Comment détecter et éviter une fraude aux faux fournisseurs ?
Fiche pratique | Publié le 04 octobre 2023 | Mis à jour le 18 décembre 2023
Mohamed Hassan - Pixabay
Vous recevez un email contenant les coordonnées bancaires d’un artisan, d’une entreprise ou d’un autre professionnel pour le payer par virement. Soyez prudent ! Vérifiez qu'il ne s'agit pas d’une tentative d’escroquerie au virement ou arnaque au faux RIB. Et adaptez les bons réflexes en cas de suspicion.
Qu’est-ce que la fraude aux faux fournisseurs ?
La fraude au faux fournisseur consiste à se faire passer pour un fournisseur de l’entreprise, ou un professionnel avec qui l'entreprise est en affaire, afin d’obtenir le paiement d’une ou plusieurs factures. Si elle s’appuie le plus souvent sur le numérique elle mobilise aussi une dimension d’ingénierie sociale, que l'on peut résumer par le fait d'utiliser des techniques de manipulation psychologique à des fins d'escroquerie.
En 2022, 69 % des entreprises disent avoir été victimes d’une tentative de fraude selon le Baromètre Fraude et Cybercriminalité 2022. La technique la plus utilisée par les escrocs pour duper les entreprises est l’usurpation d’identité en vue de commettre une fraude au faux fournisseur avec un faux RIB. Elle représente 45 % des tentatives de fraude suivie par l’usurpation d’identité d’autres partenaires, comme les faux avocats, banques, assurances, etc. (41 %).
Et ce phénomène ne touche pas que les grandes entreprises ! De plus en plus de petites entreprises sont victimes de la fraude au faux fournisseur.
C’est ce qui est arrivé récemment à une éleveuse des Côtes-d'Armor, rapportée par RTL, victime d’une arnaque via sa boîte mail au cours d’une transaction financière avec deux autres agricultrices. Des cybercriminels ont intercepté ses emails et modifié les coordonnées bancaires (RIB) de la facture qu’elle avait envoyé à ses clientes par courrier électronique. L’éleveuse n’a jamais perçu le virement de 18.000 euros effectué par ses clientes sur le compte des malfaiteurs. Suite à cette arnaque, la victime se retrouve aujourd’hui dans une situation économique précaire.
A savoir : ce type d'escroquerie peut aussi être effectuée sans recourir au numérique ! L'arnaqueur s'il parvient à accéder à une ou plusieurs factures en format papier de l’entreprise qu’il cible, ou de son fournisseur peut la reproduire et la modifier pour ajouter ses coordonnées bancaires avant de la transmettre à son destinataire et de recevoir le paiement de celle-ci à la place du fournisseur dont il usurpe l’identité.
Autres escroquerie similaires
Le faux fournisseur demande un changement de RIB
Le fraudeur peut également effectuer le changement de coordonnées bancaires en contactant les entreprises victimes pour leur demander le changement de RIB. Ensuite, il demande le paiement de la facture concernée et recevra le virement frauduleux.
Un faux support technique prend la main de l'informatique
Dans ce cas, l’escroc se fait passer pour un technicien informatique annonçant une migration, un test ou un incident sur l'outil sur lequel sont gérés les comptes et les virements. Il en profite alors pour prendre la main sur l'ordinateur de son interlocuteur afin d’effectuer de prétendues opérations de maintenance et réaliser le changement de RIB.
Lire à ce sujet la fiche pratique réalisée par BNP Paribas, La fraude au faux technicien, comment bien se protéger.
Quelles mesures de prévention prendre ?
Appliquez les règles élémentaires de sécurité
A minima, pour limiter les risques, il est essentiel de respecter un certain nombre de règles simples. Dans sa fiche dédiée à la fraude aux faux fournisseurs, notre partenaire Cybermalveillance.gouv.fr liste 4 bonnes pratiques préventives :
- Utilisez des mots de passe différents et complexes pour chaque site et application que vous utilisez. Et activez la double authentification quand elle est disponible.
