Fraude au virement : mécanisme, types et état des lieux en France (2025)

En France, une entreprise sur deux subit au moins une tentative de fraude au virement chaque année. Cette forme de fraude électronique implique le détournement de fonds à l’aide de données bancaires volées ou falsifiées, et utilise des techniques comme le phishing, l’ingénierie sociale et le piratage informatique pour induire les collaborateurs en erreur.

Les entreprises victimes pensent parfois pouvoir se retourner contre leur banque… mais la jurisprudence récente leur donne rarement gain de cause. En cas de négligence, même minime, la responsabilité leur incombe entièrement.

Dans cet article, Provigis analyse les formes de fraude les plus courantes, l’état des lieux en France, l’évolution du cadre légal et de la jurisprudence et les failles organisationnelles les plus exploitées par les acteurs malveillants. Nous vous proposons également 6 mesures opérationnelles pour sécuriser vos virements sur la durée.

Fraude au virement : de quoi parle-t-on ?

La fraude au virement est une forme de fraude électronique qui implique le transfert non autorisé de fonds à partir d’un compte bancaire à l’aide de données de compte volées ou falsifiées. Cette forme de fraude est souvent réalisée à l’aide de logiciels malveillants et/ou de techniques plus ou moins développées comme le phishing, l’ingénierie sociale et le piratage informatique.

L’histoire de la fraude au virement remonte aux années 1970, lorsque les premiers systèmes de virement bancaire électronique ont été introduits. Les premières formes de fraude au virement étaient relativement simples, impliquant le plus souvent des transferts d’argent frauduleux entre des comptes bancaires, l’usurpation de l’identité du titulaire du compte bancaire ou encore la falsification des chèques.

La complexité de la fraude au virement a logiquement évolué avec les avancées technologiques et la dématérialisation bancaire. On compte aujourd’hui une dizaine de types de fraudes au virement :

1. La fraude par chèque contrefait : cette technique implique la falsification de chèques pour obtenir de l’argent. Les fraudeurs créent de faux chèques en utilisant des informations de compte bancaire volées ou en falsifiant des chèques existants. Ils peuvent ensuite déposer ces chèques contrefaits sur leur propre compte ou les encaisser auprès d’un tiers complice ;
2. La fraude par virement bancaire implique l’utilisation de transferts électroniques non autorisés pour détourner des fonds. Les fraudeurs accèdent aux comptes bancaires légitimes et transfèrent de l’argent vers d’autres comptes, souvent à l’étranger, afin de masquer leur emplacement. Ils peuvent également créer de faux comptes bancaires pour recevoir les fonds détournés ;
3. La fraude par phishing consiste à envoyer des emails frauduleux pour obtenir des informations de compte bancaire. Les fraudeurs envoient de faux courriels prétendant provenir d’institutions financières légitimes, invitant les destinataires à cliquer sur un lien et à entrer leurs informations de compte. Une fois qu’ils ont obtenu ces informations, les fraudeurs peuvent accéder aux comptes bancaires et effectuer des transferts non autorisés ;
4. La fraude par usurpation d’identité : il s’agit de l’utilisation de données d’identification volées ou falsifiées pour ouvrir des comptes bancaires en ligne au nom de l’entreprise. Les fraudeurs utilisent ensuite ces comptes pour effectuer des transferts de fonds non autorisés ;
5. La fraude par interception de courrier électronique consiste à modifier les informations de virement dans les courriers électroniques envoyés entre les parties impliquées dans la transaction. Les fraudeurs interceptent les courriers électroniques contenant des informations de compte bancaire et les modifient pour rediriger les fonds vers des comptes frauduleux ;
6. La fraude par faux employé : cette technique consiste en la création d’une fausse entreprise et l’embauche d’employés fictifs pour recevoir des transferts de fonds non autorisés. Les fraudeurs peuvent également usurper l’identité d’employés légitimes pour obtenir des informations de compte bancaire ;
7. La fraude par détournement de compte bancaire : il s’agit du détournement d’un compte bancaire en modifiant les informations de compte pour rediriger les fonds vers des comptes frauduleux ;
8. La fraude par hacking de compte : utilisation de logiciels malveillants pour accéder aux informations de compte bancaire de l’entreprise.

