Les fraudes aux entreprises : risques et bons réflexes à adopter

Ces fraudes reposent principalement sur l'usurpation d'identité (dirigeant, fournisseur, banque, client) et l'exploitation de failles organisationnelles.

La fraude au président

Le fraudeur collecte des informations sur votre entreprise (direction, organigramme, habitudes, vocabulaire). Il contacte ensuite le service comptable en se faisant passer pour le dirigeant. Grâce à un scénario d’urgence et de confidentialité, il exige l’exécution immédiate d’un virement. Certaines attaques utilisent aujourd’hui des imitations vocales, mais la majorité repose encore sur la pression psychologique.

Les signaux d’alerte :

• demande urgente et confidentielle,
• impossibilité de rappeler sur un numéro officiel,
• pression forte ou ton menaçant. 

Ne jamais exécuter un virement sans validation par un autre canal (appel direct au dirigeant, prise de contact avec le comité de direction ou l'assistant de direction, appel au DAF, etc.).

La fraude au conseiller bancaire 

L’escroc vous contacte en se faisant passer pour votre conseiller bancaire. Il prétexte une opération suspecte et demande vos données bancaires, codes ou identifiants. Il crée un climat d’urgence pour obtenir rapidement les informations nécessaires. Certains fraudeurs peuvent faire afficher sur votre téléphone le vrai numéro de votre banque !  

Les signaux d’alerte :

• demande d’identifiants, codes ou données personnelles,
• ton alarmiste, montant élevé présenté comme « bloqué ». 

Les banques ne demandent jamais d'identifiants. Raccrochez et rappelez votre conseiller via le numéro figurant sur votre convention bancaire. 

La fraude au RIB (ou faux fournisseur)

L’escroc identifie une facture en attente de paiement et contacte le dirigeant ou le service comptable en se faisant passer pour un fournisseur. Il envoie la facture originale accompagnée d’un nouveau RIB frauduleux, afin de détourner le règlement.

Les signaux d’alerte :

• changement de RIB communiqué par email,
• absence de contact direct préalable du fournisseur,
• demande réalisée dans l’urgence. 

Vérifier tout changement de RIB par appel sur un numéro déjà enregistré dans vos systèmes. N’utilisez pas les coordonnées qui vous sont fournies dans le mail douteux. 

La fausse modification de livraison 

L'escroc se fait passer pour un client existant et demande une modification d'adresse juste avant l'expédition. Les marchandises sont alors envoyées au fraudeur, tandis que le vrai client ne reçoit rien. 

Les jeunes entreprises, les structures en croissance rapide et les équipes peut formées aux processus logistiques sont particulièrement ciblées par ce type de fraude.

Toujours valider les modifications de livraison via un contact officiel du client.

Ce type de fraude exploite aussi bien les failles techniques que les manipulations humaines pour infiltrer les systèmes. Voici les principales cyberfraudes à connaître.

Le cheval de Troie bancaire

Une pièce jointe infectée ou un lien malveillant installe un logiciel espion sur l’ordinateur. Le fraudeur récupère ensuite les identifiants bancaires et réalise des virements frauduleux.

Les signaux d’alerte :

• courriel inhabituel d’un organisme officiel,
• pièce jointe non sollicitée,
• message d’urgence concernant un compte ou un impayé. 

Ne jamais ouvrir une pièce jointe douteuse. 

L'arnaque au trop-perçu

Après une demande de devis, le "client" paie volontairement trop et demande un remboursement immédiat. Le paiement initial est frauduleux, mais le remboursement que vous réalisez, lui, est réel. 

Ne jamais rembourser un trop-perçu avant que les fonds ne soient crédités définitivement et vérifiés.

Elles impliquent un salarié, un cadre ou un dirigeant utilisant ses accès pour détourner des fonds, du matériel, etc., ou falsifier des documents.

Le détournement 

Les formes courantes de détournement en entreprise sont les suivantes : 

• vol de trésorerie ou manipulation de caisse,
• redirection de paiements,
• vol de stocks ou de matériel,
• notes de frais fictives,
• fournisseurs fictifs créés par un salarié.

Il est possible de mettre en place des systèmes de surveillance ou de gardiennage pour éviter les vols de stocks, ainsi que des procédures de contrôle interne.

