Demander un diagnostic
Accueil/ Actualités/ La fausse facture et le faux changement de…

La fausse facture et le faux changement de RIB : anatomie d'une arnaque

Publié le 22 octobre 2025

Un e-mail anodin, un virement envolé

Tout commence par un message parfaitement banal. Un fournisseur que vous connaissez depuis des années vous écrit pour vous informer d'un changement de coordonnées bancaires. Le ton est courtois, la mise en page reprend son logo, la signature est la bonne, et le nouvel IBAN est joint dans un document propre. La comptable enregistre le nouveau relevé d'identité bancaire, paie la facture en cours, et passe à autre chose. Trois semaines plus tard, le vrai fournisseur relance : il n'a jamais été payé. L'argent est parti sur le compte d'un escroc.

Cette scène se joue chaque semaine dans des TPE et des PME de toutes tailles, à Saint-Rémy-de-Provence comme à Avignon, à Arles ou à Cavaillon. On l'appelle la fraude au faux fournisseur, ou fraude au changement de RIB. Elle appartient à une famille plus large, celle de la fraude aux virements, qui comprend aussi la fraude au président et le détournement de conversation après piratage d'une boîte mail. Ces arnaques n'exploitent presque jamais une faille technique sophistiquée. Elles exploitent la confiance, l'habitude et l'urgence.

La bonne nouvelle, c'est qu'on s'en protège efficacement, et sans être informaticien. La parade tient à quelques réflexes simples et à une procédure interne que toute l'entreprise applique sans exception. Cet article décrit les visages de cette fraude, les signaux qui doivent vous alerter, la procédure défensive à mettre en place, et la conduite à tenir si le virement est malheureusement déjà parti. Il ne décrit aucune méthode d'attaque : notre propos est uniquement de vous apprendre à reconnaître et à empêcher.

Les trois visages de la fraude au virement

Comprendre l'ennemi, c'est déjà se protéger. Ces escroqueries prennent des formes différentes, mais elles poursuivent toutes le même but : vous faire envoyer un virement, ou modifier des coordonnées bancaires, en vous faisant croire que la demande émane d'un interlocuteur légitime. Voici les trois variantes que l'on rencontre le plus souvent dans nos interventions.

Le faux fournisseur et le faux changement de RIB

C'est le scénario de notre introduction. Un escroc se fait passer pour l'un de vos fournisseurs habituels et vous annonce que ses coordonnées bancaires ont changé. Il vous demande de mettre à jour votre base et de régler les prochaines factures sur ce nouveau compte. Comme la relation commerciale est réelle et que les montants correspondent à des factures attendues, la vigilance baisse. La demande de changement de coordonnées bancaires est le cœur de l'arnaque : c'est le seul geste qui compte pour l'escroc.

La fraude au président

Ici, l'escroc se fait passer pour le dirigeant, le gérant ou un cadre dirigeant de l'entreprise. Il contacte directement la personne qui a la main sur les paiements, souvent la comptable ou l'assistante de direction, et lui demande d'effectuer un virement urgent et confidentiel : une acquisition en cours, une opération sensible à ne pas ébruiter, un fournisseur à régler en catastrophe. Le levier est double : l'autorité hiérarchique et le secret imposé, qui empêchent la personne de vérifier auprès de qui que ce soit.

La conversation détournée après piratage d'une boîte mail

C'est la variante la plus déroutante, parce que le message arrive réellement depuis la vraie adresse de votre interlocuteur. La boîte e-mail d'un fournisseur, d'un client ou d'un collaborateur a été compromise, et l'escroc s'insère dans une conversation existante, au bon moment, pour glisser une nouvelle consigne de paiement. Il n'y a ni faute d'orthographe ni adresse suspecte à repérer : le fil de discussion est authentique, seul le contenu a été détourné. Cette forme de fraude rappelle pourquoi la sécurité des messageries est un enjeu central, un sujet que nous abordons dans notre article sur les cinq réflexes de cybersécurité des TPE et PME.

