En 2024, les faux ordres de virement ont progressé de 29 % en volume chez les entreprises françaises, pour des pertes estimées à 45 millions d'euros par an pour les seules PME du pays. L'escroc n'a besoin d'aucun malware : un e-mail avec un RIB modifié suffit. L'arnaque au faux fournisseur est aujourd'hui la première menace financière pesant sur les PME françaises, et la moins visible.
La fraude au faux fournisseur appartient à la famille des attaques BEC, soit Business Email Compromise. Son mécanisme exploite la confiance établie entre une entreprise et ses partenaires commerciaux habituels. En 2024, Cybermalveillance.gouv.fr enregistrait une hausse de 29 % en volume des faux ordres de virement chez les professionnels. Un an plus tard, selon le rapport annuel 2025 du même dispositif, la fraude au virement représentait 13,5 % des demandes d'assistance des professionnels, en hausse de 93 %. L'arnaque au faux fournisseur concentrait par ailleurs 45 % des cas de fraude recensés en entreprise selon le baromètre Allianz, et la France est le pays européen le plus ciblé. Les PME y sont particulièrement exposées car leurs procédures de validation des paiements sont souvent moins formalisées, et leurs équipes comptables plus réduites.
Le faux fournisseur s'introduit dans le réseau par la messagerie
Le phishing représentait 60 % des cyberattaques visant les entreprises françaises en 2024, selon le baromètre CESIN/OpinionWay. Une fois dans la boîte e-mail d'un comptable ou d'un responsable achats, le malfaiteur lit les échanges et attend. Il repère par exemple une facture en attente dans un fil de conversation établi avec un fournisseur connu, puis crée une adresse e-mail avec un caractère modifié dans le nom de domaine. Il copie le logo, le ton, la mise en page du vrai partenaire, et glisse un nouveau RIB dans la conversation. L'illusion est totale.
Les fraudeurs ciblent les fins de mois et les veilles de congés, quand la charge comptable laisse peu de place à la vérification. Sous la pression d'une demande soit-disant urgente, le comptable valide sans rappeler le fournisseur. En quelques heures, les escrocs ont rerouté les fonds vers des comptes à l'étranger par des comptes intermédiaires. À partr de ce moment-là, il est quasiment impossible de récupérer l'argent.
Certains d'entre eux n'ont même pas besoin de pirater une messagerie. Ils achètent des données de facturation sur le dark web, ou pratiquent le social engineering en appelant les services comptables sous une fausse identité pour identifier qui gère les paiements. Avec l'IA générative, il est tout à fait possible pour moins de 50 euros par mois, de produire un e-mail sans fautes, au bon ton, et avec la bonne signature.
Des pertes largement sous-estimées
Si l'on sort la calculette, on se rend compte à quel point les pertes sont d'une part importantes, d'autres part, que la plupart des TPE/PME n'en évaluent pas l'ampleur. Selon l'étude TrustPair/SAP, une entreprise sur deux subit au moins une tentative de fraude au virement chaque année en France.
Une PME sur quatre a été confrontée à une tentative de BEC en 2024-2025, pour des pertes pouvant atteindre 80 000 euros par incident.
Pourtant, moins d'une entreprise sur deux disposait en 2024 d'une solution de contrôle automatisé des coordonnées bancaires fournisseurs, d'après Trustpair.
Par ailleurs, dans la majeure partie des cas, les victimes ne déposent jamais plainte, pour ne pas exposer une faille interne à leurs partenaires commerciaux. Ce mensonge par omission est ce sur quoi, entre autre, comptent les escrocs.
La banque ne remboursera pas toujours les fonds perdus versés au faux fournisseur
Là les organisations ignorent parfois, par méconnaissance ou pensant que leur taille ou la nature des données qu'elles traitent les protègent, les termes et conditions de leur assurance.
Selon un arrêt de la Cour de cassation de 2024, dès lors que l'entreprise a elle-même validé le changement de RIB, la banque n'est pas tenue de rembourser. L'entreprise règle alors le cybermalfaiteur et son vrai fournisseur. Les assurances couvrent parfois une partie des pertes, mais avec des franchises importantes et des plafonds limités, et les primes augmentent après sinistre.
Sur le plan pénal, la fraude au faux fournisseur relève de l'article 313-1 du Code pénal. Commise en bande organisée, elle expose ses auteurs à dix ans d'emprisonnement et un million d'euros d'amende.
Mais là encore, pour identifier et poursuivre des escrocs dont les fonds ont transité par plusieurs pays est une longue procédure qui ne se solde, hélas, que par un échec et la perte des fonds.
Que faire pour éviter ou bloquer l'attaque BEC
Cybermalveillance.gouv.fr et Ma Sécurité du Ministère de l'Intérieur confirment qu'aucun changement de RIB ne se valide sur la base d'un e-mail seul, quel que soit l'expéditeur apparent. Un contre-appel téléphonique au numéro habituel du fournisseur, celui figurant sur un contrat signé et non celui indiqué dans l'e-mail, suffit à déjouer la quasi-totalité des tentatives.
De nombreuses plateformes spécialistes en sécurisation des relations commerciales entre les entreprises recommandent ce qu'elles appellent le principe des quatre yeux.
Il consiste à s'assurer qu'aucun comptable seul ne valide un changement de coordonnées bancaires fournisseur d'une part, deux interlocuteurs de niveaux hiérarchiques différents doivent être garants de la double validation d'autre part, pour éviter une validation hâtive sous pression.
Des outils automatisés croisent en temps réel les coordonnées bancaires des fournisseurs avec les données issues de sources officielles comme Infogreffe ou l'URSSAF, et alertent à la moindre anomalie.
C'est ce manque de vigilance qui a coûté, en 2024, son poste de travail à une assistante. Cette dernière a effectué pour 65 000 euros de virement en ne faisant que suivre des instructions données par e-mail. Bien que le courriel comportait des indices d'un faux grossier, selon les dirigeants, l'aide-comptable ne les a pas repérés et a agi dans l'urgence, dictée par le ton de son interlocuteur, un faux fournisseur. Et comme l'indique notre confrère breton, le montant, qui paraît dérisoire pour le marché, ainsi que ce type d'escroquerie « passent généralement sous les radars médiatiques ».
Agir si le virement a déjà été effectué en faveur du faux fournisseur
Mais tout n'est pas forcément perdu, lorsqu'en tant que dirigeant ou collaborateur, vous venez d'effectuer un virement et constatez qu'il a été détourne.
Cybermalveillance.gouv.fr recommande d'appeler votre banque immédiatement pour tenter un rappel de fonds, puis de geler les coordonnées frauduleuses dans tous les systèmes internes et de déposer plainte auprès de la police ou de la gendarmerie.
Ce dépôt de plainte est indispensable pour que la banque instruise la demande de restitution.
N'hésitez pas ensuite à signaler la fraude sur Signal Conso. Grâce à vous, d'autres entreprises seront alertées, et dans le même temps, vous alimenterez les bases de données des enquêteurs.
En février 2025, des escrocs ont usurpé l'identité de communes françaises pour cibler leurs prestataires et associations locales avec de faux RIB de mairie, en misant sur le fait que certains destinataires effectuaient des paiements réguliers à leur collectivité.
Le BEC a désormais trouvé une novelle porte d'entrée dans le tissu associatif et municipal français, après les entreprises.