- Appliquez de manière régulière et systématique les mises à jour de sécurité du système, des applications et des logiciels installés sur vos appareils. Tous nos conseils pour bien gérer vos mises à jour.
- N’installez des applications ou logiciels que depuis les sites ou magasins officiels au risque de télécharger une version infectée par un virus.
- Utilisez un antivirus pour vous protéger des virus qui pourraient dérober vos mots de passe.
Consultez aussi notre fiche pratique qui recense les conseils de notre partenaire Cybermalveillance.gouv.fr pour protéger votre entreprise contre les menaces en ligne, qui sont autant d'opportunités de fraude pour les escrocs.
Sécurité du numérique pour les entreprises : comment se protéger
Découvrez les ressources mises à disposition par Cybermalveillance.gouv.fr pour se protéger contre les menaces cyber.
Formez et sensibilisez les salariés aux aux problèmes de sécurité
Mettez en place des actions de sensibilisation et / ou de formation pour améliorer le niveau de culture de tous les salariés sur les risques cyber.
Profitez des Formations France Num pour vous former à la cybersécurité
Profitez des Formation France Num pour être sensibilisé ou vous former pour améliorer la sécurité de votre entrprise.
Les Formations France Num sont :
1 - Courtes (de 3 à 10 heures réparties dans le temps)
2 - Pratiques car conçues par des experts métiers
3 - Gratuites parce que financées par le Plan de relance (dans la limite de 3 formations)
Formalisez des procédures claires pour tout ce qui touche à la gestion des virements de fonds
Définissez précisément qui peut créer ou modifier les bénéficiaires des virements bancaires et qui peut procéder à des virements.
Dans l'idéal, il peut être judicieux que toute création ou modification des bénéficiaires soit systématiquement validée par le dirigeant de l'entreprise via un canal fiable (un simple mail pouvant être insuffisant si la messagerie de l'entreprise est compromise, et que les escrocs y ont accès)
Faites preuve de bon sens
La meilleure façon de se protéger des techniques d’ingénierie sociale est d’utiliser son bon sens pour ne pas divulguer à n’importe qui des informations pouvant nuire à la sécurité de l’entreprise.
Évitez de communiquer des informations sensibles ou confidentielles sur l’organisation de l’entreprise, notamment via les réseaux sociaux.
Comment réagir face à une éventuelle tentative de fraude aux faux fournisseurs ?
Les bonnes pratiques sont parfois oubliées dans l’urgence. Les escrocs ont tendance à jouer sur les émotions, à vous submerger d’informations, à utiliser des techniques de manipulation, à mettre la pression, voire à être menaçants… Ils savent se montrer convaincants. Pour faire face, il faut arriver à prendre du recul sur la situation et à se référer aux procédures (vérification, validation…).
Dans le doute, mettez fin à l’échange afin de prendre contact avec votre interlocuteur connu, par les moyens habituels pour vérifier les informations ou la demande.
Cinq éléments à vérifier pour identifier une tentative de fraude aux faux fournisseurs
Quand vous recevez un message, soyez vigilants à un certain nombre de d’aspects.
Les fautes d’orthographe et de grammaire
Si l’email contient beaucoup de fautes d’orthographe et de grammaire il est probable qu’il ne soit pas envoyé par un de vos fournisseurs.
Néanmoins, si les emails frauduleux sont de mieux en mieux rédigés et plus en plus crédibles, ils contiennent souvent des erreurs ou des incohérences qui doivent éveiller votre vigilance.
L’objet de la demande
Si la demande est inhabituelle, voire formulée par une personne que vous ne connaissez pas, cela doit immédiatement vous alerter ! Un changement de RIB ou d’IBAN n’est pas un acte courant et donc une demande de changement est potentiellement suspecte.
