Un email apparemment légitime d’un fournisseur de longue date, un nouveau RIB communiqué, un virement validé en quelques heures. Quand l’arnaque est détectée, l’argent a déjà transité par plusieurs comptes étrangers. La direction achats, qui a validé le changement de coordonnées bancaires, se retrouve en première ligne, y compris sur le plan juridique.
Selon le rapport annuel 2025 de Cybermalveillance.gouv.fr, la fraude au virement représente désormais 13,5 % des demandes d’assistance des professionnels et a progressé de 93 % en un an. Pour les collectivités, la progression atteint 262 %. Et en 2026, l’intelligence artificielle générative change la donne : elle produit des emails frauduleux indistinguables des vraies communications fournisseurs, et le clonage de voix (deepfake audio) commence à être utilisé dans certaines fraudes ciblées — le 11ᵉ baromètre CESIN/OpinionWay (publié le 27 janvier 2026, données 2025) recense le deepfake comme vecteur émergent et le phishing comme principal mode d’attaque pour 55 % des entreprises victimes.
Ce guide fait le point sur l’état de la menace en 2026, sur les raisons pour lesquelles la majorité des procédures actuelles ne tiennent pas, et propose une procédure de protection en 7 étapes adaptée aux directions achats publiques et privées.
À retenir - La fraude au virement a progressé de 93 % en 2025 chez les professionnels et de 262 % chez les collectivités, selon Cybermalveillance.gouv.fr - La fraude au faux fournisseur représentait 45 % des fraudes recensées en entreprise selon le baromètre Allianz/DFCG 2022 - 57 % des entreprises françaises ont déclaré avoir subi au moins une fraude avérée en 2022, taux qui monte à 82 % pour les entreprises de plus de 100 millions d'euros de chiffre d'affaires - L'IA générative rend les emails frauduleux indistinguables en 2026, la vigilance « au feeling » ne suffit plus - Le principe des « quatre yeux » et le contre-appel sur numéro de référence restent les barrières les plus efficaces - La centralisation des données fournisseurs dans une plateforme unique évite la validation à l'aveugle
Comprendre la fraude au faux fournisseur en 2026
Définition et mécanique
La fraude au faux fournisseur, appelée FOVI (faux ordres de virement) ou BEC (Business Email Compromise) dans la littérature anglo-saxonne, désigne l’ensemble des manœuvres visant à détourner un paiement légitime vers un compte frauduleux en se faisant passer pour un fournisseur connu de l’entreprise.
Le scénario est désormais bien documenté. Selon le 11ᵉ baromètre CESIN/OpinionWay (publié en janvier 2026, données 2025), le phishing — sous toutes ses formes (spear phishing, smishing, vishing) — reste le principal vecteur d’attaque, cité dans 55 % des incidents significatifs. Une fois la messagerie d’un comptable ou d’un responsable achats compromise, le fraudeur lit les échanges en cours, identifie une facture en attente avec un fournisseur connu, crée une adresse email avec un caractère modifié dans le nom de domaine ou intercepte la conversation, et glisse un nouveau RIB au moment opportun. Il cible souvent les fins de mois et les veilles de congés, quand les équipes comptables sont sous pression.
La direction achats est en première ligne car c’est elle qui valide la mise à jour des fournisseurs dans la base de données, en amont du déclenchement du paiement par la comptabilité.
Les chiffres officiels qui doivent alerter
Le rapport annuel 2025 de Cybermalveillance.gouv.fr documente une accélération sans précédent de la fraude au virement. Cette typologie d’attaque représente désormais 13,5 % des demandes d’assistance des professionnels, en hausse de 93 % sur un an. Tous publics confondus, la progression atteint 170 %. Pour les collectivités territoriales, la hausse est encore plus brutale : 262 %.
Du côté des entreprises, le baromètre Allianz Trade / DFCG 2022, référence la plus citée pour mesurer la fraude en France, établissait que 57 % des entreprises françaises avaient subi au moins une fraude avérée en 2022. Le taux montait à 82 % pour les entreprises dont le chiffre d’affaires dépassait 100 millions d’euros. Surtout, parmi les techniques de fraude utilisées, le faux fournisseur arrivait en première position avec 45 % des cas constatés.
Selon les acteurs spécialisés de la vérification d’identité d’entreprise comme Infolegale, ces chiffres sous-estiment probablement la réalité : une part importante des fraudes ne fait pas l’objet d’un signalement, soit parce que l’entreprise victime n’identifie pas la nature exacte de l’attaque, soit par crainte d’un préjudice réputationnel.