La manipulation comptable 

La manipulation comptable désigne un ensemble de pratiques visant à altérer volontairement les données financières d’une entreprise. L’objectif est de présenter une image trompeuse de sa situation économique, que ce soit pour améliorer artificiellement ses performances, masquer des difficultés, ou obtenir un avantage indu (financement, investisseurs, subventions, etc.).

Pour parer à une manipulation comptable, il est important de mettre en place des process tels que des revues croisées de comptabilité, des contrôles de gestion, des audits internes, une limitation des droits sur les écritures sensibles, une revue régulière des habilitations, etc.

L'accès non autorisé

Un salarié accède sans droit à des données, systèmes ou applications pour modifier, obtenir ou supprimer des informations.

Il est important de limiter les accès selon le principe du moindre privilège, activer une authentification multifacteur (MFA) et contrôler régulièrement les habilitations en interne.

Ces fraudes reposent sur la manipulation, la modification ou l'usage illégitime de documents afin de tromper un tiers, usurper une identité ou obtenir un avantage indu. Voici les principales fraudes documentaires que vous devez connaître.

La fraude au faux Kbis

Un Kbis authentique peut-être modifié ou construit avec de fausses informations (dirigeant, siège, activité). 

L'objectif pour les fraudeurs est d'obtenir des financements, des contrats ou des marchandises. 

Un outil de vérification est disponible sur infogreffe : Contrôle du KBis - Infogreffe.

La fraude au faux répertoire

Un courrier ou un email incite à s'inscrire sur un registre privé payant, présenté comme obligatoire. 

Infogreffe tient à disposition une liste officielle des arnaques connues : Répertoire des arnaques au Kbis - Infogreffe.

Pas de panique, on vous explique la réaction à avoir si vous vous retrouvez dans l'une des situations suivantes.

Si vous ou un de vos salariés êtes victime d'une fraude 

• Contactez immédiatement votre conseiller bancaire pour tenter de bloquer l’opération.
• Déposez plainte (police/gendarmerie ou plateforme THESEE selon les cas).
• Déclarez l'incident sur cybermalveillance s'il s'agit d'une cyber fraude.
• Préservez les preuves (emails, etc.).
• Informez la personne ou l’entreprise usurpée (dans le cas où un escroc se fait passer pour un fournisseur ou pour son banquier). 

Si vous ou un de vos salariés pensez être victime d'une fraude 

En cas de doute sur un virement à effectuer, une réponse à un mail suspect ou une demande d'information sensible :

• Interrompez ou faites interrompre toute action en cours.
• Alertez immédiatement les bonnes personnes en interne (expert-comptable, personnes impliquées dans les paiements, référents informatique / DPO ou DSI si vous en avez dans votre entreprise).
• Conservez toutes les preuves (mails, journaux d'appels, captures d'écran, confirmations bancaires, RIB frauduleux, etc.).

Découvrez notre webinaire pour toujours plus vous prémunir contre les fraudes aux entreprises.

Au-delà des désagréments financiers et organisationnel, une fraude en entreprise est bien souvent constitutive d’une infraction pénale. 

A titre d’exemple, on peut citer :  

• le vol, qui consiste en une soustraction frauduleuse de la chose d’autrui, sans remise volontaire par la victime  ;
• l’abus de confiance, qui est caractérisé lorsque l’auteur détourne des fonds ou biens “qui lui avaient été remis volontairement” ;
• l’escroquerie, qui suppose que l’auteur obtienne la remise d’un bien “par tromperie ou manoeuvres frauduleuses” ;
• le faux et l’usage de faux, qui consiste en une “altération frauduleuse de la vérité de nature à causer un préjudice, accomplie par quelque moyen que ce soit, dans un écrit ou tout autre support”.

• Service-public.fr :  Arnaques sur internet
• L’Agence nationale de la sécurité des systèmes d’information – ANSSI
• Guichet d’assistance et prévention du risque numérique au service des publics : cybermalveillance.gouv.fr
• MesServicesCyber : le portail pour votre sécurité numérique 

• Article 311-1 du Code pénal
• Article 313-1 du Code pénal
• Article 314-1 du Code pénal
• Article 441-1 du Code pénal