Fraude au président et deepfake : prévenir les virements 2026

La fraude au virement bancaire n'est pas une menace abstraite réservée aux grandes entreprises. Elle frappe des artisans, des cabinets libéraux et des PME de quelques salariés, souvent au moment le moins attendu — congés d'été, clôture d'exercice, période de fort volume de commandes. Ce qui a changé en 2026, c'est la sophistication de la mise en scène : les outils d'intelligence artificielle générative permettent de cloner une voix à partir de quelques secondes d'enregistrement et de simuler un visage en visioconférence. Les signaux qui permettaient de détecter l'arnaque ont disparu.

Cet article explique comment fonctionne la fraude au président dopée par le deepfake, quelles procédures de contrôle interne permettent de la bloquer même dans une structure de deux ou trois personnes, et ce qu'il faut faire dans les premières heures si un virement a déjà été exécuté.

Réponse directe. La fraude au président, ou faux ordre de virement (FOVI), est une escroquerie punie par l'article 313-1 du Code pénal. En 2026, le deepfake voix et visio supprime les derniers garde-fous humains. La parade est organisationnelle, pas technique : double validation des virements, rappel systématique sur un numéro connu, procédure écrite de changement de RIB, et séparation des tâches. Aucune de ces mesures ne coûte cher ; toutes dépendent d'une application sans exception.

La fraude au président, aussi appelée FOVI (faux ordre de virement) ou BEC (business email compromise), consiste à usurper l'identité d'un dirigeant, d'un fournisseur ou d'un conseiller pour obtenir un virement en urgence. C'est une escroquerie au sens de l'article 313-1 du Code pénal : tromperie sur l'identité pour obtenir la remise de fonds.

Le scénario de base est invariable depuis des années : un courriel ou un appel téléphonique, une demande urgente et confidentielle, un virement vers un compte que l'entreprise ne connaît pas. Ce qui change en 2026, c'est la crédibilité de la mise en scène.

Les outils d'IA générative permettent de cloner une voix à partir de quelques secondes d'enregistrement public — une intervention dans un podcast, une vidéo LinkedIn, une transcription de réunion Teams. Le résultat est suffisamment convaincant pour tromper un collaborateur qui connaît bien la voix de son dirigeant.

La visioconférence deepfake est plus complexe à produire, mais elle existe. Un cas largement médiatisé en 2024 a vu un employé d'un grand groupe d'ingénierie valider des virements pour plusieurs dizaines de millions après une visioconférence où tous les participants — y compris le « directeur financier » — étaient des deepfakes. Ce cas illustre l'évolution plus large de l'IA dans l'entreprise, encadrée par le règlement européen sur l'IA.

Pour une PME, la menace est plus souvent un clone vocal : un appel téléphonique où « le dirigeant » demande un virement urgent à son assistante de direction ou à son responsable comptable, en précisant de ne pas passer par les circuits habituels. La voix est suffisamment proche pour couper court à toute hésitation.

Les attaques suivent presque toujours le même schéma en quatre temps.

Phase 1 — Repérage. L'escroc collecte des informations publiques : organigramme sur le site de l'entreprise, profils LinkedIn des collaborateurs, calendriers de congés annoncés, périodes de forte activité. Il identifie qui peut déclencher un virement et qui est en position d'autorité.

Phase 2 — Usurpation. Il choisit l'identité à usurper : le dirigeant pour une demande urgente, un fournisseur connu pour un changement de RIB, la banque pour une « sécurisation de compte ».

Phase 3 — Pression. La demande est toujours urgente, souvent confidentielle. Les formulations « je suis en réunion, ne passez par personne d'autre » ou « le cabinet dépend de ce virement ce soir » sont caractéristiques. L'urgence vise à court-circuiter les procédures de vérification.

Phase 4 — Exécution. Le virement est réalisé. Les fonds transitent rapidement par plusieurs comptes avant d'être dispersés.

La protection efficace ne repose pas sur un logiciel mais sur des règles internes simples, connues de tous, appliquées sans exception. Un fraudeur mise précisément sur l'exception : « juste cette fois, c'est urgent ».

Ces contrôles s'intègrent naturellement dans le cycle fournisseurs dématérialisé et dans un protocole anti-fraude virement formalisé.

Le droit à la lenteur. Un collaborateur ne doit jamais être sanctionné pour avoir pris le temps de vérifier. Cette règle, formulée explicitement dans les procédures internes, est l'un des leviers les plus efficaces : elle neutralise la pression de l'urgence que le fraudeur installe.

La fraude au changement de coordonnées bancaires est la plus fréquente car la moins spectaculaire. L'escroc envoie, depuis une adresse qui ressemble à celle du fournisseur (une lettre de différence, un domaine cousin), une facture ou un simple message annonçant un nouveau RIB. Le prochain virement régulier part vers son compte.

La parade est une procédure contradictoire systématique : tout changement de RIB est confirmé par un contact direct avec le fournisseur, sur des coordonnées déjà connues et consignées dans le référentiel fournisseurs — jamais celles figurant dans la demande suspecte. Des informations complémentaires sur les signaux d'alerte spécifiques à ce type d'attaque sont disponibles dans notre article dédié au contrôle des virements et fraude au RIB fournisseur.

Soit une PME de négoce de 8 salariés. Le dirigeant est en déplacement à Lyon. Son assistante reçoit un appel : une voix qu'elle reconnaît comme celle du dirigeant lui demande de réaliser un virement de 28 000 € vers un nouveau fournisseur espagnol, en urgence, avant 17 h, sans en parler au reste de l'équipe « pour des raisons de confidentialité commerciale ».