Les directions achats des organisations de toute taille sont concernées, du bailleur social à la grande ETI industrielle, en passant par les collectivités territoriales.
Pourquoi 2026 change la donne
L'effet de l'IA générative
Jusqu’en 2024, la majorité des emails frauduleux contenaient des indices détectables : fautes de français, formulations étrangères, signatures approximatives, adresses email mal copiées. La règle interne « si quelque chose vous semble bizarre, vérifiez » fonctionnait encore.
En 2026, ce n’est plus le cas. Les modèles d’IA générative permettent désormais aux fraudeurs de produire des emails d’un naturel parfait, dans un français impeccable, en reprenant le style exact de communications antérieures. Une menace émergente vient s’ajouter à cette évolution : le clonage de voix (deepfake audio), qui pourrait à terme fragiliser les contre-appels téléphoniques utilisés comme parade. Le 11ᵉ baromètre CESIN/OpinionWay (publié en janvier 2026, données 2025) confirme l’ancrage du deepfake comme vecteur émergent, sans qu’il soit encore généralisé. La technologie reste techniquement exigeante pour une fraude de masse, mais elle est déjà documentée dans des fraudes ciblées sur des montants significatifs.
Le poids juridique pour la direction achats et la direction financière
La jurisprudence récente confirme la responsabilité pleine et entière des organisations victimes lorsque la procédure interne n’a pas été suivie correctement.
Pour le secteur public, le Conseil d’État a tranché par un arrêt du 21 octobre 2024 (Grand port maritime de Bordeaux c. Société Liebherr distribution et services France, n° 487929) : la collectivité victime d’une fraude au RIB doit payer deux fois. Le paiement effectué sur le compte frauduleux ne libère pas l’administration de son obligation envers le véritable créancier. La vérification des informations de paiement incombe à l’administration.
Pour le secteur privé, deux arrêts de la chambre commerciale de la Cour de cassation rendus en 2024 ont précisé les contours de la responsabilité bancaire. L’arrêt du 2 octobre 2024 (n° 23-13.282) rappelle l’obligation de vigilance du banquier face à des virements présentant des anomalies apparentes (montants inhabituels, bénéficiaires étrangers, période de l’année). L’arrêt du 23 octobre 2024 (n° 23-16.267) précise qu’aucune négligence grave du client n’est caractérisée lorsque la fraude utilise le spoofing (usurpation du numéro de téléphone de la banque), ce qui ouvre la voie à un remboursement.
Plus récent encore, l’arrêt du 4 mars 2026 (Cass. com. n° 25-11.959, publié au Bulletin) précise une distinction utile : lorsque la banque ne se borne pas à exécuter techniquement un ordre de virement mais rédige elle-même cet ordre à partir d’un RIB frauduleux comportant des incohérences apparentes (« faux grossier »), elle engage sa responsabilité contractuelle de droit commun pour manquement à son devoir de vigilance. L’affaire jugée concernait une fraude immobilière entre particuliers et BNP Paribas, mais le principe posé, la banque qui intervient activement dans la rédaction de l’ordre n’est plus protégée par le régime spécial de l’article L. 133-21 du Code monétaire et financier, peut s’étendre à toute opération en agence où le conseiller bancaire prépare lui-même l’ordre. En revanche, dans le cas typique de la fraude au faux fournisseur en B2B, l’ordre est généralement émis directement par le service comptable de l’entreprise victime via son outil bancaire en ligne : la responsabilité de la banque y est plus difficile à engager, et la traçabilité de la procédure interne reste le facteur déterminant.
Ces décisions montrent que la responsabilité juridique se déplace selon les circonstances, mais que la traçabilité de la procédure interne reste déterminante pour tout recours.
Le cadre pénal
La fraude au faux fournisseur relève de l’article 313-1 du Code pénal qui définit l’escroquerie. Commise en bande organisée, elle expose ses auteurs à dix ans d’emprisonnement et un million d’euros d’amende. En pratique, l’identification et la poursuite des auteurs restent rares lorsque les fonds ont transité par plusieurs pays.
Pourquoi les procédures actuelles ne tiennent pas
La plupart des organisations affirment disposer d’une procédure anti-fraude. Mais à l’analyse, ces procédures présentent souvent les mêmes failles.
Le mythe du principe des « quatre yeux »
Le principe des « quatre yeux », toute modification sensible doit être validée par deux personnes, est universellement cité. Dans les faits, il est rarement appliqué de manière rigoureuse. Le valideur secondaire signe souvent sans réelle vérification, par confiance ou par charge de travail.