L’état des lieux de la fraude au virement en france (2023)

En France, la fraude au virement touche une entreprise sur deux. C’est le constat alarmant de l’étude réalisée conjointement par Trustpair et SAP. Pire : 40 % des entreprises de 5 000 salariés et plus ont subi plusieurs tentatives de fraudes au virement en 2022, avec une moyenne de 2,4 tentatives. La taille de l’entreprise est en effet un facteur qui exacerbe le risque de fraude pour trois principales raisons :

• Davantage de flux financiers ;
• Des équipes « éclatées », à la fois dans les différents sites de l’entreprise mais aussi avec l’essor du télétravail ;
• Davantage de partenaires et de tiers, et autant de failles « par rebond ».

Environ 50 % des entreprises sondées dans l’étude ont constaté une augmentation des tentatives de fraudes en 2022 par rapport en 2021 (derniers chiffres en date en 2025), avec une typologie étonnamment diversifiée :

• Fraude au faux client (39 %) ;
• Fraude à la fausse facture (37 %) ;
• Fraude au RIB (36 %) ;
• Fraude au président (34 %) ;
• Fraude au faux fournisseur (32 %) ;
• Fraude interne (20 %) ;
• Fraude au factor* (9 %) ;
• Autres fraudes (3 %).

Ces tentatives de fraudes ont-elles abouti ? Oui dans 23 % des cas, avec une perte financière moyenne estimée à 50 000 € pour la moitié des entreprises concernées.

• Fraude au factor : falsification de factures pour obtenir des fonds auprès d’une entreprise d’affacturage.

Fraude au virement : prise de conscience et mesures de protection

Globalement, les entreprises de moins de 5 000 salariés sont plus inquiètes face aux risques de fraude, principalement parce qu’elles sont moins bien équipées et moins matures sur le volet de la protection, notamment lorsqu’il s’agit de déployer des solutions technologiques innovantes. Plus globalement, les entreprises de toutes tailles s’accordent (57 %) sur l’augmentation du sentiment d’inquiétude face au risque de fraude au virement en 2023. Les sondés évoquent :

• Le risque de cyberattaque (76 %) ;
• Les failles de sécurité des moyens de communication (35 %) ;
• La plus grande circulation des données entre les opérationnels et le département financier (34 %) ;
• Le manque de collaboration entre les parties prenantes (18 %) ;
• D’autres facteurs, essentiellement organisationnels et internes (1 %).

Malgré une certaine prise de conscience, près de deux entreprises sur cinq passent par des process manuels pour contrôler les RIB…  avec des résultats mitigés. Aussi, la majorité des entreprises (54 %) ne réalisent jamais un contrôle intégral de l’ensemble des tiers, se contentant de contrôles déclenchés par des événements spécifiques comme :

• Un montant élevé (45 %) ;
• Un tiers dans un pays à risque (33 %) ;
• Des cas particuliers et/ou demandes ponctuelles (33 %) ;
• Échantillonnage aléatoire (28 %).

Fraude au virement : la position de la Cour de Cassation (2025)

La jurisprudence n’est pas vraiment clémente avec les entreprises victimes de fraude au virement. En cas d’erreur ou d’imprudence dans la gestion des paiements, le tribunal ne mettra probablement pas en cause l’établissement bancaire. C’est en tout cas ce qui ressort des deux derniers arrêts de la Cour de cassation sur ce type d’affaires.

Affaire n°1 : un cheval de Troie et six virements frauduleux

Deux sociétés constatent que six virements ont été effectués depuis l’ordinateur de leur comptable vers des comptes étrangers au profit de bénéficiaires inconnus. Une plainte est alors déposée. L’expertise révèlera qu’un email contenant un cheval de Troie a été envoyé au service comptable. En ouvrant le message, un salarié a permis l’infection du poste et la prise de contrôle à distance par un tiers malveillant. Ce dernier se rendra alors coupable d’une série de six virements frauduleux.

Les sociétés demanderont le remboursement des sommes non récupérées à leur banque, arguant d’un « manquement de la banque à son obligation de vigilance », qui n’aurait pas réagi malgré plusieurs tentatives de connexion suspectes et une alerte émise par un organisme spécialisé dans la détection d’attaques informatiques.

