AccueilGuidesVérification entrepriseFraude à la facture en entreprise : détecter et prévenir
🏢 Vérification entreprise8 min de lectureArticle

Fraude à la facture en entreprise : détecter et prévenir

Fraude facture entreprise : comment détecter les arnaques FOVI, 8 vérifications avant tout virement et procédures anti-fraude pour PME. Guide pratique VériSources.

Publié le 1 mars 2026

Fraude à la facture en entreprise : comment détecter et prévenir les arnaques FOVI

La fraude à la facture entreprise est devenue la première cause de perte financière pour les PME françaises. En 2023, le préjudice moyen par attaque réussie atteignait 91 000 euros, selon les chiffres de Cybermalveillance.gouv.fr. Cette escroquerie — connue sous l'acronyme FOVI (Faux Ordre de Virement International) — cible les services comptabilité et finance en usurpant l'identité d'un fournisseur, d'un dirigeant ou d'un prestataire. La bonne nouvelle : avec les bons réflexes, une grande majorité de ces tentatives peut être déjouée. Ce guide vous donne les outils concrets pour protéger votre PME dès aujourd'hui.

Chiffres clés :

  • +219% d'augmentation des signalements de fraude au virement entre 2020 et 2023 (Cybermalveillance)
  • 26 milliards d'euros de tentatives de fraude en France en 2022 (Banque de France)
  • 70% des PME ciblées n'ont aucun processus formel de validation des virements (Euler Hermes / Allianz Trade)

Les 4 types de fraude à la facture les plus courants

1. Fausse facture fournisseur (FOVI classique)

L'escroc se fait passer pour un fournisseur réel de l'entreprise et envoie une facture modifiée avec ses propres coordonnées bancaires. L'email provient d'une adresse quasi-identique à celle du vrai fournisseur (ex. : contact@fournisseur-sas.fr devient contact@fournisseur-sas.com). Le montant est souvent cohérent avec les habitudes de l'entreprise pour éviter d'éveiller les soupçons. Dans les cas les plus élaborés, le fraudeur a d'abord piraté la messagerie du fournisseur légitime pour envoyer depuis le vrai compte.

Signaux d'alerte :

  • RIB différent d'une facture précédente
  • Demande de mise à jour des coordonnées bancaires « en urgence »
  • Adresse email légèrement différente (un caractère, un TLD changé)

2. Fraude au président (FOVI dirigeant)

Le fraudeur se fait passer pour le PDG, DG ou directeur financier et contacte directement un collaborateur du service comptabilité. Il crée une pression psychologique forte : opération confidentielle, deadline impérative, demande de discrétion totale. Cette technique exploite le rapport hiérarchique et inhibe le réflexe de vérification. En 2022, une PME lyonnaise a ainsi perdu 480 000 euros suite à une série de virements « confidentiels » validés par sa comptable sans contre-vérification.

Signaux d'alerte :

  • Demande directe par email ou SMS, hors canaux habituels
  • Vocabulaire d'urgence et d'exclusivité (« ne pas en parler », « mission stratégique »)
  • Contact en dehors des heures de bureau

3. Usurpation de coordonnées bancaires (man-in-the-middle)

Dans cette variante, le fraudeur intercepte une vraie conversation email entre votre entreprise et un fournisseur, puis s'y insère pour modifier les coordonnées bancaires au moment du règlement. La technique requiert soit un accès à la messagerie de l'une des deux parties, soit une interception réseau. Le virement est effectué au bon moment, sur la vraie facture, mais vers un IBAN détourné. Ce type d'attaque est particulièrement difficile à détecter car l'échange semble légitime.

Signaux d'alerte :

  • Changement de coordonnées bancaires communiqué uniquement par email
  • Le fournisseur « relance » pour un virement que vous pensiez avoir fait
  • Rupture dans le fil de correspondance email (dates, signatures)

4. Fausse facture de prestataire informatique

Le fraudeur se fait passer pour votre prestataire IT, votre hébergeur ou votre éditeur de logiciel. Il envoie une facture de renouvellement ou une « facture corrective » avec un IBAN modifié. Cette fraude profite de la relation de confiance établie et de la nature souvent opaque des factures IT (noms de services techniques peu lisibles). Les cibles privilégiées sont les TPE et PME qui délèguent entièrement leur informatique à un prestataire externe.

Signaux d'alerte :

  • Facture reçue hors cycle habituel (pas en fin de mois ou d'année)
  • Montant légèrement différent du contrat habituel
  • Demande de règlement vers un nouveau compte « suite à changement de banque »

Comment détecter une facture frauduleuse

La détection repose sur l'identification d'anomalies souvent subtiles. Voici les points d'attention à systématiser.