Les signaux qui doivent vous alerter

Aucun de ces signaux, pris isolément, ne prouve une fraude. Mais leur accumulation doit déclencher un réflexe de vérification systématique. Apprenez à vos équipes à les repérer comme on apprend à un caissier à reconnaître un faux billet : par la répétition et par le doute méthodique.

  • Toute demande de changement de coordonnées bancaires. C'est le signal numéro un. Un nouvel IBAN, un changement de banque, une demande de régler « exceptionnellement » sur un autre compte : ces demandes doivent toujours, sans exception, déclencher une vérification indépendante. C'est le point sur lequel se joue la quasi-totalité de ces fraudes.
  • L'urgence et la pression. « C'est à régler aujourd'hui », « le fournisseur menace de bloquer la livraison », « je suis en réunion, ne m'appelez pas ». L'urgence sert à court-circuiter la réflexion et la vérification. Un interlocuteur légitime comprendra toujours que vous preniez le temps de contrôler.
  • Le secret et le contournement des procédures. Une demande qui insiste pour rester confidentielle, qui vous prie de ne pas en parler aux collègues ou de sauter l'étape de validation habituelle, est hautement suspecte. Les procédures existent précisément pour ces moments-là.
  • Une adresse e-mail qui diffère d'une seule lettre. L'escroc utilise parfois un domaine presque identique à celui de votre interlocuteur, avec une lettre ajoutée, retirée ou remplacée, ou une extension différente. À la lecture rapide, l'œil ne voit pas la différence. Il faut prendre l'habitude de lire l'adresse complète de l'expéditeur, caractère par caractère, et pas seulement le nom affiché.
  • Un changement de ton ou de canal. Un fournisseur qui vous écrivait toujours depuis une adresse et vous contacte soudain d'une autre, un dirigeant qui passe par un message texte alors qu'il téléphone d'ordinaire : tout changement d'habitude mérite un contrôle.
  • Un montant inhabituel ou un bénéficiaire nouveau. Un virement plus élevé que d'ordinaire, vers un pays inhabituel, ou vers un compte jamais utilisé auparavant, justifie une prudence renforcée.

Le piège de la conversation détournée mérite une insistance particulière : dans ce cas, l'adresse de l'expéditeur est authentique et aucun de ces signaux visuels n'apparaît. C'est pourquoi la vérification ne doit jamais reposer sur la seule apparence du message. Elle doit reposer sur une procédure, que nous détaillons maintenant.

La règle d'or : double validation de tout changement de RIB

Retenez cette phrase et affichez-la près du poste de la personne qui gère les paiements : aucune coordonnée bancaire n'est modifiée sur la seule foi d'un e-mail. Jamais. Un changement d'IBAN reçu par message, quel que soit l'expéditeur apparent, ne doit être enregistré qu'après une vérification par un canal indépendant. C'est la mesure la plus efficace, et de loin, contre l'ensemble de ces fraudes.

Concrètement, dès qu'une demande de changement de coordonnées bancaires arrive, la personne concernée met la demande en attente et contacte le fournisseur pour confirmer, en utilisant un moyen de contact qu'elle possédait déjà avant ce message. Tant que la confirmation n'est pas obtenue par ce canal indépendant, la facture est réglée sur l'ancien compte, connu et éprouvé, ou reste en attente. On ne paie jamais sur le nouveau compte avant d'avoir vérifié.

Cette règle doit être écrite dans une procédure interne, connue de toutes les personnes qui touchent aux paiements, et appliquée même quand la demande semble parfaitement légitime, même quand elle vient d'un fournisseur de confiance de longue date, même quand elle paraît anodine. C'est justement dans les cas qui « semblent évidents » que la fraude passe. La procédure n'est pas une marque de méfiance envers vos partenaires : c'est une hygiène de sécurité que les fournisseurs sérieux comprennent et respectent.

Le rappel sur un numéro connu, jamais celui de l'e-mail

Le canal de vérification le plus simple et le plus fiable est le téléphone. Mais attention, un piège s'y cache, et il fait échouer beaucoup de vérifications pourtant bien intentionnées. Le numéro à appeler ne doit jamais être celui indiqué dans l'e-mail suspect. Si l'escroc a rédigé le message, il y a placé son propre numéro, ou celui d'un complice, qui confirmera avec aplomb le faux changement de RIB.

