Un comptable reçoit un email de son fournisseur habituel d’équipements de bureau : « Suite au changement de notre établissement bancaire, merci de mettre à jour notre RIB avant le prochain règlement. » L’email vient de la bonne adresse, le ton est identique aux échanges précédents, le RIB joint a l’air d’un document officiel. Il met à jour le fichier fournisseur. La prochaine facture — 34 000 euros — part sur le compte du fraudeur.

Ce scénario se répète plusieurs milliers de fois par an en France. La fraude au faux fournisseur n’exploite pas une faille technique : elle exploite une procédure comptable ordinaire, dans un contexte qui paraît parfaitement banal.

Ce guide donne la procédure concrète à implémenter dans votre comptabilité : double validation, rappel téléphonique sur canal indépendant, délai de carence, formation ciblée. Il couvre aussi les mesures techniques qui réduisent la surface d’attaque, et la marche à suivre si un virement frauduleux a déjà été exécuté.

Le coût de la fraude au virement en France

Les chiffres sous-estiment systématiquement la réalité, car beaucoup d’entreprises ne déclarent pas les fraudes subies. Mais les données disponibles donnent une idée de l’ampleur.

La Banque de France estime que la fraude aux paiements représente environ 1,2 milliard d’euros de pertes annuelles pour les entreprises et particuliers français, avec une part croissante liée aux virements frauduleux par ingénierie sociale. Les virements sont le moyen de paiement présentant le taux de fraude le plus élevé en valeur unitaire.

La Direction Centrale de la Police Judiciaire recense régulièrement des cas spectaculaires. L’exemple le plus documenté reste la fraude dont a été victime Pathé France en 2018 : 19,2 millions d’euros virés en deux mois à un faux intermédiaire financier se présentant comme un collaborateur de la direction générale aux États-Unis. L’opération a mobilisé des échanges d’emails sur plusieurs semaines, avec des documents falsifiés d’apparence professionnelle. Les deux responsables France ont été licenciés pour faute grave.

Selon le rapport ACFE (Association of Certified Fraud Examiners) 2024, les fraudes par BEC (Business Email Compromise) représentent en moyenne 137 000 dollars de perte par incident — et moins de 40 % des sommes sont récupérées. En France, la fédération des assureurs (France Assureurs) indique que la fraude externe est la première cause de sinistre déclaré en assurance cyber pour les TPE et PME.

La direction financière est la cible numéro un. Elle détient les accès aux systèmes de paiement, traite des montants importants, et est habituée à recevoir des demandes de virements urgents de la direction générale. C’est exactement ce que les attaquants exploitent.

Les 3 types de fraude ciblant la comptabilité

Fraude au président (BEC — Business Email Compromise)

L’attaquant se fait passer pour le PDG, le DAF ou un membre du COMEX. Il contacte un comptable ou un responsable financier en dehors des canaux habituels — souvent par email depuis un domaine sosie ou depuis une boîte compromise. Le message : un virement urgent, confidentiel, doit être exécuté immédiatement pour une acquisition, une opération réglementaire ou une situation de crise. Le dirigeant est « injoignable » ou « en réunion ». La discrétion est exigée explicitement.

Ce qui rend cette fraude efficace : elle exploite la relation d’autorité hiérarchique. Un comptable ne remet pas facilement en question une demande de son PDG. Le prétexte de confidentialité isole la victime et l’empêche de vérifier auprès de ses collègues.

Pour comprendre les mécanismes de manipulation utilisés dans ces attaques, notre glossaire sur le spear-phishing détaille les techniques de ciblage et de personnalisation.

Fraude au faux fournisseur (changement de RIB)

L’attaquant usurpe l’identité d’un fournisseur réel. Il envoie une demande de mise à jour de coordonnées bancaires, souvent quelques jours avant une échéance de paiement connue. L’email peut provenir :

d’un domaine sosie quasi-identique (fournisseur-sarl.fr au lieu de fournisseur.fr) ;
d’une boîte email du fournisseur réellement compromise ;
d’un expéditeur usurpé quand les protections DMARC sont absentes.

Cette fraude est particulièrement insidieuse quand la boîte email du fournisseur est compromise : l’email provient alors du vrai domaine, avec un historique de conversation réel, et le fraudeur peut répondre aux questions de vérification en temps réel.

Fraude au faux client (remboursement)

Variante moins fréquente mais en hausse : l’attaquant se fait passer pour un client de votre entreprise et demande un remboursement, un avoir, ou le règlement d’un trop-perçu sur de nouvelles coordonnées bancaires. La somme est souvent modeste pour passer sous les radars des procédures de validation. Cette fraude cible particulièrement les services après-vente, les équipes de facturation client et les directions financières d’entreprises e-commerce.

