Faux RIB fournisseur en PME : le contrôle simple à imposer avant qu'un virement ne parte
Dans une PME, la fraude au faux RIB arrive rarement avec fracas. Elle se glisse dans un e-mail crédible, une échéance tendue, une comptabilité pressée. Pourtant, une vérification d'IBAN fournisseur très simple suffit souvent à bloquer une fraude au virement en entreprise avant qu'elle ne coûte cher.
Le faux changement d'IBAN arrive toujours au mauvais moment
Le scénario est connu, et il fonctionne justement parce qu'il paraît banal. Un fournisseur annonce une fusion bancaire, un changement d'agence, parfois un simple "merci de prendre en compte nos nouvelles coordonnées". Le message tombe juste avant une échéance, ou au milieu d'une série de règlements. Rien d'extraordinaire. C'est même cela qui le rend dangereux.
Dans les TPE et PME, la cybersécurité de la comptabilité ne se joue pas seulement sur des antivirus ou des pare-feu. Elle se joue aussi dans les gestes quotidiens, là où un e-mail semble cohérent avec une relation commerciale déjà installée. Quand le nom du fournisseur est bon, que la signature ressemble à l'originale et que le ton n'a rien d'alarmant, l'esprit baisse un peu la garde.
Les fraudeurs le savent. Ils exploitent surtout la confiance, l'habitude et la vitesse. Une petite structure n'est pas moins visée qu'un grand groupe. Elle est parfois plus exposée, parce que les contrôles y sont plus informels et les circuits de validation plus courts.
Pourquoi cette fraude passe encore dans des structures très organisées
On croit souvent que seule une entreprise désordonnée peut tomber dans ce piège. En réalité, même une équipe sérieuse peut valider un faux RIB. La raison est simple : le risque ne vient pas d'une seule erreur, mais d'une succession de signaux faibles que personne ne recolle à temps.
Un message peut provenir d'une boîte compromise, ou d'un domaine presque identique. Il peut aussi s'appuyer sur des informations déjà connues : nom du comptable, fournisseur habituel, calendrier de paiement, référence de facture. Dès lors, la demande semble s'inscrire dans le flux normal.
C'est précisément là que la sécurité de la messagerie en PME rejoint l'organisation interne. Nous le constatons souvent lors d'un accompagnement plus large en cybersécurité et messagerie : quand les droits d'accès sont trop ouverts, quand l'authentification est incomplète, ou quand une boîte partagée sert à tout, la fraude trouve une entrée discrète, presque silencieuse.
Les signaux faibles qu'une équipe pressée laisse passer
Certains indices reviennent souvent. L'adresse d'expédition n'est pas exactement la bonne. Le ton devient légèrement plus sec. Le RIB arrive en pièce jointe sans être attendu. Le message demande d'agir "dès aujourd'hui". Et surtout, le changement intervient sans autre contexte commercial.
Pris séparément, ces éléments paraissent minces. Ensemble, ils forment un motif. Le problème, c'est qu'en comptabilité, on traite du volume. On ouvre, on contrôle, on valide. À la fin d'une journée chargée, le regard glisse. C'est humain.
Un autre point mérite d'être dit franchement : un PDF propre n'est pas une preuve. Beaucoup d'équipes continuent d'accorder une confiance excessive à un document bien présenté. Or, la forme ne protège rien. Elle rassure seulement.
Le contrôle simple qui évite le mauvais virement
La règle la plus efficace est aussi la moins spectaculaire : aucun changement de coordonnées bancaires ne doit être pris en compte sur la seule base d'un e-mail. Jamais. Même si le message semble venir du bon contact.
Concrètement, mettez en place une procédure en trois temps.
- Bloquer la modification tant qu'une vérification indépendante n'a pas eu lieu.
- Rappeler le fournisseur via un numéro déjà connu dans vos dossiers, vos contrats ou votre ERP - jamais via le numéro indiqué dans l'e-mail reçu.