Cybermalveillance.gouv.fr et Ma Sécurité du Ministère de l’Intérieur martèlent qu’aucun changement de RIB ne devrait se valider sur la base d’un email seul, quel que soit l’expéditeur apparent. La règle est connue, son application reste partielle.
Le contre-appel sur le mauvais numéro
Le réflexe de contre-appel téléphonique est une parade saine, mais beaucoup d’organisations contre-appellent sur le numéro fourni dans l’email demandant le changement de RIB. Ce numéro est, par construction, celui du fraudeur. Le contre-appel doit impérativement se faire sur un numéro de référence pré-existant dans la base fournisseurs, jamais sur un numéro fourni dans la communication entrante.
L'absence de matrice de risque
Tous les fournisseurs ne présentent pas le même profil de risque. Un fournisseur facturant un faible montant annuel n’appelle pas la même vigilance qu’un fournisseur stratégique. Une matrice de risque par typologie de fournisseur, croisant volume d’achats et criticité, permet de calibrer la procédure de validation. Cette pratique reste rare dans les PME et les collectivités.
La sensibilisation ponctuelle
Les organisations qui ont été victimes d’une fraude organisent généralement une session de sensibilisation immédiate. L’effet est réel mais s’estompe en quelques mois. La sensibilisation doit être récurrente, intégrée à la formation des nouveaux entrants, et adaptée aux évolutions des techniques de fraude.
La procédure anti-fraude qui tient en 2026
Voici une procédure en 7 étapes adaptée aux directions achats publiques et privées. Elle peut être mise en œuvre en quelques jours et ne nécessite pas d’investissement technologique lourd.
Étape 1 — Détection
Toute demande de modification des coordonnées bancaires d’un fournisseur, qu’elle vienne par email, courrier ou téléphone, déclenche immédiatement la procédure. Aucune exception, même pour un fournisseur de longue date ou une demande qui semble urgente.
Étape 2 — Mise en quarantaine
La demande est mise en attente dans un dossier dédié. Aucune saisie n’est faite dans la base fournisseurs ni dans l’outil de paiement avant validation complète. Cette étape, simple en apparence, évite les contournements involontaires (« je saisis maintenant, on validera après »).
Étape 3 — Vérification d'identité
L’identité réelle de l’entreprise fournisseur est vérifiée via une source officielle indépendante de la communication entrante. Plusieurs sources publiques sont disponibles : l’extrait Kbis via Infogreffe, le BODACC pour les changements récents, le Registre des Bénéficiaires Effectifs (RBE), ou les bases professionnelles de connaissance d’entreprise comme Infolegale qui agrègent ces données et permettent de croiser plusieurs sources en une seule consultation. L’objectif est de confirmer que l’entreprise existe, que ses dirigeants n’ont pas changé récemment, et qu’elle n’est pas en procédure collective.
Étape 4 — Contre-appel sur numéro de référence
Le contre-appel est effectué sur le numéro fournisseur enregistré dans la base depuis au moins six mois, jamais sur un numéro fourni dans la communication entrante. L’interlocuteur doit être identifié nominativement et sa voix reconnue par un collaborateur ayant déjà eu un échange avec lui. En cas de doute sur la voix (risque de deepfake audio), demander une question dont la réponse n’est pas accessible publiquement.
Étape 5 — Double validation managériale
La modification est validée par deux personnes distinctes : l’acheteur ou le gestionnaire du compte fournisseur, et un responsable hiérarchique habilité. Les deux signatures sont tracées dans l’outil de gestion fournisseurs. Pour les modifications de RIB sur des fournisseurs représentant un volume d’achats annuel significatif, une troisième validation par la direction financière est recommandée.
Étape 6 — Traçabilité complète
Toute la chaîne de validation est documentée dans un système accessible et auditable : email original, source de vérification d’identité utilisée, date et heure du contre-appel, identité du collaborateur ayant validé, signatures électroniques. En cas de fraude détectée a posteriori, cette traçabilité conditionne la possibilité de recours juridique, comme l’a confirmé la jurisprudence récente.
Étape 7 — Capitalisation post-incident
Toute tentative de fraude, qu’elle ait abouti ou non, fait l’objet d’un retour d’expérience formalisé : description du mode opératoire, signaux d’alerte qui ont permis (ou non) la détection, ajustements de la procédure. Ces retours d’expérience sont partagés en interne et peuvent l’être avec les pairs via les associations professionnelles (CNA, CDAF, associations de DAF) ou les plateformes officielles comme Cybermalveillance.gouv.fr et Signal Conso.