Sans procédure : l'assistante, soucieuse de bien faire, exécute le virement. Le lendemain matin, le dirigeant découvre l'opération. Les fonds ont déjà transité par deux comptes intermédiaires.

Avec procédure : la règle interne impose un rappel sur le numéro de mobile du dirigeant enregistré dans l'annuaire interne — pas sur le numéro affiché par l'appelant. Ce rappel de trente secondes suffit à confirmer que le dirigeant n'a rien demandé. La tentative échoue.

Ce scénario est représentatif de ce que nous observons dans les dossiers de TPE/PME qui ont subi ou évité une fraude : la procédure de rappel, même la plus simple, suffit dans la très grande majorité des cas. Le deepfake voix ne résiste pas à un rappel sur un canal indépendant.

La rapidité est déterminante. Chaque heure réduit les chances de récupérer les fonds.

1. Appeler immédiatement sa banque pour déclencher la procédure de rappel (recall) avant que les fonds soient dispersés vers d'autres comptes.
2. Déposer plainte auprès de la police ou de la gendarmerie. Préciser qu'il s'agit d'une escroquerie au virement (article 313-1 du Code pénal) et conserver toutes les preuves : courriels, numéros appelants, captures d'écran.
3. Signaler sur cybermalveillance.gouv.fr, qui oriente vers les démarches et des prestataires de remédiation.
4. Déclarer le sinistre à son assureur si un contrat cyber ou fraude couvre ce type de perte.
5. Vérifier si des données personnelles ont été compromises. Si l'attaque a impliqué une intrusion dans la messagerie ou un accès aux fichiers de l'entreprise, une fuite de données personnelles (salariés, clients, fournisseurs) peut être caractérisée. Dans ce cas, l'obligation de notification à la CNIL sous 72 heures (article 33 du RGPD) s'applique.

Lorsque le virement a été ordonné et validé par l'entreprise elle-même, la banque conteste le plus souvent toute responsabilité : l'opération a été authentifiée selon les procédures habituelles. Le débat se déplace alors sur son devoir de vigilance et l'existence d'anomalies apparentes — montant inhabituellement élevé, bénéficiaire inconnu à l'étranger, urgence manifeste — que la banque aurait dû relever avant d'exécuter.

La jurisprudence est nuancée et apprécie les faits au cas par cas. En pratique, l'entreprise qui n'avait pas de procédure de contrôle interne supporte largement la perte. C'est une raison supplémentaire de traiter la prévention comme une priorité, en lien avec votre conseil juridique et votre politique de cybersécurité PME.

Aucune taille d'entreprise n'est épargnée. Mais les structures de moins de 50 salariés présentent deux vulnérabilités spécifiques : une seule personne peut souvent déclencher un virement sans validation tierce, et les procédures de contrôle interne sont rarement formalisées.

Les escrocs préparent leurs attaques avec soin. Ils collectent des informations publiques — organigramme sur le site, noms des dirigeants, publications sur les réseaux sociaux, périodes de congés annoncées, communiqués de presse sur les nouvelles acquisitions ou les marchés signés. Ces données leur permettent de construire une mise en scène crédible.

La meilleure protection commence par la sobriété dans les informations exposées. Un cabinet comptable ou un bureau d'études qui publie son organigramme complet, les noms de ses responsables comptables et ses périodes de fermeture offre un terrain de repérage idéal. La cybersécurité des PME selon la directive NIS2 et l'automatisation sécurisée du back-office font partie du même périmètre de vigilance.

Les procédures ne fonctionnent que si elles sont connues, comprises et appliquées. Quelques leviers concrets :

• Formaliser les règles par écrit : un document d'une page suffit, cosigné par le dirigeant et accessible à tous les collaborateurs concernés.
• Sensibiliser régulièrement : une mise à jour trimestrielle de cinq minutes suffit à ancrer les réflexes. Partager un exemple d'attaque récente (anonymisé) rend la menace concrète.
• Organiser une simulation : envoyer un faux courriel de changement de RIB et observer comment les équipes réagissent permet d'identifier les maillons faibles avant qu'un vrai fraudeur le fasse.
• Ouvrir un canal de signalement interne : un collaborateur qui reçoit une demande suspecte doit pouvoir la remonter sans craindre d'être perçu comme difficile ou méfiant.
• Paramétrer les plafonds bancaires : certaines banques pro permettent de définir des plafonds de virement par profil utilisateur. Ce réglage limite le montant qu'une seule personne peut décaisser.

Au-delà du virement, les mêmes techniques alimentent d'autres fraudes par IA : hameçonnage vocal imitant un conseiller financier, faux support informatique demandant des accès, usurpation d'un expert-comptable pour collecter des pièces sensibles. La parade reste identique : vérifier par un canal indépendant avant d'agir.

En cas de procédure judiciaire liée à une fraude au virement, les questions posées concernent l'existence et l'application effective des procédures internes. L'absence totale de contrôle peut fragiliser une réclamation auprès de l'assureur ou une action en responsabilité contre la banque. La documentation des procédures a donc une valeur probatoire, pas seulement préventive.

Sur le volet RGPD, si la fraude a impliqué un accès non autorisé à des données personnelles, l'entreprise est tenue de notifier la CNIL dans les 72 heures suivant la découverte de la violation (article 33 du RGPD). L'omission de notification peut donner lieu à une sanction distincte de la fraude elle-même.

À jour au 2026-06-14. Cet article informe et ne remplace pas un conseil personnalisé. Pour votre situation, contactez un expert-comptable inscrit à l'Ordre.