Les escroqueries bancaires en entreprise

par

Dernière mise à jour le 27 mai 2026

La fraude bancaire en entreprise est devenue l’un des risques financiers les plus sérieux pour les dirigeants et leurs équipes. En France, plus de 2 entreprises sur 3 déclarent avoir été victimes d’au moins une tentative de fraude au cours d’une année, selon les enquêtes annuelles de la DFCG (Association Nationale des Directeurs Financiers). Les montants détournés peuvent atteindre plusieurs centaines de milliers d’euros, parfois en un seul virement.

Ces escroqueries ne ciblent pas uniquement les grandes entreprises : les TPE et PME sont des cibles de choix, précisément parce qu’elles disposent de moins de procédures de contrôle. Et si les périodes estivales restent propices aux attaques (absences, remplaçants moins expérimentés), les fraudeurs opèrent désormais toute l’année, avec des techniques de plus en plus sophistiquées — y compris l’intelligence artificielle.

Dans cet article, nous faisons le point sur toutes les formes d’escroqueries bancaires qui menacent les entreprises aujourd’hui, et sur les mesures concrètes pour s’en protéger.

Quelles sont les escroqueries bancaires existantes ?

La fraude au président

La fraude au président consiste pour l’escroc à se faire passer pour un cadre dirigeant de la société lors d’un appel à une personne du service comptabilité/trésorerie.

A force de persuasion et parfois à l’aide de faux documents (fausses factures, falsification d’e-mail), il va demander à son interlocuteur d’effectuer un virement. En prétendent également que les opérations sont confidentielles il fait en sorte de s’assurer du silence du salarié.

Le faux technicien bancaire

La fraude au faux technicien bancaire consiste pour l’escroc à se faire passer pour une personne travaillant au sein du service d’assistance de la banque lors d’un appel à une personne chargée des relations avec la banque. Il va prétexter une opération de maintenance ou un incident technique. Il lui soutirera alors les identifiants de connexion au site bancaire ou prendra le contrôle de l’ordinateur à distance.

Le faux fournisseur

L’escroquerie au faux fournisseur consiste à envoyer au service commercial ou comptable de l’entreprise un document reprenant le papier en-tête du vrai fournisseur indiquant un changement de compte bancaire. Ce document est envoyé via voie postale ou électronique. Dans ce dernier cas, l’adresse e-mail de l’escroc diffère souvent à une lettre près de l’adresse du vrai fournisseur. Le comptable modifie alors le compte et tous les virements se font ensuite sur le compte bancaire de l’escroc.

Le logiciel malveillant

Cette fraude consiste à envoyer des “malwares”. Il s’agit de logiciels malveillants installés sur les ordinateurs lorsque le salarié clique sur un lien ou télécharge une pièce jointe figurant dans un e-mail. Une fois le logiciel installé, le salarié accède à une fausse page de connexion. Les escrocs peuvent ainsi récupérer les identifiants.

La compromission de messagerie professionnelle (BEC)

La fraude BEC (Business Email Compromise) est aujourd’hui l’une des plus répandues et des plus dangereuses. Elle consiste pour l’escroc à prendre le contrôle d’une vraie boîte mail professionnelle (celle d’un dirigeant, d’un comptable ou d’un fournisseur), via du phishing ou un mot de passe volé.

Une fois à l’intérieur, il surveille les échanges pendant plusieurs jours ou semaines, attend le bon moment (une transaction en cours, un changement de RIB attendu) et envoie un email parfaitement crédible depuis la vraie adresse. La victime n’a aucune raison de se méfier : l’expéditeur est authentique.

Le spear phishing (hameçonnage ciblé)

Contrairement au phishing classique envoyé en masse, le spear phishing est un email personnalisé et ciblé. L’escroc a préalablement collecté des informations sur l’entreprise (LinkedIn, site web, réseaux sociaux) pour rédiger un message convaincant : il connaît le nom du destinataire, son poste, celui de son dirigeant, voire des projets en cours. L’objectif est le même : inciter à cliquer sur un lien, télécharger une pièce jointe malveillante ou effectuer un virement.