La procédure de double validation : le modèle à implémenter

La procédure de double validation est le filet de sécurité principal contre la fraude au faux fournisseur. Elle doit s’appliquer sans exception à tout changement de coordonnées bancaires (fournisseur, salarié, client) et à tout nouveau bénéficiaire.

Règle fondamentale

Aucun RIB ne change dans le système sans deux actions distinctes :

L’opérateur qui reçoit la demande initialise la procédure de vérification.
Un second valideur (responsable comptable, DAF, ou signataire désigné) approuve après vérification indépendante.

Ces deux actions doivent être documentées avec l’identité de chaque valideur et l’heure de validation.

Les étapes de la procédure

Étape 1 — Réception de la demande

La demande arrive par email, courrier ou appel téléphonique. Le comptable qui la reçoit ne modifie rien dans le système. Il ouvre un ticket ou un formulaire de demande de modification, en y joignant la demande originale (email complet avec en-têtes, scan du courrier, ou note d’appel avec le numéro appelant).

Étape 2 — Vérification sur canal indépendant

Le comptable rappelle le contact sur le numéro présent dans sa base de données (contrat signé, ancienne facture, site officiel du fournisseur) — jamais sur le numéro fourni dans l’email ou le document reçu. Il demande explicitement la confirmation du changement de RIB et note le nom de son interlocuteur et l’heure de l’appel.

Si le contact est injoignable : la demande est mise en attente. Aucun RIB n’est modifié en l’absence de confirmation vocale.

Étape 3 — Contrôle du nouveau RIB

Vérifiez la cohérence de l’IBAN reçu :

Un IBAN dont le code pays ne correspond pas à la nationalité déclarée du fournisseur est un signal d’alerte.
Un IBAN récemment ouvert (vérifiable via votre banque pour les paiements SEPA) mérite une vigilance accrue.
Utilisez le portail de votre banque ou un service de vérification IBAN tiers pour confirmer la validité formelle.

Étape 4 — Délai de carence de 72 heures

Le nouveau RIB est enregistré dans le système mais marqué comme « en attente d’activation ». Il ne sera activé qu’après 72 heures. Ce délai coupe court aux demandes d’urgence factices, qui sont la tactique la plus courante pour forcer un traitement précipité.

Étape 5 — Double validation

Le responsable désigné (DAF, responsable comptable, ou signataire de niveau 2) examine le dossier complet : demande originale, trace de l’appel de vérification, RIB contrôlé, et identité du fournisseur vérifiée. Il valide ou refuse dans le système. Sa validation est horodatée et nominative.

Étape 6 — Activation et premier paiement réduit

Pour les montants importants, une bonne pratique consiste à effectuer un premier virement test de faible montant (1 à 5 euros) avant le virement principal, et à vérifier que le fournisseur le confirme bien reçu sur son relevé. Ce test supplémentaire ralentit la procédure mais détecte les cas où l’IBAN semble valide mais appartient au fraudeur.

La vérification par rappel téléphonique : comment la faire correctement

Le rappel téléphonique est la mesure la plus efficace contre la fraude au faux fournisseur. Il fonctionne parce qu’il rompt le canal de communication contrôlé par l’attaquant.

Le principe

Vous appelez votre contact sur un numéro que vous avez vous-même trouvé : dans votre ERP, dans le contrat de prestation, sur le site officiel de l’entreprise, ou dans vos échanges antérieurs. Pas le numéro qui figure dans l’email de demande. Pas le numéro sur le document RIB reçu. Ces numéros appartiennent peut-être déjà au fraudeur — c’est une technique documentée.

Ce que vous vérifiez lors de l’appel

« Bonjour, je suis [prénom] de la comptabilité chez [votre entreprise]. Nous avons reçu une demande de changement de RIB à votre nom datée d’aujourd’hui. Pouvez-vous me confirmer que cette demande vient bien de vous ? »
Si la personne confirme : notez son prénom, l’heure de l’appel, et procédez aux étapes suivantes.
Si la personne est surprise ou nie avoir envoyé quoi que ce soit : vous venez d’éviter une fraude. Signalez l’incident à votre responsable, conservez l’email frauduleux, et avertissez le fournisseur que son identité est usurpée.

