour d'appel de Versailles, 2023 (cas d'une société de conseil). L'entreprise perd 250 000 euros. La banque est relaxée. Motif : l'entreprise effectuait régulièrement des virements internationaux de montants comparables. Les virements frauduleux ne présentaient pas un caractère « manifestement anormal » par rapport à l'historique du compte.

Les leçons pour les entreprises

La jurisprudence fait apparaître un partage de responsabilité. Les tribunaux tiennent compte à la fois de la vigilance de la banque et du comportement de l'entreprise.

Ce qui joue en faveur de l'entreprise :

• L'absence totale d'historique de virements vers le pays destinataire
• Un montant disproportionné par rapport aux mouvements habituels
• Plusieurs virements en peu de temps (pattern inhabituel)
• L'entreprise avait des procédures internes qui n'ont pas été suivies par la banque (par exemple, la banque devait obtenir une double signature qu'elle n'a pas exigée)

Ce qui joue en défaveur de l'entreprise :

• L'absence de procédures internes formalisées
• Le fait que le salarié a agi en dehors de ses attributions (signature d'un virement sans habilitation)
• L'entreprise effectue régulièrement des virements comparables vers des pays comparables
• L'entreprise a ignoré des alertes de sa banque

La conclusion pratique : mettre en place des procédures internes renforcées n'est pas seulement une mesure de prévention, c'est aussi une condition pour pouvoir se retourner contre la banque en cas de fraude.

La réponse des forces de l'ordre

La lutte contre la fraude au président mobilise plusieurs services de police et de gendarmerie en France. Voici les acteurs principaux.

L'OCLTIC

L'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLTIC), rattaché à la Direction centrale de la Police judiciaire, est le service de référence pour les fraudes de grande ampleur. C'est l'OCLTIC qui a coordonné les enquêtes sur les affaires Vallourec, Pathé et les autres cas majeurs.

L'OCLTIC dispose de compétences spécialisées en matière de traçage des flux financiers, de coopération internationale (via Interpol et Europol) et d'analyse numérique. Mais ses moyens sont limités face au volume de cas : quelques dizaines d'enquêteurs pour des milliers de dossiers par an.

La BEFTI et ses héritiers

La Brigade d'enquêtes sur les fraudes aux technologies de l'information (BEFTI), basée à Paris, a été l'un des premiers services de police dédiés à la cybercriminalité en France. Elle a été réorganisée et intégrée dans les nouvelles structures de la police judiciaire parisienne, mais son expertise reste mobilisée pour les affaires de FOVI.

Le Commandement de la Gendarmerie dans le cyberespace (ComCyberGend)

Créé en 2021, le ComCyberGend regroupe les capacités cyber de la Gendarmerie nationale. Avec plus de 7 000 cyberenquêteurs formés sur le territoire, la gendarmerie est souvent le premier point de contact pour les PME victimes situées hors des grandes agglomérations.

Le rôle de l'ANSSI

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) n'intervient pas directement dans les enquêtes pénales liées aux FOVI, sauf quand un Opérateur d'Importance Vitale est touché. En revanche, l'ANSSI publie des guides de bonnes pratiques et des alertes qui incluent les FOVI dans leur périmètre. Le guide « La cybersécurité pour les TPE/PME en 12 questions » (ANSSI, 2023) consacre un chapitre aux arnaques au virement.

Le problème de la coopération internationale

La principale difficulté pour les forces de l'ordre françaises est que les escrocs opèrent depuis l'étranger. Les affaires les plus médiatisées ont mené aux portes d'Israël, de la Chine, des Émirats arabes unis et de plusieurs pays d'Afrique de l'Ouest.

La coopération judiciaire internationale est lente, complexe et dépend de la bonne volonté des pays concernés. Les demandes d'entraide judiciaire internationale (commissions rogatoires internationales) prennent des mois, parfois des années. Pendant ce temps, les fonds ont été dispersés et les escrocs ont changé de pays.

L'affaire Gilbert Chikli illustre cette difficulté. Considéré comme l'inventeur de la fraude au président en France (il a commencé ses opérations au début des années 2000), Chikli a été condamné par contumace en 2015 à 7 ans de prison, puis interpellé en Ukraine en 2017 après des années de cavale entre Israël et l'Afrique. Son procès en 2020 a abouti à une condamnation à 11 ans de prison et 1 million d'euros d'amende. Mais combien d'affaires de FOVI aboutissent à une interpellation ? Moins de 5 %, selon les estimations des syndicats de police.

