Fraude au virement en PME : le protocole anti-fraude que tout dirigeant doit déployer en 2026
Faux président, usurpation de RIB fournisseur, ingénierie sociale : la fraude au virement coûte plusieurs centaines de millions d'euros par an aux entreprises françaises. Le protocole opérationnel à mettre en place dès demain.
Note de l'expert : Cet article a été rédigé par notre cabinet d'expertise comptable. Les informations sont à jour en 2026. Pour une étude personnalisée de votre situation, contactez-nous.
Un mardi après-midi, votre comptable reçoit un mail signé du président, en déplacement, demandant un virement urgent et confidentiel vers un nouveau compte. La signature est correcte, le ton crédible, le numéro IBAN bien formaté. 47 minutes plus tard, 284 000 euros ont quitté la trésorerie. Aucune erreur technique : juste une chaîne de contrôles trop souple. Selon l'Observatoire de la sécurité des moyens de paiement de la Banque de France, les fraudes aux virements (FOVI inclus) restent l'un des postes les plus coûteux pour les entreprises françaises, avec des pertes cumulées de plusieurs centaines de millions d'euros chaque année.
Cet article propose un protocole anti-fraude opérationnel pour les PME (10 à 250 salariés), construit autour de neuf contrôles internes, du cadre juridique du Code monétaire et financier et des bons réflexes en cas d'incident.
Cet article est une synthèse pédagogique : il ne se substitue pas à un avis bancaire, juridique ou cyber spécialisé. En cas d'incident, contactez immédiatement votre banque, votre conseil et déposez plainte.
Résumé exécutif#
- Trois familles de fraude dominent : fraude au président (usurpation de l'identité du dirigeant), fraude au faux fournisseur (modification d'IBAN), fraude au faux technicien bancaire (prise de contrôle à distance).
- Le risque ne se règle pas par un outil : il se règle par un protocole de contrôle interne combinant séparation des tâches, double validation et canal indépendant de vérification.
- Le délai de réaction est critique : sous 24 à 48 heures, une procédure de rappel de virement (recall SEPA) peut limiter la perte ; au-delà, la récupération devient improbable.
- L'article L. 133-18 du Code monétaire et financier prévoit le remboursement par la banque des opérations non autorisées, mais la jurisprudence est sévère lorsque la négligence du donneur d'ordre est caractérisée.
1. Comprendre les trois schémas de fraude dominants#
Fraude au président (FOVI)#
L'attaquant usurpe l'identité du dirigeant, généralement par e-mail (parfois doublé d'un appel ou d'un message vocal cloné par IA). Il sollicite un comptable, un assistant ou un trésorier pour un virement présenté comme urgent, confidentiel et exceptionnel : acquisition imminente, redressement fiscal à régler, paiement à un nouveau partenaire stratégique. La cible est généralement isolée, le scénario joue sur l'autorité hiérarchique.
Fraude au faux fournisseur (changement d'IBAN)#
Un fournisseur réel et habituel envoie soi-disant un courrier ou un mail demandant la mise à jour de ses coordonnées bancaires. L'IBAN frauduleux est substitué dans le référentiel fournisseurs. La fraude n'apparaît qu'à la prochaine relance du fournisseur authentique : un à trois mois plus tard, lorsque la récupération est devenue presque impossible.
Fraude au faux technicien bancaire ou éditeur#
L'attaquant se présente comme un technicien de la banque ou de l'éditeur de l'outil de paiement. Il demande l'installation d'un logiciel d'assistance à distance ou la communication d'un code à usage unique « pour test ». Une fois le poste contrôlé, il déclenche des virements depuis l'environnement légitime du salarié.
2. Cadre juridique : ce que dit le Code monétaire et financier#
L'article L. 133-18 impose au prestataire de services de paiement de rembourser immédiatement le montant d'une opération non autorisée signalée sans tarder par le client. Mais l'article L. 133-19 prévoit que la responsabilité du payeur peut être engagée en cas de négligence grave dans la préservation des dispositifs de sécurité ou en cas de manquement intentionnel à ses obligations.
La jurisprudence de la Cour de cassation considère régulièrement que la transmission d'un code 3D Secure ou d'un mot de passe à un tiers caractérise une négligence grave excluant le remboursement. À l'inverse, lorsque le salarié a été trompé par un montage sophistiqué (faux site, ingénierie sociale poussée), la banque peut être condamnée à rembourser.
Conséquence pratique : un protocole interne robuste n'est pas qu'un outil de prévention ; c'est aussi un élément de preuve essentiel en cas de contentieux avec la banque ou avec l'assureur cyber.