- Faire valider par une seconde personne avant toute mise à jour dans l'outil comptable ou bancaire.
Cette double vérification prend quelques minutes. Elle peut éviter des semaines de démarches, sans garantie de récupération des fonds. Si votre entreprise prépare aussi ses flux administratifs autour de la facture électronique, c'est le bon moment pour formaliser cette règle : plus les circuits se numérisent, plus la validation des données sensibles doit être explicite.
Quand un RIB modifié se glisse dans une boîte partagée
Dans une PME de services à Saint-Maur-des-Fossés, la demande semblait banale. Un fournisseur récurrent annonçait un nouvel IBAN pour les règlements du mois. Le message avait atterri dans une boîte comptable partagée, consultée par plusieurs personnes, avec un historique de réponses déjà dense. Rien ne sonnait faux au premier regard.
Le doute est venu d'un détail presque anodin : l'adresse affichée était correcte, mais le domaine réel comportait une variation minuscule. L'équipe a suspendu le paiement et demandé une vérification hors e-mail. Le fournisseur, joint sur son standard habituel, n'avait jamais envoyé ce document. Le virement n'est pas parti.
Ce type d'écart, nous le traitons souvent dans des missions d'infogérance et de sécurisation du parc ou lors d'un travail ciblé sur la messagerie électronique professionnelle. Parfois, il ne manque pas grand-chose : un contrôle d'authentification, une revue des droits, un meilleur usage des boîtes communes. La fraude, elle, se contente de cette petite faille.
Les réglages techniques qui réduisent le risque en amont
La procédure humaine reste centrale, mais elle ne suffit pas toujours. Côté technique, quelques bases réduisent nettement l'exposition.
- Activer l'authentification multifacteur sur les comptes de messagerie et les accès sensibles.
- Limiter les droits d'accès aux boîtes partagées et aux documents fournisseurs.
- Surveiller les règles de transfert ou les redirections créées discrètement dans la messagerie.
- Renforcer l'antispam et l'analyse des liens pour filtrer les messages suspects.
- Journaliser les changements d'IBAN dans l'ERP, l'outil comptable ou les procédures internes.
En complément, un audit ciblé en Île-de-France ou à distance permet souvent d'identifier les angles morts très concrets : comptes trop permissifs, absence de journal de validation, boîte comptable exposée, mots de passe réutilisés. Ce n'est pas théorique. C'est là que les fraudes passent, ou renoncent.
Pour les repères utiles et les réflexes institutionnels, les ressources de Cybermalveillance.gouv.fr et de l'ANSSI restent précieuses.
Si le virement est déjà parti, il faut agir sans attendre
Le premier réflexe est bancaire : contacter immédiatement votre banque pour demander un rappel ou un gel des fonds, si cela reste possible. Ensuite, il faut préserver les preuves - e-mails, en-têtes, pièce jointe, journal d'accès - puis déposer plainte et signaler l'incident aux bons interlocuteurs.
Il faut aussi comprendre l'origine : simple usurpation externe, boîte fournisseur compromise, ou compte interne exposé. Sans cette analyse, l'entreprise risque de corriger l'effet et de laisser la cause en place. Le second incident arrive alors souvent plus vite qu'on ne l'imagine.
Transformer ce contrôle en habitude utile
Le bon dispositif n'est pas celui qui impressionne, mais celui que l'équipe applique encore dans six mois. Une règle courte, écrite, relue avec la comptabilité, suffit souvent : tout changement d'IBAN se vérifie hors e-mail, via un contact déjà connu, puis se valide à deux. C'est simple, oui, et c'est précisément pour cela que cela tient. Si vous voulez sécuriser ce point sans alourdir le quotidien, nous pouvons vous aider à cadrer la procédure, la messagerie et les droits d'accès dans un cadre plus large d'accompagnement et d'avis d'experts. En matière de fraude, la sobriété protège mieux que les grands discours.