Se protéger : les mesures techniques

La protection contre la fraude au président combine des mesures techniques et des mesures organisationnelles. Commençons par le volet technique.

SPF, DKIM et DMARC : verrouiller votre domaine

La première mesure technique est de protéger votre propre domaine contre l'usurpation. Si un escroc ne peut pas envoyer un email qui affiche votre adresse, il doit se rabattre sur un domaine sosie, ce qui est plus facile à détecter.

SPF (Sender Policy Framework) déclare les serveurs autorisés à envoyer des emails pour votre domaine. DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique à chaque email sortant. DMARC (Domain-based Message Authentication, Reporting, and Conformance) indique aux serveurs destinataires quoi faire quand un email échoue aux vérifications SPF et DKIM.

Le détail technique de la configuration est couvert dans notre article dédié : Sécurité email des PME françaises : pourquoi tester SPF, DKIM et DMARC est urgent.

L'essentiel en trois points :

1. Publiez un enregistrement SPF avec -all (hard fail), pas ~all (soft fail)
2. Activez DKIM chez votre fournisseur de messagerie (Google Workspace, Microsoft 365, etc.)
3. Déployez DMARC en mode reject - le seul mode qui bloque effectivement les emails usurpés

Le passage de p=none à p=reject prend 4 à 8 semaines d'observation des rapports DMARC pour s'assurer que les emails légitimes ne sont pas bloqués. C'est un investissement de temps minime pour une protection majeure.

L'authentification multi-facteurs (MFA) sur les boîtes mail

Si un escroc compromet la boîte email du dirigeant, toutes les protections SPF/DKIM/DMARC deviennent inutiles : l'email frauduleux provient réellement de l'adresse légitime.

L'activation du MFA sur toutes les boîtes mail professionnelles est la parade. Avec le MFA, même si l'escroc obtient le mot de passe (via phishing, credential stuffing ou achat sur le dark web), il ne peut pas se connecter sans le second facteur.

Selon Microsoft (Digital Defense Report 2024), le MFA bloque 99,2 % des attaques par compromission de compte. C'est la mesure de sécurité avec le meilleur ratio coût/efficacité qui existe.

La surveillance des domaines sosies

Les outils de surveillance de noms de domaine (domain monitoring) permettent de détecter l'enregistrement de domaines proches du vôtre. Si quelqu'un enregistre acme-group.com alors que votre domaine est acme.com, vous en êtes informé et pouvez agir (signalement au registrar, alerte interne).

Plusieurs services proposent cette surveillance, à des tarifs allant de quelques dizaines à quelques centaines d'euros par an. Pour une PME, c'est un investissement modeste.

Le filtrage avancé des emails

Les solutions de filtrage email modernes (Proofpoint, Mimecast, Microsoft Defender for Office 365, Barracuda) intègrent des fonctions de détection des BEC : analyse du comportement de l'expéditeur, détection des domaines sosies, signalement des emails avec des marqueurs de fraude au président (« virement urgent », « confidentiel », « ne parlez de ceci à personne »).

Ces filtres ne sont pas infaillibles - un email provenant d'un compte compromis légitime passera la plupart des vérifications techniques - mais ils ajoutent une couche de protection supplémentaire.

Se protéger : les mesures organisationnelles

Les mesures techniques sont nécessaires mais pas suffisantes. La fraude au président est d'abord une attaque contre les processus humains. Les mesures organisationnelles sont le vrai rempart.

La procédure de double validation des virements

Toute entreprise, quelle que soit sa taille, devrait avoir une règle simple et non négociable : aucun virement supérieur à un certain seuil ne peut être exécuté par une seule personne. Le seuil dépend de l'activité de l'entreprise - 5 000 euros pour une PME de services, 20 000 euros pour une entreprise de négoce international - mais le principe est le même.

La double validation signifie que deux personnes distinctes doivent approuver le virement. Idéalement, dans un outil de gestion de trésorerie ou de banque en ligne, avec chacune ses propres identifiants et son propre MFA.

Le contre-appel systématique

Pour tout virement inhabituel (nouveau bénéficiaire, montant élevé, pays inhabituel, demande urgente), un contre-appel est obligatoire. Pas au numéro figurant dans l'email de demande (il peut être contrôlé par l'escroc), mais au numéro enregistré dans l'annuaire interne de l'entreprise ou dans les contacts du téléphone professionnel.