Le vishing : quand l’attaquant vous rappelle en premier

Le vishing (voice phishing) consiste pour le fraudeur à vous appeler avant que vous ne le fassiez, en se faisant passer pour le fournisseur ou un intermédiaire bancaire. Il vous fournit un numéro de confirmation, crée un sentiment d’urgence, et vous incite à sauter l’étape de rappel. Règle absolue : même si quelqu’un vous a déjà appelé pour confirmer un changement de RIB, vous rappellez sur votre numéro connu pour valider. Un appel entrant ne remplace jamais un rappel sortant.

Les mesures techniques qui réduisent la surface d’attaque

Les procédures humaines protègent contre les demandes frauduleuses. Les mesures techniques réduisent la probabilité que ces demandes arrivent jusqu’à vos équipes.

Authentification email : SPF, DKIM, DMARC

Les trois protocoles d’authentification email — SPF, DKIM, et DMARC — empêchent les attaquants d’envoyer des emails qui semblent provenir de votre domaine. Si votre domaine est correctement configuré avec DMARC en politique reject, personne ne peut envoyer un email de@votre-entreprise.fr sans votre autorisation.

Vérifiez l’état de votre configuration avec notre test de sécurité email : il analyse en quelques secondes vos enregistrements SPF, DKIM et DMARC et attribue une note de A à F. Une note inférieure à B signifie que votre domaine peut être usurpé par un attaquant pour cibler vos fournisseurs ou vos propres équipes.

Ces mêmes protocoles protègent vos fournisseurs : si un fournisseur n’a pas configuré DMARC, un attaquant peut envoyer des emails depuis son domaine à votre comptabilité. La vérification de la configuration DMARC de vos principaux fournisseurs fait partie d’une gestion des risques tiers sérieuse.

Surveillance des domaines sosies

Les fraudes au faux fournisseur utilisent souvent des domaines enregistrés quelques jours avant l’attaque, quasi-identiques à votre domaine ou à celui de vos fournisseurs. Notre guide sur la protection contre le typosquatting détaille comment surveiller ces enregistrements et recevoir des alertes avant qu’un fraudeur ne les utilise.

Sécurité de la plateforme de paiement

Vos systèmes de paiement (ERP, plateforme bancaire, outil de trésorerie) doivent être protégés par une authentification multifacteur (MFA) sur tous les comptes ayant accès à la validation ou à l’exécution des virements. Un compte compromis dans votre ERP permet à un attaquant de modifier directement les RIB fournisseurs sans passer par la messagerie.

Définissez des plafonds de virement : au-delà d’un certain montant, une signature supplémentaire (ou une validation via l’application bancaire) est requise. Ces plafonds peuvent être modulés selon l’ancienneté de la relation avec le bénéficiaire.

Former vos équipes comptabilité

La formation générale à la cybersécurité ne suffit pas pour la comptabilité. Un comptable qui a suivi un module e-learning sur « comment reconnaître un email de phishing » peut quand même exécuter un virement frauduleux — parce que les emails de faux fournisseur sont construits pour ressembler à des demandes métier légitimes, pas à des emails de phishing génériques.

Les scénarios spécifiques à la comptabilité

Voici les situations concrètes sur lesquelles vos équipes doivent être entraînées :

Scénario 1 — Le changement de RIB en urgence avant fin de mois Email d’un fournisseur habituel : « Notre banque procède à une migration technique. Merci de mettre à jour notre IBAN avant le 30 pour que le règlement soit bien traité. Ci-joint le nouveau RIB. » La pression du délai de fin de mois est délibérée.

Scénario 2 — Le PDG en déplacement à l’étranger Email ou SMS depuis un numéro inconnu : « Je suis en déplacement à Singapour et j’ai besoin d’un virement de 40 000€ pour boucler une acquisition confidentielle ce soir. Ne passez pas par les circuits habituels, appelez-moi sur ce numéro. » L’isolement géographique et la confidentialité coupent les vérifications habituelles.

Scénario 3 — L’auditeur qui « vérifie » les procédures Appel téléphonique d’un prétendu auditeur externe mandaté par votre banque ou votre commissaire aux comptes. Il demande à « tester » la procédure en validant un virement fictif. Le phishing ne passe pas toujours par email.

Scénario 4 — Le fournisseur dont la boîte email est compromise L’email provient du vrai domaine, s’inscrit dans une vraie conversation, et contient des références à des factures réelles. Seul le RIB joint a changé. Sans vérification téléphonique sur un numéro indépendant, ce scénario passe tous les filtres humains habituels.