3. Les 9 contrôles internes du protocole anti-fraude#
| # | Contrôle | Mise en œuvre |
|---|---|---|
| 1 | Double validation systématique | Tout virement supérieur à un seuil défini (par ex. 5 000 €) requiert deux signatures électroniques distinctes. |
| 2 | Séparation des tâches | La personne qui crée le bénéficiaire dans l'outil bancaire ne peut pas valider seule un virement vers ce bénéficiaire. |
| 3 | Vérification IBAN par canal indépendant | Tout changement de RIB fournisseur fait l'objet d'un appel téléphonique au numéro historique du fournisseur (jamais celui figurant sur le mail reçu). |
| 4 | Délai de carence sur nouveau bénéficiaire | Aucun virement vers un IBAN nouvellement saisi ne peut être exécuté dans les 24 à 48 heures suivant sa création. |
| 5 | Plafonds quotidiens et listes blanches | Plafonds journaliers stricts, virements internationaux soumis à autorisation expresse, IBAN hors UE en liste blanche obligatoire. |
| 6 | Procédure « urgence présidentielle » | Aucun virement urgent ne peut être déclenché sur la seule base d'un e-mail ou d'un appel. Validation par un canal de contrôle préétabli (mot-code, appel à un numéro mémorisé). |
| 7 | Sensibilisation trimestrielle | Sessions courtes pour comptables, assistants et trésoriers : exemples réels, simulations, quiz. |
| 8 | Sécurité du poste de travail | MFA obligatoire pour l'accès au portail bancaire, antivirus à jour, pas de partage de session, pas d'installation d'outils d'assistance distante non autorisés. |
| 9 | Réconciliation bancaire quotidienne | Rapprochement automatisé entre comptabilité et relevés bancaires : un virement frauduleux doit être détecté dans les 24 heures. |
Exemple chiffré pédagogique#
Une PME industrielle de 60 salariés met en place les contrôles 1, 3 et 4. Trois mois plus tard, un mail demande la mise à jour de l'IBAN d'un fournisseur récurrent (45 000 € mensuels). Le contrôle 3 déclenche un appel au fournisseur sur son numéro historique : la fraude est détectée avant le premier virement. Coût évité : 45 000 € sur le seul mois courant, sans compter la durée non plafonnée de la fraude si elle avait abouti.
4. Procédure d'urgence en cas de virement frauduleux constaté#
- Heure 0 — Alerter immédiatement la cellule fraude de la banque (numéro dédié, à afficher dans la salle finance) pour déclencher un rappel SEPA ou un blocage si le virement n'est pas exécuté.
- Heure +1 — Préserver l'intégralité des preuves numériques : mails, journaux d'accès, relevés bancaires, captures d'écran. Ne pas éteindre les postes potentiellement compromis avant intervention.
- Heure +4 — Déposer plainte en gendarmerie ou commissariat (citer l'article 313-1 du Code pénal sur l'escroquerie et l'article 323-1 sur l'accès frauduleux à un système de traitement automatisé de données si pertinent).
- Heure +24 — Déclarer l'incident à la CNIL s'il y a fuite de données personnelles (article 33 du RGPD), à l'assureur cyber, et signaler sur cybermalveillance.gouv.fr.
- Jour +1 à +5 — Audit interne : par où la chaîne s'est-elle rompue ? Mettre à jour le protocole, communiquer en interne sans stigmatiser le salarié trompé.
Notre analyse d'expert-comptable#
Dans nos missions de revue de contrôle interne auprès de PME, nous constatons que le maillon le plus fragile n'est jamais l'outil bancaire — il est souvent excellent — mais la chaîne organisationnelle : un comptable seul, sans suppléant formé, qui valide en flux tendu sous pression hiérarchique. La fraude exploite cette vulnérabilité humaine et organisationnelle, pas une faille technique. Le protocole en 9 points ci-dessus n'est pas une recommandation théorique : c'est ce que nous mettons en place avec nos clients après chaque incident, et qui a permis à plusieurs d'entre eux d'éviter des fraudes répétées.
Le risque sous-estimé#
Au-delà de la perte directe, la fraude au virement génère trois risques secondaires :
- Risque de réputation interne : le salarié trompé démissionne souvent dans les six mois, par honte ou perte de confiance.
- Risque assurantiel : si l'assureur cyber considère que le protocole n'a pas été respecté, l'indemnisation peut être réduite ou refusée.
- Risque fiscal et social : dans certains montages, des sommes détournées peuvent être requalifiées par l'administration si elles ne sont pas correctement comptabilisées en perte exceptionnelle.
Ce que le dirigeant doit décider#
- Désigner un référent fraude dans l'entreprise, distinct du comptable.
- Inscrire le protocole anti-fraude dans les délégations de pouvoir et le règlement intérieur.