La bonne pratique consiste à rappeler le fournisseur sur un numéro que vous déteniez déjà : celui d'un ancien bon de commande, d'une facture précédente authentique, de votre carnet de contacts, ou du site officiel de l'entreprise que vous cherchez vous-même. Vous décrochez, vous demandez à parler à votre interlocuteur habituel, et vous vérifiez de vive voix que le changement de coordonnées bancaires est bien réel. Ce simple appel, passé sur le bon numéro, fait tomber la quasi-totalité des tentatives.

Le tableau ci-dessous résume la différence entre une vérification qui protège et une vérification qui ne protège pas, parce qu'elle utilise les informations fournies par l'escroc lui-même.

SituationVérification trompeuseVérification qui protège
Canal de contrôleRépondre à l'e-mail reçuRappeler par téléphone sur un numéro déjà connu
Numéro utiliséCelui indiqué dans le message suspectCelui d'une facture ou d'un contact antérieur fiable
InterlocuteurCelui qui a envoyé la demandeLe contact habituel, joint de votre propre initiative
Moment du paiementAvant toute confirmationSeulement après confirmation par le canal indépendant
Compte crédité en cas de douteLe nouveau compte annoncéL'ancien compte connu, ou aucun tant que le doute persiste

Un principe résume tout : ne jamais vérifier une information à l'aide d'un canal fourni par la personne qui pourrait mentir. On sort du message, on utilise ses propres coordonnées, et on confirme de vive voix.

Seuil de contre-signature et séparation des rôles

Au-delà de la vérification au cas par cas, l'organisation de l'entreprise peut rendre la fraude beaucoup plus difficile. L'idée est simple : plus le montant est élevé, plus il faut de regards pour l'autoriser. On parle de seuil de contre-signature, ou de double validation des paiements.

Fixez, avec votre banque et en interne, un seuil au-delà duquel un virement exige la validation de deux personnes distinctes. La personne qui prépare le paiement n'est alors pas celle qui l'autorise définitivement. Cette séparation des rôles, courante dans les grandes structures, s'adapte parfaitement à une TPE ou une PME, même avec peu de collaborateurs. Elle transforme une décision solitaire, prise sous pression, en une décision partagée où le second regard a le temps et la légitimité de poser des questions.

Quelques mesures organisationnelles complètent utilement ce dispositif :

  • La double validation pour les montants importants et pour tout nouveau bénéficiaire. Un virement vers un compte jamais utilisé mérite un contrôle renforcé, quel que soit le montant.
  • Une procédure écrite et connue de tous. Chacun doit savoir qui valide quoi, à partir de quel seuil, et comment on vérifie un changement de coordonnées bancaires. Une procédure que personne ne connaît ne protège personne.
  • Le droit de dire non, y compris au dirigeant. La personne qui gère les paiements doit se sentir autorisée, et même encouragée, à suspendre un virement le temps de vérifier, même lorsque la demande semble venir de la direction. C'est la parade directe à la fraude au président.
  • La confirmation des consignes de paiement en interne. Une instruction de virement inhabituelle reçue par e-mail se confirme de vive voix ou en présentiel, jamais par simple retour de message.

Ces règles ne ralentissent l'activité que de quelques minutes, et seulement dans les cas sensibles. Comparé au montant d'un virement détourné, rarement récupérable, le calcul est vite fait.

Former les équipes comptables : le maillon décisif

La technologie ne fait rien ici : c'est un humain qui enregistre le RIB et déclenche le virement. La personne qui gère la comptabilité et les paiements est donc à la fois la cible privilégiée des escrocs et la meilleure ligne de défense de l'entreprise. Tout repose sur sa capacité à reconnaître un signal et à appliquer la procédure sans se laisser impressionner.