Ce contre-appel doit être culturellement accepté dans l'entreprise. Le dirigeant qui se fait rappeler par sa comptable avant un virement ne doit pas s'en offusquer : il doit féliciter la personne qui applique la procédure.

La procédure de changement de coordonnées bancaires

La variante « fraude au changement de RIB » est en pleine expansion. L'escroc se fait passer pour un fournisseur et informe l'entreprise que ses coordonnées bancaires ont changé. Les factures suivantes sont payées sur le compte de l'escroc.

La parade : tout changement de coordonnées bancaires d'un fournisseur doit être vérifié par un appel au fournisseur, sur un numéro connu (celui du contrat ou de la commande initiale, pas celui figurant dans l'email de « notification de changement »).

Certaines entreprises vont plus loin et exigent une confirmation écrite sur papier à en-tête, envoyée par courrier postal. C'est lent, c'est vieux jeu, mais c'est efficace.

La sensibilisation et la simulation

Les procédures sont inutiles si les employés ne les connaissent pas, ne les comprennent pas, ou ne les appliquent pas sous pression. C'est là que la sensibilisation entre en jeu.

La formation théorique (« le phishing, c'est dangereux ») ne suffit pas. Les recherches du SANS Institute (Security Awareness Report 2025) montrent que seule la mise en situation - la simulation d'attaques de phishing et de fraude au président - modifie durablement les comportements. Les organisations qui simulent régulièrement réduisent leur taux de clic de 75 % en 12 mois.

Pour une PME, cela signifie entraîner les équipes avec des scénarios réalistes de fraude au président : un faux email du PDG demandant un virement, un faux appel d'un « cabinet d'avocats », un faux changement de RIB fournisseur. L'objectif n'est pas de piéger les gens, mais de créer un réflexe de vérification automatique. Pour une méthodologie complète : Simulation de phishing en entreprise : guide pratique 2026.

Entraînez vos équipes à détecter les fraudes au président. La plateforme nophi.sh propose des simulations réalistes incluant des scénarios de BEC et de FOVI, avec suivi des résultats par employé.

Le cadre légal et réglementaire

Au-delà des poursuites pénales contre les escrocs et du contentieux avec les banques, le cadre réglementaire français impose des obligations qui touchent directement la prévention de la fraude au président.

L'obligation de dépôt de plainte dans les 72 heures (LOPMI)

La loi d'orientation et de programmation du ministère de l'Intérieur (LOPMI, promulguée en janvier 2023) impose une condition aux entreprises qui souhaitent être indemnisées par leur assurance cyber : le dépôt de plainte doit intervenir dans les 72 heures suivant la connaissance de l'incident. Passé ce délai, l'assureur peut refuser l'indemnisation.

Pour une fraude au président, cette obligation a deux implications. D'abord, il faut détecter la fraude rapidement - ce qui suppose que les salariés soient formés à reconnaître les signaux d'alerte et à signaler immédiatement tout doute. Ensuite, il faut porter plainte rapidement, ce qui suppose que le dirigeant ait un réflexe de plainte et non un réflexe de silence. Pour tout ce qui concerne l'assurance cyber et les preuves de formation exigées par les assureurs : Votre assurance cyber vous demande une preuve de formation ?.

Le RGPD et la notification à la CNIL

Si la fraude au président implique un accès non autorisé à des données personnelles (par exemple, l'escroc a compromis la boîte email du dirigeant et a eu accès à des données clients ou salariés), une notification à la CNIL est obligatoire dans les 72 heures (article 33 du RGPD). Si le risque est élevé pour les personnes concernées, une notification individuelle est également requise (article 34).

En pratique, beaucoup d'entreprises victimes de FOVI ne font pas le lien avec le RGPD. Pourtant, si la phase de reconnaissance a impliqué un accès au système d'information (piratage de la boîte mail, accès au serveur de fichiers), les données personnelles sont potentiellement compromises.

NIS 2

La directive européenne NIS 2, transposée en droit français fin 2024 (la France ayant dépassé le délai initial d'octobre 2024), élargit les obligations de cybersécurité à un grand nombre d'entreprises, y compris des ETI et des PME appartenant à des secteurs « importants ». Les entités concernées doivent mettre en place des mesures de gestion des risques qui incluent explicitement la protection contre l'ingénierie sociale.

