Faux RIB fournisseur : 12 contrôles pour bloquer la fraude au virement en 2026

Réponse courte. La fraude au faux RIB fournisseur consiste à substituer, par e-mail piégé ou intrusion, les coordonnées bancaires d'un fournisseur légitime par celles d'un compte frauduleux. Aucun outil unique ne l'éradique ; seule une combinaison de 12 contrôles appliqués de bout en bout — du référencement tiers au virement signé — la neutralise. Cet article décrit ces 12 contrôles, hiérarchisés et compatibles avec une PME.

• Fraude par e-mail compromis (BEC) : un fraudeur usurpe une adresse fournisseur ou s'infiltre dans une boîte légitime, puis envoie un nouveau RIB.
• Fraude par usurpation directe : appel ou courrier prétendument envoyé par le fournisseur, demandant un changement de coordonnées.
• Fraude au président variante RIB : pression hiérarchique simulée pour valider en urgence un virement vers un nouvel IBAN.

Le point commun : le tiers est légitime, la facture est cohérente, seul l'IBAN est manipulé.

Référencement et mise à jour des tiers (1 à 4)#

1. Création des tiers par un acteur distinct du règlement (ségrégation des tâches).
2. RIB collecté en pièce jointe officielle (KBis, attestation bancaire), jamais sur la base d'un seul e-mail.
3. Validation de l'IBAN par appel téléphonique au fournisseur sur un numéro déjà connu (jamais sur le numéro indiqué dans l'e-mail nouveau).
4. Journal des modifications de RIB horodaté, conservé, auditable.

Réception et traitement de la facture (5 à 7)#

1. Rapprochement systématique facture / bon de commande / bon de réception.
2. Détection des anomalies de signature et de domaine (e-mails proches du domaine officiel : exemple.fr vs exemple-fr.com).
3. Procédure spéciale pour toute facture comportant un IBAN différent du référentiel : double validation obligatoire.

Paiement (8 à 10)#

1. Double regard signataire au-delà d'un seuil défini.
2. Liste blanche IBAN active dans l'outil de virement : tout IBAN nouveau force un délai d'attente.
3. Contrôle de cohérence pays / devise / nature du fournisseur.

Suivi et amélioration (11 et 12)#

1. Tests d'intrusion sociale réguliers (faux e-mails de changement de RIB).
2. Procédure d'incident documentée : qui prévenir, quels délais, dépôt de plainte (THESEE pour escroquerie en ligne, plainte locale pour le virement frauduleux).

La fraude au RIB ne relève ni d'un défaut comptable ni d'un défaut technologique : elle relève d'un défaut de processus. Aucune banque, aucun ERP ne remplace une chaîne de contrôles humains et logiciels articulée sur l'ensemble du cycle achats-paiements.

• Les PME les plus exposées sont celles dont la comptabilité fournisseurs dépend d'une seule personne.
• L'appel de validation sur un numéro de référence est le contrôle au meilleur ratio coût/efficacité ; c'est aussi le plus souvent négligé.
• La liste blanche IBAN dans le portail bancaire est devenue un standard, mais beaucoup d'entreprises ne l'activent pas par crainte de friction. La friction est précisément le contrôle.

Tracfin et la Banque de France soulignent que plus de 80 % des fraudes au virement réussies exploitent une faiblesse humaine, pas un défaut technique. Pression hiérarchique simulée, fatigue de fin de mois, routine de paiement : ce sont les terrains favorables. Un dispositif sans formation des équipes est inopérant.

• Qui est responsable du référentiel tiers ? Du paiement ? Du contrôle ?
• Quels seuils déclenchent un double regard, une liste blanche, un appel de validation ?
• Quelle fréquence de tests d'intrusion sociale ?
• Quelle procédure d'incident ? (qui contacte la banque dans la première heure)
• Quel niveau de couverture par l'assurance fraude ?

• Facturation électronique B2B : la réforme française modifie les canaux d'arrivée des factures ; les contrôles RIB doivent s'adapter.
• IA générative : les e-mails frauduleux deviennent plus crédibles. La règle « j'appelle pour valider » prend encore plus de poids.
• LCB-FT (CMF art. L.561-2) : les entités assujetties documentent leurs procédures de connaissance client et de vigilance.
• Conservation des données (CNIL) : les journaux de modification de RIB s'inscrivent dans les durées applicables aux données comptables.