Former cette personne, et plus largement toutes celles qui approchent les paiements, est l'investissement le plus rentable en matière de sécurité. Une équipe formée sait qu'un changement de RIB se vérifie toujours, sait rappeler sur un numéro connu, sait résister à l'urgence et au secret, et sait qu'elle a le droit et le devoir de temporiser. Elle connaît aussi les scénarios, ce qui lui permet de les reconnaître au premier coup d'œil au lieu de les découvrir en pleine attaque.

Chez ELS Conseil, nous formons vos équipes à ces réflexes concrets, avec des exemples adaptés à votre activité et à vos fournisseurs habituels. Il ne s'agit pas d'un cours théorique, mais d'un entraînement pratique à la vigilance quotidienne. Découvrez nos formations à la sécurité et aux bons réflexes pour ancrer durablement ces automatismes. Ce travail de sensibilisation prolonge naturellement les mesures que nous décrivons pour reprendre la main sur les accès et les mots de passe, car la sécurité d'une entreprise se joue toujours autant dans les habitudes des personnes que dans les outils.

Une règle simple, répétée à chaque nouvel arrivant : dans cette entreprise, aucun changement de coordonnées bancaires n'est enregistré sans un appel de vérification sur un numéro que nous connaissions déjà.

Ne jamais céder à l'urgence : le réflexe qui sauve

Si vous ne deviez retenir qu'un seul principe de tout cet article, ce serait celui-ci : l'urgence est le principal outil de l'escroc, et prendre le temps est votre principale défense. Toutes ces fraudes reposent sur la fabrication d'un sentiment de précipitation qui empêche la victime de réfléchir et de vérifier. La pénalité qui menace, la livraison qui va être bloquée, le dirigeant injoignable qui exige une action immédiate : ce sont des ressorts psychologiques, pas des réalités.

Instaurez dans votre entreprise une culture où il est parfaitement normal, et même valorisé, de suspendre un paiement pour vérifier. Personne ne doit jamais être réprimandé pour avoir pris quelques minutes de contrôle avant un virement. À l'inverse, la précipitation doit être considérée comme le vrai risque. Un partenaire commercial honnête ne se vexera jamais d'un appel de vérification ; il l'appréciera même, car cela le protège lui aussi.

Ce réflexe se résume en une phrase à graver dans les esprits : face à une demande de paiement ou de changement de RIB qui presse, on ralentit, on sort du message, et on vérifie par un autre canal avant d'agir.

Le lien avec l'authentification des e-mails : SPF, DKIM et DMARC

Une partie de ces fraudes repose sur l'usurpation de l'adresse d'expéditeur, c'est-à-dire des messages qui semblent provenir d'un domaine légitime alors qu'ils n'en viennent pas. Des mécanismes techniques d'authentification des e-mails existent pour réduire ce risque : ils s'appellent SPF, DKIM et DMARC. Correctement configurés, ils aident les messageries à distinguer un e-mail réellement envoyé depuis un domaine des tentatives d'usurpation de ce domaine.

Ces protections jouent sur deux tableaux. D'une part, elles protègent votre propre domaine : elles rendent plus difficile l'envoi de faux messages se faisant passer pour votre entreprise, ce qui protège vos clients et vos fournisseurs contre une usurpation de votre identité. D'autre part, elles améliorent le filtrage des messages entrants frauduleux, en aidant votre messagerie à écarter certaines tentatives avant même qu'elles n'atteignent vos équipes. Nous expliquons en détail leur fonctionnement dans notre article dédié à SPF, DKIM et DMARC et à l'authentification des e-mails.

Un point de lucidité toutefois : ces mécanismes sont une couche de protection précieuse, mais ils ne sont pas une barrière absolue. Ils ne font rien contre la conversation détournée depuis une boîte réellement piratée, où le message part de la vraie adresse. Ils ne remplacent donc jamais la double validation d'un changement de RIB et le rappel sur un numéro connu. La sécurité tient à la superposition des défenses : l'authentification des e-mails d'un côté, une infrastructure et une messagerie bien administrées de l'autre, et par-dessus tout, des procédures humaines rigoureuses. Nos conseils sur les réseaux, la messagerie et la sécurité de votre infrastructure vous aident à poser des fondations techniques solides sous ces procédures.