La fraude au faux RIB

Distincte de la fraude au faux fournisseur, la fraude au faux RIB peut viser n’importe quel type de paiement : salaires, remboursements, acomptes clients. L’escroc intercepte ou falsifie un document contenant un RIB (contrat, devis, facture) et remplace les coordonnées bancaires par les siennes. Elle peut aussi toucher les salariés eux-mêmes, via une demande de modification de RIB transmise aux RH par un faux email.

Le deepfake audio et vidéo

Apparu avec l’essor de l’intelligence artificielle, le deepfake est la fraude la plus récente et l’une des plus redoutables. Les escrocs utilisent des outils d’IA pour cloner la voix ou l’image d’un dirigeant et passer un appel téléphonique ou une visioconférence convaincants. Le faux dirigeant demande alors un virement urgent et confidentiel. Plusieurs entreprises européennes ont perdu des millions d’euros via cette technique depuis 2022.

Quels sont les différents signaux qui doivent vous alerter?

Voici différents signaux d’alerte auxquels il faut être attentif :

  • Un interlocuteur habituel vous demande soudainement de changer ses coordonnées bancaires par email, même depuis sa vraie adresse.
  • Un appel ou une visio d’un dirigeant demandant un virement urgent, inhabituel et confidentiel (même si la voix ou le visage vous semblent familiers).
  • Toute demande de changement de coordonnées bancaires reçue par email ou courrier, sans confirmation par un autre canal.
  • Un email très personnalisé, avec un ton d’urgence, vous demandant une action rapide (paiement, clic, téléchargement).

Tableau récapitulatif des fraudes

Type de fraudeMécanismeCible principaleSignal d’alerte clé
Fraude au présidentAppel en se faisant passer pour un dirigeantComptable / trésorierUrgence + confidentialité demandées
Faux technicien bancaireAppel prétextant une maintenanceResponsable bancaireDemande d’identifiants ou prise en main à distance
Faux fournisseurFaux document annonçant un changement de RIBComptabilité fournisseursEmail avec adresse proche de l’originale
Logiciel malveillantLien ou pièce jointe infectéeTout salariéEmail inattendu avec pièce jointe ou lien
BEC (compromission email)Prise de contrôle d’une vraie boîte mailComptabilité / directionDemande de RIB depuis une adresse connue
Spear phishingEmail ciblé et personnaliséTout salarié exposéTon urgent, informations très précises sur l’entreprise
Faux RIBRemplacement de coordonnées bancaires sur un documentRH / comptabilitéChangement de RIB reçu sans confirmation verbale
Deepfake audio/vidéoVoix ou visage du dirigeant cloné par IAComptable / trésorierVirement urgent et confidentiel demandé oralement

Comment se prémunir contre les escroqueries bancaires en entreprise ?

La prévention repose sur trois piliers : les procédures internes, la sensibilisation des équipes et la sécurité informatique.

Mettre en place des procédures de contrôle strictes

C’est la mesure la plus efficace. Aucun virement important ne devrait être exécuté sur la seule initiative d’une personne :

  • Appliquer le principe des quatre yeux : tout virement au-delà d’un certain seuil doit être validé par deux personnes distinctes.
  • En cas de demande de changement de RIB (fournisseur, salarié, client), toujours rappeler l’interlocuteur sur un numéro connu — jamais sur celui fourni dans le document suspect.
  • Mettre en place une liste blanche de RIB validés pour les fournisseurs réguliers, modifiable uniquement après vérification renforcée.
  • Ne jamais effectuer un virement dans l’urgence, même si la demande semble venir d’un dirigeant : l’urgence est précisément le levier principal des escrocs.

Sécuriser les accès informatiques et bancaires

  • Activer l’authentification à double facteur (2FA) sur tous les accès bancaires en ligne et messageries professionnelles.
  • Ne jamais communiquer d’identifiants bancaires par téléphone : aucune banque ne demande ces informations à ses clients.
  • Maintenir les antivirus, pare-feu et systèmes d’exploitation à jour.
  • Former les équipes à reconnaître les tentatives de phishing et ne jamais cliquer sur un lien douteux.

