Arnaque au faux RIB et faux ordres de virement

Comprendre la fraude au faux RIB (et pourquoi elle vise autant les entreprises)

La fraude au « faux RIB » (ou fraude au virement) consiste à vous faire payer une facture légitime sur un compte bancaire frauduleux, en usurpant l’identité d’un fournisseur, d’un prestataire, d’un avocat, d’un notaire, d’un bailleur… Bref, d’un interlocuteur “normal” avec lequel vous avez déjà des échanges. 

Ce type d’attaque ne ressemble pas toujours à du phishing “grossier”. Au contraire : les fraudeurs cherchent la crédibilité, le bon timing et la pression (urgence, confidentialité, “procédure exceptionnelle”). C’est notamment ce qui caractérise l’« arnaque au président » (faux ordre de virement) décrite par les services de l’État : se faire passer pour un dirigeant (ou une autorité) afin d’obtenir un virement urgent et discret. 

À retenir : ce n’est pas “juste une arnaque comptable”. C’est très souvent une attaque par l’e-mail (ou qui exploite l’e-mail), avec un impact financier immédiat.

Comment l’escroquerie fonctionne en pratique

Dans de nombreux cas, l’arnaque s’appuie sur la compromission d’une messagerie (celle de l’entreprise victime, ou celle du fournisseur). Une fois le compte e-mail compromis, l’attaquant peut lire les échanges, repérer une facture attendue, puis injecter un RIB frauduleux au “bon moment”. 

Les scénarios les plus fréquents en entreprise ressemblent à ceci :

• Changement de RIB fournisseur : “Bonjour, voici nos nouvelles coordonnées bancaires, merci de régler la facture sur ce compte.” Puis une facture jointe, visuellement parfaite. Le bon réflexe officiel est de contacter le fournisseur via un canal déjà connu (téléphone habituel, contact métier) pour confirmer. 
• Faux ordre de virement de direction : un message (ou un appel) au ton très direct : “virement urgent, confidentiel, pas de questions”. C’est exactement la mécanique décrite dans l’arnaque au président. 
• Fraude au virement de salaire : l’attaquant se fait passer pour un salarié et demande aux RH de modifier l’IBAN de versement du salaire. Les autorités françaises alertent sur la montée de cette fraude et recommandent des précautions concrètes. 

Ce qui rend ces attaques si efficaces : 

Signaux d’alerte : les indices qui doivent déclencher un “STOP”

Vous n’aurez pas toujours un “gros drapeau rouge”. Mais certains signaux, lorsqu’ils se cumulent, doivent déclencher une vérification systématique :

• Changement d’IBAN / nouveau RIB communiqué par e-mail (surtout si c’est “urgent”). 
• Urgence + confidentialité, ou “ne prévenez personne” : c’est typique des faux ordres de virement. 
• Adresse expéditeur légèrement différente, domaine proche, faute subtile, ou usage d’une adresse “secondaire”. (Même si le contenu semble parfaitement écrit.) 
• Pièce jointe inattendue ou lien “pour payer / valider” alors que ce n’est pas l’habitude. 
• Changements de ton : un fournisseur “détendu” devient soudain très pressant, ou demande une procédure hors process.

Point important (actualité France) : depuis le 9 octobre 2025, les banques doivent vérifier, pour les virements SEPA, la concordance entre le nom du bénéficiaire saisi et celui du titulaire de l’IBAN (mécanisme de type “verification of payee”). C’est un progrès, mais l’ACPR rappelle que cela ne doit pas faire baisser la vigilance sur la légitimité d’un changement de coordonnées. 

Pourquoi la sécurité de l’e-mail est un sujet vital pour une entreprise

Dans beaucoup de fraudes au faux RIB, l’e-mail est la porte d’entrée : soit le fraudeur pirate une boîte mail, soit il usurpe une identité crédible, soit il s’insère dans un fil de discussion déjà existant. 