Pour les entreprises soumises à NIS 2, la sensibilisation des employés à la fraude au président n'est plus une option : c'est une obligation légale, assortie de sanctions en cas de manquement.

Anatomie d'une attaque réussie : reconstitution minute par minute

Pour rendre les mécanismes concrets, reconstituons une attaque fictive mais réaliste, basée sur les patterns observés dans les affaires judiciaires.

Jour J-30 : la reconnaissance

L'escroc identifie sa cible : SAS Bontemps, PME de 45 salariés spécialisée dans la fabrication de pièces métalliques, basée à Villeurbanne. Chiffre d'affaires : 8 millions d'euros. Dirigeant : Marc Bontemps. Il repère sur LinkedIn que le directeur financier s'appelle Hélène Duval (en poste depuis 2017) et que la comptable s'appelle Nathalie Perrin.

Sur Infogreffe, il trouve la date de création de l'entreprise, les mandataires sociaux, les bilans déposés. Sur le site web de l'entreprise, il note les coordonnées, les noms des fournisseurs mentionnés dans les références clients.

Sur le compte Instagram de Marc Bontemps, il voit que celui-ci part en vacances au ski la troisième semaine de février. Le timing est posé.

Jour J-7 : la préparation technique

L'escroc enregistre le domaine bontemps-sas.com (le vrai domaine est bontemps.fr). Coût : 8 euros. Il configure un serveur mail sur ce domaine avec SPF et DKIM valides - ironiquement, il protège son domaine frauduleux mieux que beaucoup de PME ne protègent le leur.

Il prépare les emails : en-tête « Marc Bontemps (marc.bontemps at bontemps-sas.com) », signature identique à celle de Marc (copiée depuis un email disponible dans un fil de discussion de chambre de commerce).

Jour J (lundi, 10h15) : le premier contact

Marc est sur les pistes à La Plagne. Nathalie Perrin reçoit un email.

De : Marc Bontemps (marc.bontemps@bontemps-sas.com) Objet : Urgent - confidentiel

Nathalie, j'ai besoin de votre aide sur un dossier confidentiel. C'est une acquisition que nous préparons depuis des semaines, je ne peux pas en parler à Hélène pour l'instant car il y a un risque de conflit d'intérêts. Vous êtes la seule personne en qui j'ai confiance pour gérer ça discrètement.

Un cabinet d'avocats va vous contacter dans l'heure pour vous transmettre les coordonnées du compte séquestre. Le montant est de 82 000 euros. C'est urgent car la signature est prévue mercredi.

Je suis injoignable par téléphone (je suis en déplacement à l'étranger). Répondez-moi uniquement par email.

Jour J (11h00) : le faux avocat

Le téléphone de Nathalie sonne. Un homme se présente comme « Maître Laurent Mercier, cabinet Mercier & Associés, Paris ». Il confirme l'opération, donne un numéro de référence, et dicte les coordonnées bancaires d'un compte en Estonie. « C'est un compte séquestre chez une banque européenne, c'est la procédure standard pour ce type d'acquisition. »

Jour J (14h30) : le virement

Nathalie, après avoir hésité, exécute le virement de 82 000 euros. Elle répond à l'email de « Marc » pour confirmer. L'escroc répond : « Parfait, merci Nathalie. Il y aura un second virement de 65 000 euros vendredi. Je vous tiendrai au courant. »

Jour J+2 (mercredi) : la suspicion

Hélène Duval, directrice financière, remarque un mouvement inhabituel sur le relevé bancaire. Elle interroge Nathalie, qui hésite puis révèle l'opération « confidentielle ». Hélène appelle Marc sur son portable. Marc, sur les pistes, ne comprend rien : il n'a jamais envoyé cet email.

L'alerte est donnée. La banque tente un rappel du virement. Il est trop tard : le compte en Estonie a été vidé 6 heures après la réception des fonds.

Bilan

SAS Bontemps perd 82 000 euros. La plainte est déposée. L'enquête montrera que le domaine bontemps-sas.com a été enregistré avec de faux papiers d'identité. Le « cabinet Mercier & Associés » n'existe pas. Le compte en Estonie a été ouvert avec un prête-nom et fermé dans la semaine.

L'entreprise vérifie sa configuration email : pas de DMARC sur bontemps.fr. N'importe qui pouvait usurper une adresse @bontemps.fr sans déclencher d'alerte.