1. Quelle responsabilité pèse sur le dirigeant en cas de fraude ? Le dirigeant est responsable de l'organisation des contrôles internes. Une fraude réussie sur un processus mal sécurisé peut engager sa responsabilité civile, voire pénale en cas de négligence caractérisée.

2. La banque rembourse-t-elle un virement frauduleux ? En règle générale, non, sauf défaillance du service bancaire. La fraude au RIB reposant sur un ordre valide signé par l'entreprise, le risque reste à la charge de l'entreprise.

3. Quelle plateforme de signalement utiliser ? THESEE pour les escroqueries en ligne, PERCEVAL pour la carte bancaire, plainte locale pour le virement frauduleux. Tracfin reste l'autorité de référence pour les déclarations de soupçon des entités assujetties.

4. Combien coûte la mise en place des 12 contrôles ? La majorité ne demande pas d'investissement logiciel : ce sont des règles d'organisation. Le coût principal est en formation et temps de mise en place.

5. Faut-il un référent fraude dédié ? Dans une PME, le rôle est généralement assumé par le DAF. Au-dessus d'un certain seuil ou pour les entités assujetties LCB-FT, un référent désigné est recommandé.

Mettre en place les douze contrôles d'un coup décourage les équipes. Une trajectoire en trois paliers est plus réaliste pour une PME.

Jours 1 à 30 — sécuriser l'urgent. Priorité aux contrôles de premier niveau : référentiel tiers durci, double validation IBAN avec callback sur un numéro vérifié indépendamment de l'e-mail reçu, signature à double regard sur tout virement supérieur à un seuil défini, blocage automatique des paiements vers un IBAN modifié dans les 30 derniers jours sans nouvelle validation. Une sensibilisation flash de l'équipe comptabilité fournisseurs et de l'assistante de direction est à prévoir dès la première semaine, car ce sont les cibles préférées de l'ingénierie sociale. Objectif : éliminer 80 % du risque résiduel sur les flux les plus exposés. Le coût est essentiellement procédural, très peu d'outillage.

Jours 31 à 60 — industrialiser. Déploiement des contrôles de cohérence : contrôle raison sociale / IBAN via un service tiers (vérification de titulaire SEPA), trace écrite obligatoire de chaque modification de RIB dans un workflow dédié, escalade DAF au-delà d'un seuil prédéfini, whitelist par défaut des pays SEPA autorisés. Mise à jour des conditions générales d'achat et des courriers types adressés aux fournisseurs pour rappeler les règles internes (pas de modification d'IBAN par e-mail, canal obligatoire pour les mises à jour légitimes). Briefing du commissaire aux comptes sur le dispositif, pour que la prochaine mission le couvre.

Jours 61 à 90 — durcir et auditer. Test d'intrusion social engineering simulé sur l'équipe achats et la direction, exercice de fraude annuel avec retour d'expérience documenté, intégration du dispositif au plan de continuité d'activité. Rapport de synthèse au comité d'audit ou à la direction générale. À ce stade, le dispositif devient également auditable par des tiers externes : assureur (risque cyber), banquier, commissaire aux comptes, acquéreur potentiel en due diligence.

Au-delà du jour 90 — routine. Indicateurs mensuels (nombre d'IBAN modifiés, taux de double validation, alertes traitées, pertes évitées) et revue annuelle complète du dispositif. Ce phasage évite l'effet « grand projet » qui retarde indéfiniment la mise en œuvre. Les premières mesures, gratuites ou peu coûteuses, divisent déjà significativement le risque. L'effet cumulé vient ensuite, par ancrage culturel du réflexe « deux yeux, deux canaux » dans l'équipe finance.

Ce phasage 90 jours est aussi une grille de négociation utile avec les assureurs cyber : les polices fraude au virement exigent de plus en plus la preuve d'une double validation et d'un contrôle de modification d'IBAN avant toute indemnisation. Documenter chaque jalon sert à la fois la dimension opérationnelle et la dimension contractuelle.

La fraude au faux RIB fournisseur ne se neutralise pas par un outil mais par un dispositif combinant procédures, ségrégation des tâches, listes blanches, appels de validation et formation. Les 12 contrôles présentés ici constituent le socle minimum pour une PME en 2026.

Si vous souhaitez auditer ou renforcer votre dispositif anti-fraude, notre équipe accompagne dirigeants et DAF dans la conception et la mise en œuvre de procédures de contrôle interne adaptées au profil de risque.

À jour au 5 mai 2026.