Sécuriser l’e-mail, ce n’est donc pas “juste éviter le spam”. C’est protéger la trésorerie, la continuité d’activité et la réputation.

Les mesures qui bloquent l’attaque avant le virement

La meilleure défense contre le “faux RIB” n’est pas purement technique ou purement organisationnelle : c’est la combinaison des deux.

Renforcer vos processus internes (comptabilité, achats, RH)

Quelques règles simples réduisent drastiquement le risque :

• Interdire le changement de RIB par e-mail seul : un nouveau RIB doit être validé par un appel sur un numéro déjà connu, ou un dispositif de validation multi-personnes. C’est explicitement recommandé dans les ressources publiques de prévention contre la fraude au virement. 
• Mettre en place la “double validation” sur les virements sensibles : une personne prépare, une seconde valide (principe des 4 yeux).
• Créer une procédure “hors-process = refus automatique” : si quelqu’un demande urgence + secret, la réponse standard doit être : “nous appliquons la procédure”. (C’est précisément ce que les fraudeurs tentent de casser.) 
• Sécuriser aussi les RH : la fraude au virement de salaire cible la modification d’IBAN. Il faut un contrôle renforcé (validation via canal indépendant, pièce justificative, second contrôle). 

Sécuriser l’e-mail (car c’est souvent là que tout commence)

Les recommandations “socle” des autorités françaises en cybersécurité insistent sur l’hygiène (mesures simples mais essentielles), l’authentification forte, la gestion des accès et la réaction. 

Priorités réalistes pour une PME :

• Activer la MFA partout où c’est possible (messagerie, accès admin, comptes compta/banque). 
• Mots de passe robustes + coffre-fort de mots de passe (et fin des mots de passe réutilisés). 
• Surveiller les règles de messagerie : en cas de suspicion, vérifier redirections/règles automatiques (c’est un classique des compromissions). 
• Former au phishing : apprendre à vérifier l’adresse, le lien réel, et signaler rapidement. Cybermalveillance met à jour régulièrement des fiches réflexes “phishing” et “faux RIB”. 

Si vous avez un doute sur une compromission e-mail, la fiche réflexe du CERT-FR donne une logique d’actions d’endiguement (priorités, thèmes, investigation) utile même pour une PME. 

Que faire si vous pensez avoir été victime

La règle d’or : agir vite. Dans une fraude au virement, les premières heures comptent.

Les démarches recommandées par la plateforme Cybermalveillance.gouv.fr et par l’ACPR (Banque de France) convergent :

• Prévenir immédiatement votre banque, demander la suspension ou le “recall” (rappel) du virement si possible. 
• Prévenir le fournisseur / créancier usurpé : il se peut que sa messagerie soit compromise ; l’informer lui permet de protéger d’autres clients. 
• Conserver les preuves (e-mails, factures, logs, captures des règles de messagerie), puis déposer plainte rapidement. 
• En cas de suspicion de piratage de messagerie : changer les mots de passe, activer la MFA si absente, et vérifier/retirer les redirections et règles suspectes. 

Checklist réflexe

• Chaque nouveau RIB fournisseur = appel sortant obligatoire (numéro déjà connu). 
• Deux validations pour tout virement > X € (seuil à définir).
• MFA activée sur messagerie + comptes sensibles. 
• Sensibilisation phishing : prévoir un temps par trimestre (vérifier liens, expéditeurs, urgence). 
• Audit mensuel des règles de messagerie (redirections, suppressions, transferts). 

Références officielles et ressources utiles

• ANSSI – Guide d’hygiène informatique (42 mesures socle). 
• ANSSI – Recommandations MFA et mots de passe. 
• Cybermalveillance.gouv.fr – Fiche réflexe : fraude au virement / faux RIB (prévention + réaction), mise à jour 2025. 
• DGCCRF – Prévention : faux ordres de virement / arnaque au président. 
• Service-Public.fr – Alerte 2025 : fraude au virement de salaire (RH).