Si un DMARC en reject avait été configuré sur le vrai domaine, cela n'aurait pas empêché l'arnaque (l'escroc utilisait un domaine sosie). Mais si Nathalie avait été entraînée par des simulations de fraude au président, aurait-elle réagi différemment ? Les données disent que oui : les employés qui ont vécu au moins trois simulations de BEC détectent 80 % des tentatives réelles, contre 30 % pour les employés non entraînés (KnowBe4, Phishing Industry Benchmarking Report 2025).

Les signaux d'alerte : comment repérer une tentative

Récapitulatif des indicateurs qui doivent déclencher un réflexe de vérification immédiate.

Indicateurs liés à l'email :

• L'adresse de réponse diffère de l'adresse d'envoi apparente
• Le nom de domaine est légèrement différent du domaine habituel (un tiret en plus, une lettre manquante, un .com au lieu de .fr)
• L'email est envoyé à une heure inhabituelle (tôt le matin, tard le soir, le week-end)
• Le style rédactionnel diffère subtilement de celui de l'expéditeur habituel (vouvoiement au lieu de tutoiement, ou l'inverse)
• L'email ne contient pas la signature habituelle, ou contient une signature légèrement modifiée

Indicateurs liés à la demande :

• Urgence martelée (« aujourd'hui avant 16h », « avant la fermeture des bureaux »)
• Exigence de confidentialité (« n'en parlez à personne »)
• Nouveau bénéficiaire ou nouveau pays de destination
• Montant inhabituel pour ce type d'opération
• Demande de contournement des procédures habituelles (« pas besoin de faire signer par Hélène cette fois »)
• Impossibilité de joindre le demandeur par téléphone (« je suis en réunion/à l'étranger/en déplacement »)

Indicateurs liés au contexte :

• Le dirigeant est en vacances, en déplacement, ou en arrêt maladie
• C'est un vendredi après-midi, un jour férié, une période de vacances scolaires
• L'entreprise est en période de clôture comptable ou de fusion/acquisition connue
• Un « avocat » ou « auditeur » inconnu intervient dans la boucle

Le réflexe à adopter : En cas de doute, raccrocher et rappeler le demandeur sur son numéro professionnel connu. Si c'est un email, ne pas répondre à l'email reçu mais créer un nouveau message vers l'adresse connue du dirigeant. C'est un geste de 30 secondes qui peut sauver des centaines de milliers d'euros.

Ce que les assureurs attendent de vous

Les assureurs cyber intègrent de plus en plus la fraude au président dans leurs conditions de couverture. Voici ce qu'ils vérifient avant d'indemniser.

Les prérequis contractuels

La plupart des contrats d'assurance cyber contiennent des clauses de prérequis. Si l'entreprise ne respecte pas ces prérequis, l'assureur peut réduire ou refuser l'indemnisation. Les prérequis les plus courants concernant la fraude au virement sont les suivants.

Procédure de double validation. L'assureur vérifie que l'entreprise avait mis en place une procédure de double signature pour les virements supérieurs à un certain seuil. L'absence de cette procédure peut être invoquée comme un manquement à l'obligation de prévention.

Formation des employés. Les assureurs exigent de plus en plus une preuve de sensibilisation. Un rapport de simulation de phishing montrant que les employés ont été entraînés à détecter les FOVI est un document précieux en cas de sinistre.

MFA activé. L'authentification multi-facteurs sur les boîtes email et les accès bancaires en ligne est devenue un prérequis quasi-universel chez les assureurs cyber en 2025-2026.

DMARC. Certains assureurs commencent à vérifier la configuration DMARC de l'entreprise. Un domaine sans DMARC en reject peut être considéré comme une vulnérabilité connue et non corrigée, ce qui affecte l'indemnisation.

Le montant des garanties

Les garanties « fraude et détournement » dans les contrats d'assurance cyber varient de 50 000 à 500 000 euros pour les PME, avec des franchises de 5 000 à 25 000 euros. Pour les grandes entreprises, les garanties peuvent monter à plusieurs millions.

Attention : la fraude au président est parfois couverte par la garantie « fraude » (incluse dans le contrat cyber), parfois par une garantie séparée « fraude au virement » ou « détournement de fonds ». Vérifiez votre contrat avec votre courtier.

Que faire si vous êtes victime : les premières 24 heures

Si vous suspectez ou découvrez une fraude au président, chaque minute compte. Voici la séquence d'actions à suivre.