Les signaux d’alerte à connaître

Affichez cette liste dans les espaces de travail de votre service comptabilité :

Toute demande de changement de RIB, quelle que soit la source
Urgence explicite : « avant ce soir », « avant la clôture », « impératif »
Demande de confidentialité : « n’en parlez à personne », « opération sensible »
Email en dehors des horaires habituels d’un fournisseur
Nouveau numéro de téléphone dans l’email de demande
IBAN étranger pour un fournisseur français
Ton légèrement différent de la relation habituelle (plus formel, plus pressé)

Les simulations ciblées avec nophi.sh

nophi.sh propose des campagnes de simulation de phishing avec des scénarios spécifiques aux équipes comptabilité et finance : faux changement de RIB fournisseur, demande de virement urgente de la direction, email d’un prestataire dont le compte a été « compromis ». Chaque simulation est suivie d’une formation contextuelle immédiate, déclenchée au moment où le collaborateur aurait commis l’erreur — quand l’impact pédagogique est maximal.

Les équipes qui ont suivi trois cycles de simulation sur des scénarios fraude au virement réduisent leur taux de réponse aux demandes frauduleuses de plus de 70 % (données nophi.sh, cohortes 2025). Lancer votre première campagne gratuitement.

Si la fraude a abouti : marche à suivre immédiate

Un virement a été exécuté et vous réalisez qu’il était frauduleux. La rapidité d’action dans les premières heures détermine les chances de récupération.

Dans les premières heures

1. Appelez votre banque immédiatement — pas dans une heure, maintenant. Demandez à parler au service fraude ou au numéro d’urgence. Donnez la référence du virement, le montant, la date d’exécution, et les coordonnées du bénéficiaire. Votre banque peut tenter un arrêté de paiement si le virement est encore en transit, ou initier un recall (rappel de fonds) auprès de la banque bénéficiaire.

2. Bloquez tout nouveau virement vers les coordonnées incriminées dans votre système de paiement.

3. Conservez toutes les preuves : l’email original avec ses en-têtes complets, le document RIB reçu, la trace de toutes les communications liées à cette demande. Ne supprimez rien.

4. Identifiez la chaîne de validation : qui a reçu la demande, qui l’a traitée, qui a validé. Cette chronologie sera nécessaire pour la plainte et pour votre assureur.

Dans les 72 heures

Déposez plainte — au commissariat ou à la brigade de gendarmerie la plus proche. La loi LOPMI (article L12-10-1 du Code des assurances) conditionne l’indemnisation par votre assurance cyber au dépôt de plainte dans les 72 heures suivant la découverte de la fraude. Ne dépassez pas ce délai, même si votre banque vous dit qu’une procédure de recall est en cours.

Notifiez votre assureur selon les délais prévus dans votre contrat (généralement 5 jours ouvrés). Transmettez le récépissé de plainte. Notre guide sur la cyber-assurance détaille les pièces à fournir et les garanties habituellement couvertes.

Informez votre fournisseur réel si la fraude impliquait l’usurpation de son identité : son compte email est peut-être compromis, et d’autres de ses clients sont peut-être ciblés en ce moment même.

Ce qui détermine les chances de récupération

La récupération des fonds est possible mais statistiquement difficile au-delà des premières heures. Les fraudeurs déplacent les fonds rapidement, souvent via plusieurs comptes dans différents pays. Les procédures de recall interbancaires SEPA existent mais prennent des semaines et échouent fréquemment quand les fonds ont été retirés ou convertis.

La vraie récupération passe par votre assurance, si elle couvre la fraude externe — vérifiez votre contrat dès maintenant, avant un incident. Certains contrats excluent les fraudes facilitées par une défaillance de procédure interne. Avoir une procédure documentée et appliquée est votre meilleure protection, à la fois contre la fraude et contre un refus d’indemnisation.

Pour la procédure complète de gestion d’un incident cyber, consultez notre fiche réflexe cyberattaque — elle couvre les contacts d’urgence, les délais légaux et les obligations de notification.

Questions fréquentes

Thomas Ferreira, CISSP, GCFA — Consultant en cybersécurité et formateur en sensibilisation. Thomas accompagne les directions financières et comptables dans la mise en place de procédures anti-fraude adaptées aux menaces réelles observées dans les entreprises françaises. Ce guide s’appuie sur les alertes publiées par cybermalveillance.gouv.fr, les recommandations de l’ANSSI disponibles sur cyber.gouv.fr, le rapport ACFE 2024, et les données de sinistralité France Assureurs 2024.

Pour aller plus loin : testez dès maintenant la configuration de sécurité email de votre domaine avec notre test gratuit, ou lancez une simulation de phishing ciblée sur vos équipes comptabilité.