← Retour à Arnaques & hameçonnage

Fraude au virement et à la facture

La fraude au virement et à la facture représente la catégorie d’attaques BEC la plus dévastatrice financièrement. Avec 90 % des entreprises ciblées et 63 % ayant subi une fraude réelle, ces attaques exploitent les processus de paiement pour détourner des fonds vers des comptes criminels.

L’ampleur du problème

Statistiques 2024 :

• 90 % des entreprises ciblées par des tentatives de fraude au virement
• 63 % ont subi une fraude au virement bancaire réussie
• 60 % ont perdu plus de 5 millions de dollars (augmentation de 136 % par rapport à 2023)
• 2,9 milliards de dollars perdus à cause de la fraude au virement dans le monde
• La compromission de fournisseur a augmenté de 66 % au S1 2024
• Taux de récupération moyen : Moins de 15 % des fonds volés

Pourquoi c’est si dévastateur :

• Les virements sont immédiats et difficiles à annuler
• Les virements internationaux sont presque impossibles à récupérer
• Les escrocs travaillent rapidement pour déplacer/retirer les fonds
• Les banques ont une responsabilité limitée une fois le virement autorisé

Types de fraude au virement et à la facture

1. Manipulation de facture

Comment ça marche :

• L’escroc compromet un email (employé, fournisseur ou client)
• Surveille la correspondance pour comprendre les processus de paiement
• Intercepte une facture légitime
• Modifie les coordonnées bancaires
• Envoie à la comptabilité avec les nouvelles informations de paiement

Variations courantes :

• Facture PDF avec coordonnées bancaires modifiées
• Email depuis un compte fournisseur compromis
• Notification de “mise à jour des coordonnées bancaires”
• Annonces de “changement de banque”

2. Détournement de paiement

Comment ça marche :

• L’email semble provenir du fournisseur
• Prétend que le compte bancaire a changé en raison d’une fusion, de sécurité ou autre raison
• Fournit de nouvelles instructions de virement
• La comptabilité met à jour les informations du fournisseur
• Tous les paiements futurs sont détournés vers l’escroc

Signaux d’alerte :

• Notification de changement inattendue
• “Vérifiez immédiatement” urgent
• Envoyé par email au lieu d’une lettre formelle
• Compte bancaire dans un pays/état différent du fournisseur

3. Fraude à la facture par homme du milieu

Comment ça marche :

• L’escroc compromet l’email d’une partie
• Surveille les communications de factures/paiements
• Intercepte et modifie les factures en transit
• Aucune partie ne réalise la fraude jusqu’à ce que le paiement n’arrive pas

Exemple :

• Le fournisseur envoie une facture au client
• L’escroc intercepte, change les coordonnées bancaires
• Le client paie l’escroc en pensant que c’est le fournisseur
• Le fournisseur ne reçoit jamais le paiement, demande à nouveau le paiement
• Le client réalise la fraude, l’argent est parti

4. Virement frauduleux du PDG

Comment ça marche :

• Email usurpant l’identité du PDG/directeur financier
• Demande un virement urgent
• Prétend une acquisition/affaire confidentielle
• Demande de contourner les procédures normales
• Les finances autorisent pour éviter de contrarier le dirigeant

Pourquoi ça marche :

• Biais d’autorité (obéir aux dirigeants)
• L’urgence contourne la vérification
• La confidentialité empêche la discussion
• Peur de questionner la direction

5. Usurpation d’avocat/juridique

Comment ça marche :

• L’email prétend provenir d’un cabinet d’avocats gérant une transaction
• En-tête et langage professionnels
• Demande un virement pour une clôture, un règlement, des honoraires juridiques
• Fournit des informations de compte bancaire

Cibles courantes :

• Transactions immobilières
• Fusions et acquisitions
• Règlements juridiques
• Paiements de contrats

Études de cas réels

Cas 1 : Toyota Boshoku Corporation (37 millions de dollars, 2019)

Ce qui s’est passé :

• Un employé des finances a reçu un email d’un “dirigeant”
• Demandait un transfert de fonds pour une acquisition
• L’email semblait légitime (domaine usurpé)
• L’employé a autorisé un transfert de 37 millions de dollars
• Fonds envoyés vers plusieurs comptes internationaux
• Découvert quelques jours plus tard lorsque le vrai dirigeant s’est renseigné

Résultat : Récupération partielle grâce à une action rapide et à la coopération des forces de l’ordre, mais la majorité perdue.