Au-delà de la procédure : le rôle de la centralisation des données fournisseurs
La procédure ci-dessus est la base. Elle est nécessaire mais pas suffisante. La meilleure protection contre la fraude au faux fournisseur reste la centralisation des données fournisseurs dans une plateforme unique, partagée entre les achats, la finance et les opérationnels.
Quand chaque service gère ses propres fournisseurs dans des fichiers Excel séparés, le risque est démultiplié : un fraudeur qui infiltre un service peut faire valider une modification sans que les autres services le sachent. À l’inverse, dans une organisation où tous les fournisseurs sont référencés dans une plateforme unique, avec une traçabilité complète des modifications et un workflow de validation formalisé, la fraude devient beaucoup plus difficile à exécuter.
Cette centralisation a aussi une vertu défensive en aval : si une fraude est détectée, l’organisation peut immédiatement vérifier que le RIB frauduleux n’a pas été utilisé pour d’autres paiements et bloquer toute utilisation future.
Le cas particulier du secteur public
Les comptables publics bénéficient théoriquement d’une protection structurelle : la séparation entre l’ordonnateur (qui engage la dépense) et le comptable (qui paie) constitue une barrière naturelle. Dans les faits, cette protection est moins solide qu’on le pense pour deux raisons.
D’abord, les marchés à bons de commande passent souvent par des circuits courts où le contrôle hiérarchique est allégé. Ensuite, la pression sur les délais de paiement publics, fixés par les articles R. 2192-10 et R. 2192-11 du Code de la commande publique, issus du décret n° 2018-1075 du 3 décembre 2018 portant partie réglementaire du CCP (qui a recodifié les dispositions du décret n° 2013-269 du 29 mars 2013) à 30 jours pour l’État, ses établissements publics et les collectivités territoriales, 50 jours pour les établissements publics de santé et 60 jours pour les entreprises publiques (SEM, SPL, sociétés anonymes d’HLM), incite parfois à des validations rapides.
Surtout, comme l’a rappelé le Conseil d’État dans son arrêt du 21 octobre 2024, la collectivité victime d’une fraude au RIB doit payer deux fois : une fois au fraudeur, une fois au véritable créancier. Les bailleurs sociaux, OPH, SEM et collectivités territoriales restent donc particulièrement exposés à la fraude au faux fournisseur, en particulier sur les marchés de travaux et de services aux locataires où les sous-traitants sont nombreux et les modifications de coordonnées bancaires fréquentes.
La procédure en 7 étapes décrite plus haut s’applique pleinement au secteur public, avec une vigilance particulière sur l’étape 5 (double validation managériale) qui doit s’articuler avec les délégations de signature de la collectivité.
Sécuriser vos données fournisseurs avec Okaveo
Centraliser les données fournisseurs, formaliser les workflows de validation, tracer chaque modification, alerter sur les modifications sensibles : ces chantiers se prêtent mal au pilotage sur tableur ou sur boîte mail.
Avec Okaveo, vous pouvez :
- Centraliser toutes les données fournisseurs dans une base unique, partagée entre achats, finance et opérationnels, avec contrôle des droits d’accès
- Formaliser les workflows de validation des modifications sensibles (RIB, coordonnées, dirigeants), avec double signature obligatoire selon les règles que vous définissez
- Tracer chaque modification avec horodatage, identité du valideur et justificatif joint, pour une piste d’audit complète
- Détecter automatiquement les modifications inhabituelles via des règles paramétrables (changement de RIB juste avant échéance, modification simultanée de plusieurs comptes, etc.)
- Croiser les données fournisseurs avec des sources externes de vérification d’identité
Conclusion
La fraude au faux fournisseur n’est pas une menace lointaine ni un sujet réservé aux grandes entreprises. Elle touche les PME, les ETI, les collectivités et les bailleurs sociaux avec une intensité qui s’accélère sous l’effet de l’IA générative, la progression de 93 % de la fraude au virement chez les professionnels en 2025 (rapport Cybermalveillance.gouv.fr) en est la traduction la plus claire. La direction achats, en validant les modifications de coordonnées bancaires fournisseurs, est en première ligne, y compris sur le plan de la responsabilité juridique en cas d’incident.
La bonne nouvelle, c’est que la protection est largement à portée. Une procédure structurée en 7 étapes, déployée sérieusement, élimine la grande majorité des risques. La centralisation des données fournisseurs dans une plateforme unique apporte une couche de protection supplémentaire et facilite la traçabilité qui conditionne tout recours en cas d’incident.
