A l’instar des cyberattaques, les tentatives de fraudes à l’encontre des entreprises ne cessent de s’intensifier. En 2023, 64 % d’entre elles indiquaient avoir été l’objet d’au moins une tentative de fraude et 59 % de plusieurs soit une hausse de 28 % en un an(1) Étude Trustpair sondage OpinionWay, déc. 2023. Étude Trustpair sondage OpinionWay, déc. 2023. Étude Trustpair sondage OpinionWay, déc. 2023. Étude Trustpair sondage OpinionWay, déc. 2023.

Étude Trustpair sondage OpinionWay, déc. 2023.
Étude Trustpair sondage OpinionWay, déc. 2023.
Étude Trustpair sondage OpinionWay, déc. 2023.
Étude Trustpair sondage OpinionWay, déc. 2023.
La crédibilité, socle d’une fraude au faux RIB réussie
« Une fraude réussie ne nécessite pas forcément d’être un expert technologique, relève Éric Courtial, de la direction du pilotage de la fraude de La Banque Postale. L’ingénierie sociale repose avant tout sur de la manipulation psychologique : il s’agit de mettre la victime en condition afin qu’elle procède au virement souhaité. La première étape d’une tentative de fraude au fournisseur ou au RIB est celle de la récupération d’informations concernant l’entreprise cible sur d’une part, son organisation interne, -organigramme, schéma de décisions, coordonnées des collaborateurs…- et, d’autre part, ses relations commerciales ». Ces informations, assez faciles à récupérer car souvent exposées sur internet, permettent au fraudeur d’usurper une identité et donc d’être crédible comme le décrit Sophie Fina, de la direction du pilotage de la fraude de La Banque Postale : « l’usurpation d’identité peut reposer sur de la simple collecte de données et aller dans sa version la plus aboutie jusqu’à l’intrusion dans la boite mail du fournisseur. Le fraudeur écrit alors en partant de l’adresse mail connue de l’entreprise cible et intercepte les réponses adressées ». La voie intermédiaire étant de copier l’adresse mail du fournisseur avec une différence très minime, peu susceptible d’être détectée par l’entreprise cible si ses collaborateurs ne sont pas particulièrement vigilants.
Vraies factures, absence de pression et courrier recommandé
Après avoir réussi à se faire passer pour un fournisseur de l’entreprise ou tout autre créancier connu ou crédible, l’étape suivante d’un fraudeur au changement de RIB est de demander que de nouvelles coordonnées bancaires soient enregistrées. Le but ? Obtenir le paiement sur ce compte des factures, parfois fausses. Mais « c’est un point très important à savoir : de plus en plus des demandes de paiement frauduleux reposent sur une vraie facture » insiste Éric Courtial. Ou toute autre créance légitime. « Le piratage de la boite mail d’une relation commerciale de l’entreprise cible permet au fraudeur de récupérer tous les documents. C’est un schéma difficilement concevable mais réel » souligne Sophie Fina.
L’autre paramètre nouveau qui incite au paiement est l’évolution de la communication des fraudeurs : « désormais, les fraudeurs ne mettent plus la pression pour obtenir le paiement : ils attendent le round des règlements, alerte Éric Courtial. Certains envoient même leur demande par courrier recommandé. »
Cas client : une fraude aboutie mais un préjudice limité
Quel que soit les moyens utilisés, lorsque la crédibilité du fraudeur est bien établie, même la demande de paiement d’une fausse facture peut aboutir. Comme cela est arrivé à la fin août 2024 à une entreprise dont un collaborateur avait reçu un message émanant, à priori, de la boite mail d’un fournisseur réel, signalant un changement de RIB et auquel était joint une facture. L’explication donnée était la suivante “en raison d’un audit interne, nous ne pouvons pas recevoir de paiement sur notre ancien compte. Veuillez consulter la facture révisée ci-jointe avec notre nouveau RIB“. Montant du paiement : plus de 50 000 euros. Heureusement la victime ayant peu après réalisé qu’il s’agissait d’une fraude, elle a sollicité le service client de La Banque Postale pour prise en charge et le préjudice du client a été limité.
Acculturer l’entreprise aux typologies de fraudes et à la prévention
« L’acculturation au risque de fraude et aux diverses formes qu’elle peut prendre est essentielle. La fraude au président est assez bien identifiée par nos clients personnes morales mais ils n’ont en revanche qu’une connaissance partielle de celle au RIB, surtout celle reposant sur le piratage d’une boite mail, partage Sophie Fina. C’est pourquoi nous organisons des réunions par régions à destination de nos clients pour vulgariser ces pratiques et les aider à mettre en place des mesures de prévention efficaces. ». Un partage d’informations qui se fait aussi au gré des échanges plus réguliers que les chargés d’affaires peuvent avoir avec leurs clients : « même une personne vigilante peut être trompée en cas d’usurpation de boite mail et le premier bouclier est de définir un process précis face à une demande de changements de RIB », indique Éric Courtial. « Cela comprend le fait de contacter le fournisseur à son numéro de téléphone habituel et la répartition entre différents collaborateurs des tâches de saisie et de validation des coordonnées bancaires, conseille Sophie Fina. Répartir l’activité sur plusieurs personnes limite grandement le risque que la fraude réussisse ».
Apprendre à se questionner et à différer le traitement d’une demande
Autre essentiel : former les collaborateurs. « C’est d’autant plus nécessaire que les fraudes évoluent sans cesse en sophistication et en communication et sont plus fines qu’auparavant. Les montants sont plus raisonnables, les virements sollicités ne visent plus un compte à l’étranger » précise Éric Courtial. « Les formations tout comme les process et les accréditations doivent être mis à jour régulièrement, recommande Sophie Fina. Cela permet d’acquérir des réflexes comme le fait, face à un mail inconnu ou douteux avec lien et/ou pièces jointes, de se questionner, de questionner un collègue ou un supérieur. Bref d’ajourner la réponse pour confirmer le bien-fondé de la demande et de son initiateur. Et pour cela mieux vaut éviter de se connecter à sa banque via les moteurs de recherche qui peuvent pointer sur de faux sites créés à cette fin. Le réflexe de connexion doit être de se rendre sur l’application bancaire ou le site bancaire pré-enregistré concerné et de s’assurer de l’authenticité des coordonnées fournisseurs en se référant aux données saisies dans le SI entreprise. »
Connaitre la typologie des fraudes et leur évolutivité, se questionner, ne pas rester seul, avoir les bons réflexes et process (cf. comment faire face aux fraudes bancaires ?) : cette vigilance à instiller en entreprise, le dirigeant doit aussi l’avoir dans le domaine personnel.
- (1)Retour au contenu (1)
Étude Trustpair sondage OpinionWay, déc. 2023.