Sensibiliser et former régulièrement les équipes

  • Organiser au moins une session de sensibilisation annuelle pour les équipes comptables, financières et RH.
  • Diffuser des exemples concrets de tentatives reçues dans l’entreprise ou dans le secteur.
  • Créer un réflexe de vérification systématique : en cas de doute, on vérifie avant d’agir, sans craindre de paraître méfiant.

En cas de fraude avérée : agir vite

Si un virement frauduleux a été effectué, chaque heure compte :

  1. Contacter immédiatement sa banque pour tenter de bloquer ou rappeler le virement (possible dans les 24 à 48h dans certains cas).
  2. Déposer plainte auprès de la police ou de la gendarmerie dans les plus brefs délais.
  3. Signaler l’incident sur la plateforme officielle cybermalveillance.gouv.fr, qui propose aussi une assistance et une mise en relation avec des experts.
  4. Vérifier sa couverture d’assurance : certains contrats multirisques professionnels ou assurances cyber-risques couvrent les pertes liées à la fraude bancaire.

Checklist de prévention

✅ Procédures internes

☐ Double validation obligatoire pour tout virement dépassant un seuil défini

☐ Rappel systématique sur numéro connu avant tout changement de RIB

☐ Liste blanche de RIB fournisseurs tenue à jour et modifiable sur procédure stricte

☐ Interdiction de traiter toute demande urgente et confidentielle sans vérification

✅ Sécurité informatique

☐ Authentification à double facteur activée sur tous les accès bancaires et messageries

☐ Antivirus et pare-feu installés et mis à jour

☐ Politique de mots de passe robuste (changement régulier, pas de réutilisation)

☐ Accès bancaires réservés à un nombre limité de personnes identifiées

✅ Sensibilisation des équipes

☐ Formation annuelle des équipes comptables, financières et RH

☐ Communication renforcée en période de congés (remplaçants informés)

☐ Procédure écrite à disposition en cas de tentative de fraude détectée

✅ En cas d’incident

☐ Contacter la banque immédiatement pour tenter de bloquer le virement

☐ Déposer plainte dans les 24h

☐ Signaler sur cybermalveillance.gouv.fr

☐ Vérifier la couverture de son assurance cyber-risques

FAQ

Est-ce que ma banque peut récupérer un virement frauduleux ?

Cela dépend de la rapidité d’intervention. Si le virement est encore en cours de traitement, la banque peut parfois le bloquer. Une fois les fonds arrivés sur le compte du fraudeur (souvent à l’étranger), les chances de récupération sont très faibles. Il faut contacter sa banque dans les premières heures, et déposer plainte immédiatement.

Mon assurance professionnelle couvre-t-elle la fraude bancaire ?

Pas systématiquement. Certains contrats multirisques professionnels incluent une garantie fraude ou détournement de fonds, mais avec des conditions et des plafonds variables. Les assurances cyber-risques, souscrites séparément, offrent généralement une couverture plus étendue. Il est conseillé de vérifier ses contrats et d’en parler avec son courtier.

La fraude au président concerne-t-elle aussi les petites entreprises ?

Oui, et de plus en plus. Les TPE et PME sont même des cibles privilégiées car elles ont souvent moins de procédures de contrôle et des équipes réduites où une seule personne gère à la fois la comptabilité et les paiements. La taille de l’entreprise n’est pas une protection.

Comment signaler une tentative de fraude même si je n’ai pas été victime ?

Vous pouvez signaler toute tentative sur cybermalveillance.gouv.fr ou directement auprès de la police (via le portail de signalement officiel). Ce type de signalement aide les autorités à identifier les réseaux actifs.

Le deepfake, est-ce vraiment une menace concrète pour les PME ?

Oui. Plusieurs cas documentés en Europe impliquent des entreprises de taille intermédiaire. Les outils de clonage vocal sont aujourd’hui accessibles et peu coûteux. La parade la plus simple reste la procédure : si un dirigeant demande un virement oral (même en visio), exiger une confirmation écrite via un canal sécurisé avant tout acte.

Donnez une note à cet article

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.