Membre d’une Direction Financière, vous recevez un email d’un fournisseur. Il vous indique que ses coordonnées bancaires ont changé et vous prie de bien vouloir prendre en compte le changement pour le paiement des prochaines factures. Les paiements sont donc envoyés sur ce nouveau compte. Seulement, le fournisseur vous contacte « à nouveau » et vous indique qu’il est toujours en attente du règlement des factures. La confusion s’installe tandis que le fournisseur vous indique que ses coordonnées bancaires n’ont pas changé… Vous réalisez alors que vous venez d’être victime d’une fraude au faux fournisseur.
C’est aujourd’hui un des types de fraude les plus courants. En 2023, 37% des entreprises ont d’ailleurs été ciblées par la fraude au faux fournisseur. Découvrez en quoi elle consiste, comment réagir en cas de fraude au fournisseur avérée et, surtout, quelles actions mettre en place pour vous en protéger. Et pour plus de tendances et analyses sur la fraude en entreprise, téléchargez notre dernière étude !
Qu’entend-on par fraude au faux fournisseur ?
La fraude au faux fournisseur consiste pour un arnaqueur à usurper l’identité d’un fournisseur et à contacter une entreprise cliente en l’informant d’un changement de coordonnées bancaires. De cette manière, tout virement censé parvenir au véritable fournisseur arrive en réalité sur le compte bancaire du fraudeur.
La méthode est redoutable, car elle a recours à l’ingénierie sociale : le fraudeur collecte quantité de données afin d’usurper au mieux l’identité du fournisseur. L’arnaqueur peut alors manipuler la personne qu’il contacte, par exemple en créant une adresse email similaire à celle du fournisseur et en adoptant la même mise en forme de l’email et de la facture.
La fraude au faux fournisseur partage des similitudes avec la fraude au président, mais ne doit pas être confondue.
Fraude au faux fournisseur et fraude au président : quelles différences ?
Ces deux types d’arnaque reposent sur l’usurpation d’identité et l’escroquerie financière, mais elles se distinguent sur leur mode opératoire. La fraude au président est la troisième fraude la répandue en 2023, avec 37% des entreprises ciblées.
La fraude au président (ou FOVI, Faux Ordres de Virement) consiste pour un fraudeur à usurper l’identité d’un dirigeant de l’entreprise. Il contacte alors une personne stratégique, à même de réaliser des virements, comme un comptable ou un membre de la Direction Financière. Il lui intime ensuite de réaliser un virement « urgent et confidentiel », pour une acquisition diverse. Pour parvenir à ses fins, le fraudeur use de manipulation :
- Il se montre intimidant, en menaçant par exemple de licenciement ou de poursuites judiciaires la personne si elle dévoile la demande ou tarde à réaliser le virement ;
- Il se montre flatteur, insistant sur vos compétences et enchaînant les éloges quant à votre rôle crucial dans l’entreprise.
Dans un cas comme dans l’autre, le but est d’amener la personne à baisser la garde et à exécuter le virement sans attendre. Cette fraude évolue au gré du contexte et des avancées technologiques, les arnaqueurs ayant par exemple de plus en plus recours aux deepfakes.
Fraude au faux fournisseur et fraude au FOVI se distinguent donc sur :
- L’identité et l’autorité de la personne usurpée ;
- La rapidité à laquelle les virements sont effectués.
Si vous détectez un cas de fraude avérée, il faut alors réagir sans plus attendre.
Fraude au fournisseur avérée : comment réagir ?
Vous devez suivre plusieurs étapes :
- Contactez immédiatement le fournisseur usurpé ; il est en effet fort probable que son identité ait été usurpée auprès d’autres entreprises.
- Saisir les autorités compétentes, afin de les alerter sur cette fraude au fournisseur avérée.
- Si le virement a été effectué, rapprochez-vous au plus vite de votre banque pour tenter de récupérer les fonds.
Cette procédure, appelée le « recall virement », est toutefois limitée aux ordres de virement SEPA en euros et se heurte aux différentes législations nationales. Il est dès lors préférable de mettre en place des mesures en amont afin de limiter le risque de fraude au faux fournisseur.