La Cour d’appel constatera deux défaillances à ce stade :

• Du côté des sociétés, une négligence qualifiée de grave : l’email était rédigé en anglais, sans qu’aucun élément de contexte ne vienne justifier l’usage de cette langue. Cette anomalie aurait dû alerter ;
• Du côté de la banque, un défaut de réaction face aux signaux faibles au moment des faits.

Dans la mesure où les torts sont partagés, la Cour d’appel ordonne à la banque de procéder à un remboursement partiel, à hauteur de 50 %. Cette dernière se pourvoit en cassation… et gagne son affaire.

⚖️ L’arrêté de la Cour de Cassation

La Cour de cassation a tout simplement annulé la décision de la Cour d’appel en vertu de l’article L.133-19 du Code monétaire et financier, qui prévoit qu’en cas de négligence grave de l’utilisateur, l’établissement bancaire n’est pas tenu de rembourser les opérations non autorisées. En l’espèce, l’ouverture d’un email « manifestement frauduleux » a suffi pour constituer cette négligence. Dès lors, la responsabilité de la banque a été intégralement écartée, quand bien même elle aurait manqué de vigilance.

Affaire n°2 : un RIB falsifié dans une conversation mail

Cette deuxième affaire concerne des particuliers (un couple), mais la logique juridique retenue par la Cour de cassation s’applique également aux entreprises, notamment celles qui valident des coordonnées bancaires reçues par email sans recouper l’information par un canal indépendant. Il y a donc quelques enseignements à tirer pour les professionnels.

Le couple achète un véhicule sur internet et le paie en deux virements : le premier à distance, le second au guichet bancaire. Les coordonnées bancaires (IBAN) du prétendu vendeur leur ont été transmises par email. Quelques jours plus tard, le vendeur se plaint de n’avoir rien reçu. L’escroquerie est alors révélée : un tiers est intervenu dans les échanges par email pour substituer un IBAN frauduleux à celui du véritable destinataire.

Le couple saisit la justice, car il estime que la banque a manqué de vigilance en ne vérifiant pas l’IBAN transmis. La Cour d’appel leur donne partiellement raison et considère que l’établissement bancaire était tenu à une certaine vigilance, même si le virement a été initié par son client qui a fourni/saisi un identifiant erroné.

⚖️ L’arrêté de la Cour de Cassation

Comme dans la première affaire, la banque s’est pourvue en cassation et a remporté son affaire. La Cour a en effet rappelé qu’en application de l’article L.133-21 du Code monétaire et financier, « lorsque l’ordre de paiement est exécuté conformément à l’identifiant unique fourni par l’utilisateur de services de paiement, l’ordre de paiement est réputé dûment exécuté à l’égard du bénéficiaire désigné par cet identifiant. » En clair : l’origine frauduleuse de l’IBAN n’a aucune incidence sur la responsabilité de la banque, dès lors qu’elle a exécuté l’ordre tel qu’il a été reçu.

Comprendre la jurisprudence : la négligence du client lève la responsabilité de la banque

Les deux affaires tranchées par la Cour de cassation aboutissent à la même conclusion juridique : dès lors qu’un manquement du client est établi, la banque est exonérée de toute responsabilité.

Affaire #1

Le virement a été initié de manière frauduleuse via un cheval de Troie. Il s’agit donc d’un virement non autorisé. L’article L.133-19 du Code monétaire et financier prévoit que si la banque ne peut prouver que l’ordre a été authentifié, elle doit rembourser… sauf en cas de négligence grave de l’utilisateur. Ici, l’ouverture d’un email « manifestement suspect » a suffi à caractériser cette négligence. Bien qu’alertée de signaux faibles, la banque n’a pas été tenue responsable.

Affaire #2

Le virement a bien été autorisé par le client, mais dirigé vers un bénéficiaire illégitime à la suite d’un piratage d’email. C’est l’article L.133-21 qui s’applique : la banque est réputée avoir correctement exécuté l’opération si elle l’a fait sur la base de l’identifiant fourni. Elle n’est pas tenue de vérifier la cohérence entre l’IBAN et le nom du bénéficiaire, même si elle suspecte une anomalie. L’origine frauduleuse de l’IBAN ou l’absence de réaction de la banque ne sont pas des éléments recevables pour engager la responsabilité de l’établissement de crédit.