Analysez l'expéditeur email avec rigueur :

  • Comparez le nom affiché ET l'adresse réelle (souvent différents dans les tentatives de phishing)
  • Recherchez les variantes typosquattées : fournisseur-sas.com vs fournisseurs-sas.com, rnailto: vs mailto:
  • Vérifiez le domaine d'envoi via les en-têtes DKIM/SPF (votre service IT peut le faire)

Repérez les signaux d'alerte dans le contenu :

  • Changement des coordonnées bancaires sans appel téléphonique préalable
  • Urgence artificielle : « délai de paiement impératif », « pénalités de retard immédiates »
  • Fautes d'orthographe, mise en page légèrement différente du template habituel
  • Montant inhabituellement élevé ou au contraire anormalement bas

Contrôlez l'IBAN systématiquement :

  • Comparez avec le dernier RIB reçu par courrier ou mis à jour via un canal officiel
  • Vérifiez la cohérence pays/banque de l'IBAN (un fournisseur français avec un IBAN lituanien est suspect)
  • Utilisez un outil de vérification IBAN (ex. : IBAN.com, API bancaire) pour valider le format et la banque associée

8 vérifications à faire avant tout virement sur nouvelle coordonnée bancaire

Cette checklist doit être appliquée sans exception à chaque changement de coordonnées bancaires, quel que soit le demandeur ou le montant.

Checklist obligatoire :

  • 1. Rappel téléphonique du contact habituel — Appelez le numéro enregistré dans votre carnet d'adresses, jamais celui indiqué dans l'email reçu. Confirmez verbalement le changement.
  • 2. Vérification du RIB officiel — Demandez l'envoi d'un nouveau RIB par voie postale ou via le portail fournisseur sécurisé. Un simple email ne suffit pas.
  • 3. Contrôle IBAN / BIC — Vérifiez que l'IBAN correspond bien à une banque française ou à la nationalité déclarée du fournisseur.
  • 4. Consultation des factures précédentes — Comparez avec les 3 derniers RIB utilisés pour ce fournisseur. Tout changement doit faire l'objet d'une validation renforcée.
  • 5. Double validation interne — Tout virement supérieur à un seuil défini (ex. : 2 000 €) doit être validé par deux personnes différentes (règle des « quatre yeux »).
  • 6. Délai de réflexion anti-urgence — En cas de pression temporelle, appliquez systématiquement un délai de 24h. Une vraie urgence légitime supporte un rappel téléphonique de 5 minutes.
  • 7. Vérification via Infogreffe ou societe.com — Consultez le Kbis du fournisseur pour vérifier l'adresse et les données légales. Une divergence est un signal fort.
  • 8. Notification du service IT ou RSSI — En cas de doute, escaladez immédiatement. Mieux vaut un faux positif qu'une perte de 50 000 euros.

Processus anti-fraude à mettre en place dans votre PME

La protection contre la fraude à la facture ne repose pas sur un outil magique mais sur des procédures systématiques et une culture de la vérification.

Mettre en place la règle des quatre yeux

Tout virement au-delà d'un seuil défini (adapté à votre taille : 1 000 € pour une TPE, 5 000 € pour une PME) doit être approuvé par deux signataires distincts. Ce seuil doit être intégré dans votre logiciel comptable ou bancaire comme règle de validation automatique. Les banques proposent généralement ce paramétrage dans leur espace professionnel en ligne.

Créer une liste blanche d'IBAN validés

Maintenez une base de données sécurisée (hors email) de tous les IBAN autorisés par fournisseur. Tout virement vers un IBAN non listé déclenche automatiquement une procédure de vérification renforcée. Cette liste doit être mise à jour uniquement sur présentation d'un RIB officiel et avec double validation.

Sensibiliser et former votre équipe comptabilité

Organisez une session de sensibilisation annuelle avec des exemples réels de tentatives de fraude. Pratiquez des simulations : envoyez de faux emails de « mise à jour IBAN » à votre équipe pour tester leurs réflexes. Documentez la procédure anti-fraude dans un guide interne accessible à tous les collaborateurs concernés.

Paramétrer des alertes bancaires

Activez les alertes SMS/email de votre banque pour tout virement sortant au-delà d'un seuil. Certaines banques pro (BNP, Société Générale, Qonto, Shine) permettent de définir des règles de validation renforcée directement dans l'interface. Ce double filet technologique complète les procédures humaines.

Souscrire une assurance fraude

Des produits d'assurance spécifiques couvrent les pertes liées à la fraude aux virements (ex. : garantie « fraude et cybercriminalité » proposée par Hiscox, AXA XL, Allianz). Vérifiez que votre contrat multirisque pro inclut cette couverture ou souscrivez un avenant dédié.

Que faire si vous avez été victime de fraude à la facture ?

Les premières 48 heures sont critiques. Plus vous agissez vite, plus les chances de récupérer les fonds sont élevées.

Actions immédiates (dans l'heure) :

  1. Contactez votre banque en urgence — Demandez le rappel du virement (procédure de « recall »). Si le virement n'a pas encore été crédité sur le compte bénéficiaire, la banque peut bloquer les fonds. Le délai moyen d'action efficace est de 24 à 72 heures.

  2. Déposez plainte à la gendarmerie ou au commissariat — Apportez tous les éléments : emails frauduleux, relevés bancaires, facture falsifiée. Une plainte formelle est indispensable pour activer votre assurance et entamer des poursuites.