Heure H : alerter la banque. Appelez immédiatement le service fraude de votre banque (pas le conseiller, pas le standard : le service fraude ou le back-office des virements). Demandez le rappel du virement. Plus vous agissez vite, plus les chances de récupération sont élevées. Pour les virements SEPA, un rappel est possible tant que le virement n'a pas été crédité sur le compte destinataire.

Heure H+1 : déposer plainte. Direction le commissariat ou la gendarmerie. Ou en ligne via la plateforme THESEE (Traitement harmonisé des enquêtes et signalements pour les e-escroqueries) du ministère de l'Intérieur. Rappel : la LOPMI impose un dépôt de plainte dans les 72 heures pour maintenir vos droits à indemnisation par l'assurance.

Heure H+2 : sécuriser les preuves. Ne supprimez aucun email, aucun message, aucun journal d'appel. Exportez les en-têtes complets des emails frauduleux. Prenez des captures d'écran des virements. Ces éléments seront nécessaires pour l'enquête et pour votre dossier d'assurance.

Heure H+3 : alerter votre assureur. Déclarez le sinistre auprès de votre assureur cyber (si vous en avez un). Joignez la preuve du dépôt de plainte.

Heure H+4 : vérifier la compromission. Si l'attaque a impliqué un email venant de votre propre domaine, vérifiez immédiatement si un compte email a été compromis. Réinitialisez les mots de passe, activez le MFA, vérifiez les connexions récentes dans la console d'administration de votre messagerie (Google Workspace Admin Console, Microsoft 365 Admin Center).

Jour J+1 : communication interne. Informez les équipes de ce qui s'est passé, sans nommer la personne qui a exécuté le virement (elle est victime, pas coupable). Profitez de l'incident pour rappeler les procédures et proposer une session de sensibilisation. Un incident réel est le meilleur outil pédagogique.

Conclusion : la fraude au président ne disparaîtra pas

La fraude au président existe depuis le début des années 2000 et elle coûte des milliards chaque année dans le monde. Elle ne disparaîtra pas pour une raison simple : elle exploite la nature humaine, pas la technologie. Tant que des employés recevront des ordres de leur patron et les exécuteront, les escrocs trouveront un moyen de se faire passer pour le patron.

Les deepfakes vocaux et vidéo ajoutent une dimension nouvelle. La voix de votre PDG au téléphone ne prouve plus rien. Son visage en visioconférence ne prouve plus rien. Le seul rempart qui tient, c'est la procédure : double signature, contre-appel sur un numéro vérifié, workflow d'approbation formel.

La protection technique (DMARC, MFA, filtrage) réduit la surface d'attaque mais ne l'élimine pas. La formation théorique sensibilise mais ne change pas les comportements. Seule la combinaison des trois - technique, procédure, simulation - offre une défense crédible.

Pour les PME françaises, les chiffres sont clairs. Le taux d'adoption de DMARC est trop bas. Les procédures de double validation sont rarement formalisées. La sensibilisation à la fraude au président est souvent absente ou réduite à un email annuel. C'est exactement ce que les escrocs comptent exploiter.

Les affaires Pathé, Vallourec, Etna Industrie et les milliers de cas non médiatisés ont un point commun : elles auraient pu être évitées. Pas avec de la technologie magique. Avec des procédures simples et des employés entraînés.

---

Thomas Ferreira est consultant en cybersécurité et fondateur de nophi.sh. Il accompagne les PME françaises dans la mise en place de programmes de sensibilisation au phishing et à la fraude au président.

Ressources complémentaires :

• Test gratuit de sécurité email (SPF/DKIM/DMARC) - vérifiez si votre domaine est protégé contre l'usurpation
• Psychologie du phishing : pourquoi les plus intelligents cliquent - les biais cognitifs exploités par les escrocs
• Sécurité email des PME : tester SPF, DKIM et DMARC - le guide technique pour protéger votre domaine
• Simulation de phishing en entreprise : guide 2026 - comment entraîner vos équipes
• Nouvelles formes de phishing : quishing, vishing, smishing - le deepfake vocal et les menaces émergentes
• Votre assurance cyber vous demande une preuve de formation ? - ce que les assureurs vérifient
• Cybermalveillance.gouv.fr - plateforme nationale d'assistance aux victimes
• ANSSI - Guide cybersécurité pour les TPE/PME - bonnes pratiques recommandées par l'État