Cas 2 : Arnaque de changement de compte fournisseur (Entreprise manufacturière, 2,3 millions de dollars, 2024)

Ce qui s’est passé :

• Email d’un fournisseur de longue date notifiant un changement de banque
• Email professionnel correspondant au style du fournisseur
• Le compte email du fournisseur avait été compromis
• La comptabilité a mis à jour les dossiers du fournisseur
• Trois mois de paiements (2,3 millions de dollars) envoyés à l’escroc
• Le vrai fournisseur a contacté pour non-paiement
• À ce moment-là, l’argent avait transité par plusieurs pays

Résultat : Moins de 10 % récupéré.

Cas 3 : Fraude au virement immobilier (150 000 dollars, 2024)

Ce qui s’est passé :

• L’acheteur immobilier a reçu des instructions de clôture par email
• L’email semblait provenir de la société de titre
• Comprenait des instructions de virement pour l’acompte
• L’acheteur a viré 150 000 dollars comme indiqué
• À la clôture, la société de titre n’avait aucun enregistrement du paiement
• L’email provenait d’un escroc surveillant la transaction

Résultat : Non récupéré. L’acheteur a perdu l’acompte et la vente de la maison.

Procédures de vérification

Pour TOUS les virements :

Vérification multi-étapes obligatoire :

1. Vérification par rappel :

   • Appeler un numéro de téléphone connu (pas celui de l’email)
   • Vérifier avec une personne que vous connaissez dans l’entreprise
   • Confirmer le montant exact et les détails du compte
   • Documenter avec qui vous avez parlé et quand

2. Double approbation :

   • Deux personnes doivent approuver les virements au-dessus du seuil
   • Les approbateurs ne peuvent pas être liés ou se rapporter l’un à l’autre
   • Signatures physiques ou approbation numérique sécurisée

3. Période d’attente :

   • Blocage de 24-48 heures pour les demandes inhabituelles
   • Les nouveaux fournisseurs nécessitent une vérification prolongée
   • Les gros montants (>50 000 dollars) nécessitent une approbation de la direction

4. Transaction test :

   • Envoyer d’abord un petit montant (1-10 dollars)
   • Confirmer la réception avec le fournisseur
   • Envoyer le reste seulement après confirmation

Pour les changements bancaires des fournisseurs :

Protocole de vérification strict :

1. Ne jamais accepter par email seul :

   • Exiger une lettre formelle sur papier à en-tête de l’entreprise
   • Appeler un contact connu pour vérifier (pas le numéro dans l’email)
   • Demander une réunion en personne si possible
   • Vérifier avec plusieurs contacts chez le fournisseur

2. Documentation requise :

   • Lettre bancaire officielle confirmant le nouveau compte
   • Autorisation du fournisseur signée par un dirigeant
   • Formulaire W-9 mis à jour
   • Vérification du paiement test

3. Signalement dans le système :

   • Marquer le compte comme “récemment modifié”
   • Exiger une vérification supplémentaire pendant 90 jours
   • Alerter tous les membres de l’équipe qui travaillent avec le fournisseur

Pour la révision des factures :

Chaque facture doit être vérifiée pour :

1. Vérifications de cohérence :

   • Correspond aux factures précédentes (format, coordonnées bancaires)
   • Mêmes coordonnées
   • Dates de livraison/service attendues
   • Tarification et quantités normales

2. Vérification du compte bancaire :

   • Comparer aux paiements précédents
   • Tout changement nécessite une vérification
   • Vérifier que le pays/la banque correspond à l’emplacement du fournisseur

3. Vérification de la communication :

   • Confirmer la facture par téléphone
   • Utiliser les coordonnées de la correspondance précédente, pas de l’email actuel
   • Vérifier les détails spécifiques (numéro de bon de commande, montant, date)

Contrôles techniques

Sécurité des emails :

1. Authentification des emails :

   • SPF, DKIM, DMARC configurés et appliqués
   • Rejeter les emails qui échouent à l’authentification
   • Afficher des avertissements pour les emails externes

2. Surveillance des domaines :

   • Alerter sur les domaines similaires (entrepriseinc vs entreprise-inc)
   • Surveiller le typosquatting
   • Enregistrer les fautes d’orthographe courantes

3. Filtrage des emails :

   • Signaler les demandes de changement de compte bancaire
   • Alerter sur les mots-clés de virement
   • Mettre en évidence les emails externes demandant des paiements

Contrôles financiers :

1. Séparation des tâches :

   • Différentes personnes : demander, approuver, exécuter
   • Aucune personne seule ne peut effectuer un virement
   • Rotation régulière des responsabilités

2. Limites de transaction :

   • Limites quotidiennes par personne
   • Seuils de montant pour les niveaux d’approbation
   • Limiter qui peut autoriser les virements

3. Gestion des fournisseurs :

   • Base de données centralisée des fournisseurs
   • Audits réguliers des informations des fournisseurs
   • Procédures formelles de demande de changement
   • Vérification annuelle des informations bancaires