Le virement est parti : que faire dans les heures qui suivent

Malgré la vigilance, il arrive que la fraude aboutisse. Si vous découvrez qu'un virement a été détourné, la rapidité de réaction est déterminante : chaque heure compte pour espérer bloquer ou récupérer les fonds. Voici les gestes à poser sans attendre, dans l'ordre.

  1. Contactez immédiatement votre banque. C'est la toute première démarche, à faire dans la minute où vous prenez conscience de la fraude, sans attendre. Demandez le blocage ou le rappel du virement. Si l'argent n'a pas encore été retiré du compte destinataire, il existe parfois une possibilité de le récupérer. Signalez à votre conseiller qu'il s'agit d'une fraude au virement et demandez la marche à suivre.
  2. Rassemblez les preuves. Conservez l'e-mail frauduleux, le faux RIB, l'ordre de virement, les échanges et tout élément utile. Ne supprimez rien : ces éléments seront nécessaires pour la banque, la plainte et l'enquête.
  3. Déposez plainte. Rendez-vous au commissariat ou à la gendarmerie pour déposer plainte, avec l'ensemble des preuves rassemblées. Le dépôt de plainte est indispensable, tant pour l'enquête que pour vos démarches ultérieures, notamment auprès de votre assurance si vous êtes couvert pour ce type de risque.
  4. Signalez et faites-vous accompagner via cybermalveillance.gouv.fr. La plateforme publique cybermalveillance.gouv.fr recense les démarches à suivre, oriente les victimes et met en relation avec des prestataires. C'est une ressource officielle et gratuite pour ne pas rester seul face à la situation.
  5. Prévenez vos interlocuteurs et vérifiez l'ampleur. Informez le vrai fournisseur, qui n'a pas été payé, et vérifiez qu'aucun autre changement de coordonnées n'a été enregistré à votre insu. Si une boîte mail a pu être compromise, faites-la sécuriser sans tarder et changez les mots de passe concernés.

Après la gestion de l'urgence vient le temps de tirer les leçons de l'incident : identifier par où la faille est passée, renforcer la procédure de vérification, et former à nouveau les équipes. Un incident bien analysé est aussi une occasion de solidifier durablement vos défenses.

Protéger votre trésorerie, c'est protéger votre entreprise

La fraude au faux fournisseur, la fraude au président et la conversation détournée ne ciblent pas que les grands groupes. Les TPE et PME de Saint-Rémy-de-Provence, des Alpilles, d'Avignon et d'Arles sont des cibles de choix, précisément parce qu'elles ont rarement formalisé de procédure de vérification. Or la parade ne coûte presque rien : une règle absolue de double validation de tout changement de RIB, un rappel systématique sur un numéro déjà connu, un seuil de contre-signature, des équipes formées, et le refus tranquille de céder à l'urgence.

Aucune de ces mesures n'exige d'être informaticien. Elles relèvent de l'organisation et de la culture d'entreprise, avec, en soutien, une infrastructure et une messagerie correctement configurées. Mises bout à bout, elles rendent votre trésorerie beaucoup plus difficile à détourner, et vos équipes beaucoup plus sereines face à une demande suspecte.

Chez ELS Conseil, à Saint-Rémy-de-Provence, nous aidons les entreprises des Alpilles et de la vallée de la Durance à mettre en place ces procédures, à sécuriser leur messagerie et à former leurs équipes comptables aux bons réflexes. Si cet article vous a fait repenser à un e-mail de changement de RIB que vous avez traité un peu vite, c'est le bon moment pour agir. Contactez-nous pour un diagnostic de vos procédures de paiement et de la sécurité de vos e-mails, ou appelez-nous au 04 13 41 85 81. Nous ferons le point ensemble, sans engagement, et vous repartirez avec une procédure claire à appliquer dès le prochain changement de coordonnées bancaires.

Une question sur votre informatique ?

Nos conseils s'appliquent à votre cas. Faisons le point ensemble, sans engagement.

Demander un diagnostic Tous les articles