Retour à l'espace Sécurité

Qu’est-ce que la fraude au « faux fournisseur » ?

  • SECURITE
  • 29 MAI 2025
  • 3 min
Fraude aux fournisseurs

La fraude au faux fournisseur, également appelée fraude au changement de coordonnées bancaires, ou fraude au faux RIB, est une escroquerie financière qui touche de plus en plus d’entreprises. Son principe : le fraudeur usurpe l'identité d'un fournisseur légitime pour détourner des paiements à son insu.

La fraude dite au faux fournisseur est l’une des principales menaces qui pèsent aujourd’hui sur les entreprises. Selon les dernières statistiques disponibles1, 45% des tentatives de fraudes seraient en effet construites autour de cette technique d’usurpation d’identité. Ces fraudes touchent toutes les entreprises, des plus grandes aux plus petites.

Comment les fraudeurs au faux fournisseur agissent-ils ?

Le principe de la fraude repose sur la substitution frauduleuse des coordonnées bancaires d’un partenaire commercial de l’entreprise. En pratique, le fraudeur cherche à se faire passer pour l’un des fournisseurs « légitimes » de la société.
Plusieurs scénarios sont possibles :

  • Piratage de messagerie
    Les fraudeurs accèdent à la messagerie électronique d'un fournisseur pour obtenir des informations de facturation. Ils peuvent également exploiter des données accessibles publiquement sur Internet ou contacter directement le fournisseur pour obtenir une facture, afin de transmettre de fausses coordonnées bancaires à l'entreprise ciblée.

  • Piratage des systèmes informatiques
    En accédant aux systèmes d'un fournisseur, les escrocs peuvent modifier les coordonnées bancaires à la source, rendant la fraude difficile à détecter.

  • Création de faux prestataires
    Certains fraudeurs inventent des prestataires fictifs et émettent de fausses factures pour soutirer de l'argent.

  • Appel d’un faux fournisseur
    Le fraudeur prétexte une erreur sur la facture (ex : remise manquante), de façon à la modifier frauduleusement.

Plusieurs variantes de la fraude au faux fournisseur…

D’autres escroqueries, basées elles-aussi sur l’usurpation d’identité, ont également été constatées.

  • L’arnaque au faux client – Les fraudeurs créent un faux client, qui commande des marchandises en utilisant de fausses références bancaires. Après la livraison, l’entreprise découvre que le compte indiqué n’existe pas, ou a été clôturé.
  • La fraude au changement de RIB salarié – L’escroc se fait passer pour un salarié de l’entreprise visée, écrit au service de paie pour lui signifier un changement de RIB. Le salaire est alors versé à l’escroc et non au salarié légitime.

Comment éviter les tentatives de fraude au faux fournisseur ?

La fraude au faux fournisseur peut faire appel à des techniques informatiques sophistiquées mais peut également être combinée à des techniques dites d’ingénierie sociale :

  • En exploitant des failles dans les procédures internes de validation, tant du côté de l’entreprise victime que de ses fournisseurs,
  • En jouant sur l’urgence d’une situation pour obliger les victimes à agir rapidement, sans prendre le temps de la réflexion. La rapidité de l’exécution est en effet cruciale : les sommes piratées sont généralement transférées vers des paradis fiscaux ou des comptes offshores en moins de 48 heures, rendant toute récupération ultérieure quasi impossible.

Pour se prémunir contre ce type d’escroquerie, il est donc essentiel :

  • D’établir des procédures internes rigoureuses. Notamment en vérifiant systématiquement tout changement de coordonnées bancaires par un contre-appel téléphonique directement au fournisseur, en utilisant des coordonnées déjà vérifiées/utilisées. Ou en assurant plusieurs niveaux de validation avant d’effectuer des paiements importants.

    Exemples de procédures internes :

    1. Établir un protocole de vérification :
      • Lorsqu'un changement de coordonnées bancaires est demandé, le service concerné doit d'abord vérifier l'identité de la personne qui fait la demande.
      • Utiliser des coordonnées de contact déjà vérifiées (par exemple, celles figurant dans un contrat ou un document antérieur) pour effectuer un contre-appel au fournisseur.
    2. Documenter les échanges :
      • Conserver une trace écrite de toutes les communications concernant le changement de coordonnées bancaires, y compris les dates, les personnes impliquées et les résultats des vérifications.
    3. Valider par un second niveau :
      • Impliquer un second responsable (par exemple, un superviseur ou un manager) pour valider le changement après que le premier niveau de vérification a été effectué.
    4. Auditer régulièrement :
      • Mettre en place des audits réguliers pour s'assurer que la procédure est suivie et pour identifier d'éventuelles failles dans le processus.
  • De sensibiliser les collaborateurs de l’entreprise, notamment les équipes comptables, financières et les services de paie, aux risques de fraude. Par exemple en organisant des simulations et des tests pour détecter d’éventuelles failles dans les procédures.
  • De repérer les emails suspects – Il est important de vérifier la source de l’expéditeur et son adresse email, en s’assurant notamment qu’elle correspond bien au nom de domaine du fournisseur. Les mails frauduleux peuvent aussi contenir des erreurs ou des incohérences qui doivent éveiller la vigilance.
  • De vérifier l’IBAN du bénéficiaire - Pour une banque française, le code IBAN commence par FR. Un code IBAN commençant par d’autres initiales correspond à une banque étrangère. Il est donc essentiel de vérifier qu’il y a une cohérence entre l’IBAN du fournisseur et sa localisation.

SG : des solutions dédiées pour se prémunir contre la fraude au faux fournisseur

Plusieurs dispositifs spécifiques sont disponibles pour vous permettre de vous prémunir ce type de menace :

  • Avec SEPAmail Diamond, un service de vérification des IBAN,
  • Avec notre partenaire Trustpair, la plateforme de contrôle et d’évaluation de risque de tiers pour déjouer la fraude au paiement fournisseur.

D’une manière générale, en cas de doute, il est impératif de contacter par téléphone le correspondant habituel chez le fournisseur concerné, en s’assurant qu’il s’agit de coordonnées fiables et vérifiées.

La règle d’or à bien observer : ne jamais régler un paiement sur un RIB qui n’a pas été vérifié !

1. Baromètre Fraude 2022 - Allianz Trade, DFCG