  3. Signalez sur Cybermalveillance.gouv.fr — La plateforme nationale offre une mise en relation avec des prestataires spécialisés et un accompagnement juridique. Le signalement alimente aussi la base nationale de suivi des fraudes.

  4. Contactez le parquet via Signal-Spam ou l'OCLCTIC — Pour les fraudes d'envergure (> 100 000 €), l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC) peut être saisi.

Actions à moyen terme :

  • Notifiez votre assureur dans les délais contractuels (souvent 5 à 10 jours ouvrés)
  • Faites réaliser un audit de sécurité de votre messagerie par votre prestataire IT
  • Informez vos fournisseurs et partenaires si vous soupçonnez une compromission de messagerie
  • Revoyez et renforcez vos procédures internes pour éviter la récidive

FAQ — Fraude à la facture en entreprise

Q : La fraude à la facture est-elle couverte par l'assurance professionnelle classique ?

Généralement non. L'assurance multirisque pro standard ne couvre pas les fraudes aux virements. Il faut souscrire spécifiquement une garantie « fraude » ou « cybercriminalité financière ». Vérifiez les exclusions de votre contrat actuel et demandez un avenant si nécessaire.

Q : Mon banquier peut-il bloquer un virement frauduleux après envoi ?

Oui, mais sous conditions. La procédure de « recall » (rappel de virement) est possible si le virement n'a pas encore été crédité ou si la banque destinataire coopère. Le taux de succès est plus élevé pour les virements intra-européens (SEPA) que pour les virements internationaux. Agissez dans les 24 heures.

Q : Un dirigeant peut-il être personnellement responsable en cas de fraude non détectée ?

Dans certains cas, oui. Si le dirigeant n'a pas mis en place de procédures minimales de contrôle interne, sa responsabilité civile peut être engagée vis-à-vis des associés ou actionnaires. Les commissaires aux comptes recommandent systématiquement des procédures anti-fraude documentées pour limiter cette exposition.

Q : Comment vérifier rapidement qu'un email provient bien de mon fournisseur ?

Plusieurs méthodes complémentaires : vérifiez l'adresse complète (pas juste le nom affiché), regardez les en-têtes DKIM/SPF (via l'option « afficher le message original » de Gmail ou Outlook), appelez votre contact sur le numéro enregistré, et comparez avec les emails reçus précédemment. En cas de doute, ne cliquez sur aucun lien.

Q : Les PME sont-elles plus ciblées que les grandes entreprises ?

Paradoxalement, oui. Les grandes entreprises ont des services de contrôle interne plus développés et des outils anti-fraude plus robustes. Les PME présentent souvent une équipe comptable réduite, des processus moins formalisés et une autorité concentrée sur peu de personnes — des conditions favorables aux fraudeurs. Elles sont également perçues comme des cibles « à faible résistance ».

Q : Est-il possible de récupérer les fonds perdus ?

C'est rare mais pas impossible. La récupération dépend de la rapidité de réaction, de la localisation des fonds (un compte dans un pays coopératif est plus facile à bloquer) et de la qualité de la plainte. En moyenne, moins de 20% des fonds perdus dans une fraude FOVI sont récupérés. C'est pourquoi la prévention reste la meilleure stratégie.

Q : Dois-je signaler la fraude à la CNIL si des données personnelles ont été compromises ?

Oui, si la fraude a impliqué une violation de données personnelles (accès à votre messagerie, fichiers clients exposés, etc.). Vous avez 72 heures pour notifier la CNIL après avoir pris connaissance de la violation (article 33 du RGPD). En cas de risque élevé pour les personnes concernées, vous devez aussi les notifier directement.

Conclusion

La fraude à la facture n'est pas une fatalité. Avec les bons réflexes et des procédures adaptées, la grande majorité des tentatives peut être neutralisée avant qu'elles causent des dégâts.

Les 3 piliers d'une PME protégée :

  • Procédures systématiques : règle des quatre yeux, liste blanche IBAN, validation téléphonique obligatoire pour tout changement de coordonnées bancaires — aucune exception, aucun passe-droit hiérarchique.
  • Formation continue : sensibilisez votre équipe comptable au moins une fois par an avec des cas réels, des simulations et des procédures écrites accessibles. La vigilance se cultive.
  • Réaction rapide : en cas d'attaque réussie, chaque heure compte. Contactez votre banque immédiatement, déposez plainte dans les 24 heures et activez votre assurance dans les délais contractuels.

VériSources vous aide à protéger votre entreprise. Utilisez notre outil de vérification d'entreprise pour authentifier vos fournisseurs, consultez notre guide complet sur les arnaques pour identifier les schémas frauduleux les plus récents, ou explorez notre bibliothèque de guides OSINT pour renforcer votre culture de la vérification.

Mots-clés
fraude facturearnaque fournisseurPMEfaux virementFOVI
Restez informé

Recevez nos nouveaux guides

Nouvelles méthodes OSINT, alertes arnaques et analyses — chaque semaine dans votre boîte mail.