- Vérifier que la police d'assurance cyber couvre bien le détournement de virement (clause FOVI explicite).
- Auditer la chaîne d'achats et de paiements au moins une fois par an par un tiers indépendant (expert-comptable, commissaire aux comptes, prestataire spécialisé).
Points de vigilance 2026#
- Voix clonée par IA : les attaquants utilisent désormais des extraits de visioconférence publique pour cloner la voix du dirigeant. Un appel téléphonique seul ne suffit plus à authentifier une demande sensible.
- Virement instantané SEPA Instant : généralisé en 2025 (règlement UE 2024/886), il rend la fraude quasi irréversible. Maintenir les seuils et listes blanches même en mode instantané.
- Vérification du bénéficiaire (Verification of Payee) : déployée progressivement par les banques européennes ; à activer dans vos paramètres dès qu'elle est disponible.
- Phishing multi-canal : SMS, WhatsApp, LinkedIn et même appels Teams sont désormais des vecteurs courants. La sensibilisation doit couvrir tous les canaux.
Questions fréquentes
1. Notre banque doit-elle systématiquement nous rembourser en cas de fraude au virement ?+
Non. L'article L. 133-18 du Code monétaire et financier impose le remboursement des opérations non autorisées, mais l'article L. 133-19 permet à la banque d'écarter le remboursement en cas de négligence grave du payeur. La jurisprudence considère souvent que la transmission d'un code à un tiers ou l'absence manifeste de contrôle interne caractérise cette négligence.
2. Quelle est la différence entre un virement « non autorisé » et un virement « autorisé sous tromperie » ?+
Juridiquement, la différence est majeure. Un virement non autorisé est exécuté sans le consentement du payeur et donne droit à remboursement. Un virement autorisé sous tromperie (le comptable a bien validé le virement, en pensant qu'il était légitime) est plus difficile à contester : la banque considère qu'il y a eu consentement formel.
3. Une assurance cyber suffit-elle à couvrir le risque de fraude au virement ?+
Non, et c'est une erreur fréquente. Les polices cyber standard couvrent les incidents informatiques (ransomware, fuite de données) mais pas toujours la fraude par ingénierie sociale sans intrusion technique. Il faut souscrire une extension FOVI / fraude au président explicite, avec un capital adapté à votre exposition.
4. Faut-il signaler la fraude même si la banque a réussi à bloquer le virement ?+
Oui. Le signalement à cybermalveillance.gouv.fr et à la plateforme PHAROS alimente les bases de données nationales et permet d'identifier des réseaux organisés. Il est également utile pour votre dossier d'assurance et pour le rapport au commissaire aux comptes le cas échéant.
5. Le télétravail aggrave-t-il le risque de fraude au virement ?+
Oui, mécaniquement. Le télétravail isole les salariés, supprime les vérifications informelles (« tu as vu cet IBAN bizarre ? ») et augmente l'usage de canaux numériques (mail, chat) au détriment du face-à-face. Le protocole doit explicitement traiter le télétravail : pas de virement validé en solo depuis le domicile au-delà d'un seuil défini.
Conclusion#
La fraude au virement est un risque permanent, en mutation rapide avec l'IA générative et les paiements instantanés. Aucun outil ne remplace un protocole organisationnel rigoureux, formalisé, audité et révisé. Sa mise en place se fait en quelques semaines ; son absence peut détruire des mois de marge en 47 minutes.
À jour au 28 avril 2026.
Article rédigé par Hayot Expertise
Expert-Comptable diplômé, inscrit au Tableau de l'Ordre des Experts-Comptables.
Cabinet d'expertise comptable et de commissariat aux comptes base a Paris 8, pense pour accompagner des entreprises partout en France avec une approche digitale et orientee decision.
Sources du dossier
Sources officielles et de reference citees pour cette page.
- Légifrance — Code monétaire et financier art. L. 133-18 (opérations non autorisées)
- Banque de France — Observatoire de la sécurité des moyens de paiement
- Cybermalveillance.gouv.fr — Faux ordres de virement (FOVI)
- Service-public.fr — Escroquerie et fraude aux moyens de paiement
- ACPR — Recommandations sur la sécurité des paiements
- CNIL — Sécurité des données et incidents de paiement
- Plateforme PHAROS — Signalement (signal-arnaques.com)
Ce sujet relève de notre mission Tenue comptable à Paris | Révision, clôture, liasse
Besoin d'un devis ou d'un conseil personnalisé ?
Notre cabinet d'expertise comptable vous accompagne dans toutes vos démarches. Obtenez un devis gratuit pour analyser votre situation et vous proposer une offre tarifaire sur-mesure ou contactez-nous directement.