Lutte contre la fraude au faux fournisseur : appliquer les gestes qui sauvent
Se poser les bonnes questions et analyser les signaux faibles
Toute demande de changement de coordonnées bancaires de la part de l’un de vos fournisseurs doit être considérée comme une potentielle fraude au virement bancaire. Si un fournisseur vous contacte dans ce sens, vous devez vous montrer d’emblée suspicieux et vous poser les bonnes questions :
- L’adresse mail et les coordonnées du fournisseur correspondent-ils à ceux des précédents échanges ?
- L’objet du mail et le nom de la pièce-jointe sont-ils habituels ?
- La pagination de la facture est-elle similaire aux documents reçus précédemment ?
- La mise en forme, le style et l’orthographe du mail correspondent-ils aux précédents échanges ?
- Ce fournisseur a-t-il déjà récemment changé de coordonnées bancaires ?
- Vous attendiez-vous à recevoir une facture de ce fournisseur ?
- Les coordonnées bancaires sont-elles les mêmes ?
Cet ensemble de questions participe à un processus de prévention de la fraude au faux fournisseur à mettre en place dans l’entreprise.
Former et sensibiliser les équipes
Ce type de fraude a recours à la manipulation plutôt qu’aux cyberattaques : ce sont donc les collaborateurs qui sont visés directement. Il est dès lors nécessaire de sensibiliser vos équipes aux différents risques de fraude, en détaillant les scenarii, les modes opératoires et les réactions à adopter. Il est important de bien communiquer sur les procédures et politiques de contrôle interne en place afin que tous sachent réagir en cas de fraude.
Identifier et cartographier les risques
En ce sens, une cartographie des risques est tout indiquée. Elle identifie les cibles les plus à risque, notamment les membres des Directions Financières, puisqu’ils ont la possibilité de réaliser des virements. Surtout, elle détaille les différents niveaux de menaces, à quels moments de la chaîne de paiement ils sont les plus susceptibles de se produire, et quelles sont les procédures à suivre.
Renforcer les processus de contrôles fournisseurs
A ce titre, il est nécessaire de systématiser le processus de vérification des coordonnées bancaires tout au long de la chaîne de paiement, pour sécuriser les paiements des fournisseurs. Aujourd’hui, ces contrôles ne sont pas encore une norme pour les entreprises. Si une grande partie d’entre elles effectuent des contrôles lors de l’ajout d’un nouveau fournisseur ou lors de la modification de ses données, elles sont encore peu à vérifier à d’autres moments du cycle de vie fournisseur. Pourtant, les fraudeurs peuvent infiltrer la chaîne de paiement à n’importe quel moment.
En ce sens, il est aussi important de bien sélectionner les fournisseurs avec lesquels vous travaillez. Le choix des fournisseurs est en effet une étape charnière pour la gestion des risques fournisseurs. En plus des critères habituels de solidité financière, de prix et de qualité du produit, s’ajoutent des critères de sécurité des systèmes d’information. Cela constitue un premier rempart contre la fraude au faux fournisseur.
Automatiser les contrôles pour une sécurité sans faille
Une bonne gestion du référentiel tiers et de premières mesures barrières sont donc essentielles afin de faire face aux menaces de fraude. Etant donné la masse de données que doivent traiter les grandes entreprises, les contrôles manuels sont devenus obsolètes. Elles doivent investir dans des outils SaaS, pour maîtriser plus efficacement la donnée et réduire le risque de fraude. La gestion du référentiel tiers est indispensable, car les données bancaires des fournisseurs sont une cible privilégiée des fraudeurs.
Les entreprises ont donc tout intérêt à s’équiper d’une solution anti fraude. En 2024, c’est le cas de moins d’une entreprise sur deux en France. Ce type de solution permet pourtant à l’entreprise de contrôler systématiquement et automatiquement l’identité et les coordonnées bancaires du fournisseur, et donc de faciliter et sécuriser ces processus.
Trustpair en est un bon exemple. Notre solution anti-fraude audite en continu les données du référentiel fournisseur grâce à un accès à des sources bancaires françaises et internationale et vous alerte en cas d’anomalie ou d’erreurs. Son contrôle des RIB automatique en temps réel s’applique à tout changement dans la base tiers, ce qui vous assure une protection permanente. Avec Trustpair, vous luttez ainsi contre la fraude au faux fournisseur.