Les coordonnées de l’expéditeur
Un bon réflexe à avoir est de vérifier l’adresse de messagerie et le nom de l’expéditeur. Soyez attentif au moindre détail. Les escrocs sont adeptes du cybersquattage qui consiste à utiliser un nom de domaine très proche de l’original (par exemple, une lettre change).
Et même si l’adresse email est la bonne, en cas de doute, n’hésitez pas à contacter votre correspondant par téléphone pour vérifier la véracité de sa demande, et le cas échéant, contrôler avec lui que le RIB est bien le sien. Contactez le via son numéro habituel, et non celui qui est noté dans le courriel ou le courrier papier !
Les pièces jointes et les liens
Enfin, si le message vous paraît suspect, n’ouvrez pas la pièce jointe, ne cliquez pas sur les liens et supprimez l’email.
Les coordonnées du compte bancaire
Vérifiez le code pays de la banque figurant sur le RIB : pour une banque française, le code IBAN commence par FR. Un code IBAN commençant par d’autres initiales correspond à une banque étrangère. Soyez vigilant, les comptes bancaires utilisés par les arnaqueurs sont souvent situés à l’étranger.
Que faire en cas de tentative de fraude ?
- Avertissez le dirigeant de l'entreprise. Privilégiez un canal de communication distinct des outils numériques de l'entreprise qui peuvent être corrompus, comme le téléphone par exemple.
- Prévenez le fournisseur ou le partenaire dont émane le message frauduleux qu'il s’est fait usurper son identité. S’il s’est fait pirater son système informatique, il doit être mis au courant le plus rapidement possible pour pouvoir prendre les mesures qui s’imposent pour sécuriser ses outils.
- Signalez l'escroquerie auprès du site internet-signalement.gouv.fr, la plateforme d’harmonisation, d’analyse de recoupement et d’orientation des signalements ou contactez Info Escroqueries au 0 805 805 817 (numéro vert - appel gratuit depuis la France) du lundi au vendredi de 9 h à 18 h 30. Si l'escroquerie que vous souhaitez signaler vous est parvenue par un spam (pourriel), rendez-vous sur signal-spam.fr.
- Portez plainte auprès du service de police ou de gendarmerie le plus proche, en apportant un maximum d'éléments.
Que faire si l'ordre de paiement au faux fournisseur a été passé ?
- Identifier immédiatement les virements exécutés, les mandats de paiement ou les demandes de paiement en instance ou à venir utilisant les coordonnées bancaires frauduleuses.
- Bloquer les coordonnées bancaires frauduleuses dans les applications métiers.
- Si le paiement n'est pas encore intervenu, suspendre le mandat de paiement / la demande de paiement concerné et / ou bloquer la mise en paiement pour analyser la situation ;
- Déposer une plainte auprès des services de police et de gendarmerie. Un dépôt de plainte rapide permet d'optimiser les chances de récupérer les fonds escroqués.
Pour en savoir plus consultez notre article :
Comment se former contre les risques de fraude
Formation : comment se prémunir contre les risques de fraude
En une heure cette formation en ligne vous permettra d'apprendre à identifier les différents types de fraude et à vous en prémunir. Vous découvrirez aussi comment tester la robustesse de votre système de prévention et identifierez les bons réflexes pour réagir efficacement en cas de fraude avérée.
Julien Karachehayas | Licence Creative Commons BY-NC-SA 3.0 FR
Dans la même thématique
Le chiffrement des données : une protection indispensable pour les TPE PME
Le chiffrement des données constitue un des maillons essentiels de la cybersécurité des TPE PME. En ...
Fiche pratique | 19 mars 2024
FiligraneFacile : un service gratuit pour sécuriser ses documents à envoyer
Pour lutter contre l’utilisation frauduleuse de documents et l’usurpation d’identité qu’elle permet,...
Fiche pratique | 18 décembre 2023
Guide de la sécurité des données personnelles de la Cnil : la référence pour les professionnels
Découvrez le dossier réalisé par la Cnil pour aider les entreprises à gérer les données personnelles...
Dossier | 27 mars 2024