4. Automatisation des paiements :

   • ACH au lieu de virement quand possible
   • Systèmes de paiement positif
   • Surveillance de la fraude en temps réel
   • Cartes de crédit virtuelles pour des fournisseurs spécifiques

Surveillance et audit :

1. Surveillance en temps réel :

   • Alerter sur les montants de paiement inhabituels
   • Signaler les paiements vers de nouveaux comptes
   • Surveiller les virements internationaux
   • Détecter les écarts par rapport aux modèles

2. Audits réguliers :

   • Réviser les virements mensuellement
   • Vérifier les informations bancaires des fournisseurs trimestriellement
   • Tester les procédures de vérification
   • Analyser les modèles de tentatives de fraude

Procédures de réponse

Si une fraude au virement est suspectée ou confirmée :

Actions immédiates (en quelques minutes) :

1. Appelez votre banque immédiatement :

   • Demander un rappel de virement
   • Le succès dépend de la rapidité (les heures comptent)
   • Fournir tous les détails de la transaction
   • Demander un blocage du compte bénéficiaire

2. Contactez la banque réceptrice :

   • Votre banque le fera généralement
   • Peut demander un gel de compte
   • L’international nécessite une action rapide

3. Contactez le FBI :

   • FBI IC3 : ic3.gov
   • Déposer une plainte immédiatement
   • Le FBI peut contacter les banques internationales
   • La rapidité est critique (fenêtre de 24-48 heures)

4. Préservez les preuves :

   • Ne supprimez pas les emails
   • Capture d’écran de tout
   • Sauvegarder les en-têtes d’email
   • Documenter la chronologie

Dans les 24 heures :

5. Signaler aux autorités :

   • Police locale (déposer un rapport)
   • FBI IC3 (plainte en ligne)
   • FinCEN (Financial Crimes Enforcement Network)
   • Régulateur bancaire de l’État

6. Notifier les parties prenantes :

   • Direction de l’entreprise
   • Conseiller juridique
   • Assureur (cyber assurance)
   • Comité d’audit

7. Enquête forensique :

   • Déterminer comment l’email a été compromis
   • Réviser toutes les transactions récentes
   • Identifier d’autres victimes potentielles
   • Corriger les vulnérabilités de sécurité

En cours :

8. Efforts de récupération :

   • Travailler avec le FBI et les banques
   • Forces de l’ordre internationales si nécessaire
   • Litiges civils contre les banques bénéficiaires (rarement réussis)
   • Réclamation d’assurance si couverte

9. Prévenir la récurrence :

   • Mettre en œuvre des contrôles plus forts
   • Formation renforcée
   • Réviser et mettre à jour les procédures
   • Augmenter les exigences de vérification

Formation et culture

Formation des employés :

Sujets clés :

• Exemples réels de fraude au virement
• Procédures de vérification (pratique)
• Autorité de questionner et vérifier
• “Si vous voyez quelque chose, dites quelque chose”
• Conséquences de la fraude (emplois, survie de l’entreprise)

Fréquence de formation :

• Formation d’intégration initiale
• Rappels trimestriels
• Après tout incident (à l’échelle de l’entreprise)
• Formation spécifique au rôle (finance, comptabilité, approvisionnement)

Créer une culture de vérification :

La direction doit :

• Soutenir publiquement les procédures de vérification
• Suivre les procédures elles-mêmes (pas d’exceptions)
• Féliciter les employés qui vérifient
• Ne jamais punir la “prudence excessive”
• Financer un personnel adéquat pour les contrôles

Message clair :

• “La vérification fait partie de votre travail”
• “Nous préférons retarder un paiement que perdre des millions”
• “En cas de doute, vérifiez”
• “Personne n’est trop important pour être vérifié”

Points clés à retenir

• ✅ 90 % des entreprises ciblées ; 63 % subissent une fraude réussie
• ✅ La vérification par rappel est obligatoire pour tous les virements
• ✅ Double approbation requise pour les gros montants
• ✅ Ne jamais accepter les changements bancaires par email seul
• ✅ Transactions test avant d’envoyer de gros montants
• ✅ La rapidité est critique - contacter les banques/FBI dans les heures suivant la découverte
• ✅ Contrôles techniques : Authentification des emails, surveillance, limites
• ✅ La culture compte : La vérification doit être attendue et félicitée

Rappelez-vous : Les virements sont immédiats et presque irréversibles. Les quelques minutes passées à vérifier peuvent économiser des millions. Aucun fournisseur ou dirigeant légitime ne s’opposera aux procédures de vérification. Construisez plusieurs couches de défense—contrôles techniques, procédures de vérification et une culture qui valorise la prudence plutôt que la rapidité.