Les organisations qui prennent ce sujet à bras-le-corps en 2026 ne le font pas par excès de prudence. Elles le font parce qu’elles ont compris que les conséquences financières et juridiques d’une seule fraude réussie peuvent peser lourdement sur le bilan, et que la direction achats est souvent la dernière barrière efficace.
FAQ : Fraude au faux fournisseur
Qu'est-ce que la fraude au faux fournisseur exactement ?
C’est une manœuvre frauduleuse visant à détourner un paiement légitime en se faisant passer pour un fournisseur connu de l’entreprise. Le fraudeur communique de fausses coordonnées bancaires, généralement par email, en imitant l’identité d’un fournisseur réel. La fraude est appelée FOVI (faux ordre de virement) en français ou BEC (Business Email Compromise) en anglais.
Quelle est l'ampleur du phénomène en 2025-2026 ?
Selon le rapport annuel 2025 de Cybermalveillance.gouv.fr, la fraude au virement représente 13,5 % des demandes d’assistance des professionnels et a progressé de 93 % en un an. Pour les collectivités, la progression atteint 262 %. Selon le baromètre Allianz Trade / DFCG 2022, la fraude au faux fournisseur représentait 45 % des fraudes recensées en entreprise, et 57 % des entreprises françaises avaient subi au moins une fraude avérée cette même année.
Quelle est la différence entre fraude au faux fournisseur et fraude au président ?
La fraude au président cible la trésorerie de l’entreprise par usurpation d’identité d’un dirigeant qui demanderait un virement urgent et confidentiel. La fraude au faux fournisseur passe par la modification des coordonnées bancaires d’un fournisseur existant. Les deux fraudes peuvent coexister et utilisent des techniques similaires (phishing, IA générative, deepfake audio).
Qui est responsable juridiquement en cas de fraude réussie ?
Pour le secteur privé, plusieurs arrêts de la Cour de cassation en 2024 et 2026 ont précisé les obligations de vigilance de la banque. L’arrêt du 4 mars 2026 (n° 25-11.959, publié au Bulletin) retient la responsabilité de la banque dans l’hypothèse particulière où elle a elle-même rédigé un ordre de virement à partir d’un faux RIB grossier ; cette hypothèse vise principalement les opérations en agence (notamment immobilières) plus que les fraudes au faux fournisseur en B2B où l’ordre est généralement émis directement par l’entreprise via son outil bancaire en ligne.
Quelles sources officielles utiliser pour vérifier l'identité d'un fournisseur ?
Plusieurs sources publiques sont disponibles : Infogreffe pour les Kbis, le BODACC pour les annonces légales, le Registre des Bénéficiaires Effectifs (RBE), data.gouv.fr pour les bases SIRENE. Des plateformes professionnelles comme Infolegale agrègent ces sources et permettent une vérification consolidée plus rapide.
Mon entreprise est-elle concernée si elle est de petite taille ?
Oui. Les PME sont des cibles fréquentes des fraudeurs car leurs procédures de validation sont généralement moins formalisées que celles des grandes entreprises. Le baromètre Allianz Trade / DFCG 2022 indiquait néanmoins que les grandes entreprises (CA > 100 M€) restaient les plus touchées (82 % d’entre elles avaient subi une fraude avérée en 2022, contre 57 % en moyenne) — non pas parce qu’elles sont moins protégées, mais parce qu’elles concentrent les enjeux financiers les plus importants. Aucune taille n’est à l’abri.
Faut-il porter plainte en cas de fraude réussie ?
Oui, systématiquement. Cybermalveillance.gouv.fr recommande d’appeler immédiatement la banque pour tenter un rappel de fonds, puis de geler les coordonnées frauduleuses dans tous les systèmes internes et de déposer plainte auprès de la police ou de la gendarmerie. Le dépôt de plainte est nécessaire pour toute démarche de recouvrement, pour informer les autorités du mode opératoire et pour permettre l’identification des réseaux frauduleux. Signal Conso (DGCCRF) et Cybermalveillance.gouv.fr peuvent aussi être saisis en parallèle.
Une cyber-assurance couvre-t-elle ces fraudes ?
Certaines polices de cyber-assurance ou d’assurance fraude couvrent la fraude au président et la fraude au faux fournisseur, mais avec des conditions strictes (procédure interne respectée, dépôt de plainte, déclaration immédiate à l’assureur) et souvent des franchises et plafonds importants. Vérifiez précisément les exclusions de votre contrat.
Téléchargez gratuitement le kit anti-fraude au faux fournisseur
Procédure complète, script de contre-appel téléphonique, matrice de risque par typologie de fournisseur, modèle de formulaire de validation RIB, liste des signaux d’alerte 2026.