Dans les deux affaires, la Cour refuse d’entrer dans une logique de partage des torts. Seul le comportement du client est examiné. Si une négligence est constatée (ou, dans le cas du RIB, une erreur de sa part), la demande de remboursement est rejetée, indépendamment du comportement de la banque.

💡 Ce qu’il faut retenir

Pour les entreprises, ces deux décisions de la Cour de cassation signifient que la moindre faille dans les procédures internes (ouverture d’un email suspect, absence de validation croisée d’un IBAN, exécution d’un virement sur simple demande par email) suffit à les priver de tout recours contre leur banque en cas de fraude. Même si l’établissement n’a pas réagi à des alertes de sécurité ou a validé un virement douteux, la responsabilité reste intégralement à la charge de l’entreprise si celle-ci a commis une erreur ou une imprudence qualifiée de négligence grave.

Fraude au virement : 6 mesures opérationnelles pour se protéger ?

Les attaques par fraude au virement ciblent moins la technologie que les angles morts sur le plan organisationnel. Dans la majorité des cas, le cyberattaquant exploitera un enchaînement de petites failles :

• Les virements, même pour des sommes importantes ou inhabituelles, peuvent être saisis et validés par la même personne ;
• Absence de procédure formalisée pour vérifier les coordonnées bancaires via un canal indépendant (appel téléphonique, tiers de confiance, etc.) ;
• Défaut de sécurisation de la gestion des tiers, avec création ou modification de fiches fournisseurs sur la base de documents non tracés et/ou non authentifiés ;
• Accès aux outils sensibles sans authentification forte ni gestion active des comptes utilisateurs (comptes obsolètes non désactivés, mots de passe faibles, etc.) ;
• Absence de journalisation des opérations critiques, qui empêche toute analyse post-incident et qui prive l’entreprise d’une preuve de respect des procédures.

Voici 6 mesures opérationnelles pour sécuriser vos virements, depuis la fiabilisation de l’enregistrement des tiers jusqu’à la traçabilité des actions en passant par la sécurisation des accès, la validation croisée et le contrôle systématique des coordonnées bancaires.

#1 La double validation interne des ordres de paiement (« procédure quatre yeux »)

Cette pratique consiste à exiger qu’au moins deux personnes interviennent dans la validation des virements : l’une pour l’initier, l’autre pour l’autoriser. Dans les entreprises qui disposent d’un ERP ou d’un outil bancaire paramétrable, cette séparation est souvent possible sur le plan technique, mais elle n’est pas toujours activée.

Et lorsqu’elle est effectivement déployée, cette pratique est « assouplie » à la première occasion. Typiquement, le comptable initie le virement et le responsable administratif ou le dirigeant le valide… sauf en cas d’urgence, de congé ou d’indisponibilité, où la procédure est expédiée pour ne pas faire attendre le bénéficiaire.

La validation croisée peut être systématique, ou, à minima, être obligatoire dès que le contexte de paiement sort du cadre habituel : nouveau fournisseur, demande de changement de RIB, facture inhabituelle par le montant ou la nature, demande reçue hors du circuit attendu (par email direct, via un nouveau contact, etc.). Dans ces cas-là, le second regard permet de détecter ce qu’un collaborateur isolé pourrait rater : une erreur ou une tentative de fraude plus ou moins subtile.

⚖️ Mise en œuvre de la double validation

La double validation peut être paramétrée dans la plupart des logiciels de paiement ou d’ERP en définissant deux profils différenciés : l’un est autorisé à saisir le virement, l’autre à le valider. Il suffit ensuite d’appliquer une règle claire, documentée et relayée par la direction : tout virement sortant doit être validé par une deuxième personne dès qu’un des critères de vigilance est déclenché (les lister de manière exhaustive : nouveau bénéficiaire, montant inhabituel, changement de RIB, etc.). La procédure doit prévoir un circuit de secours encadré (par exemple : remplacement temporaire validé par écrit) pour éviter les contournements en cas d’absence.

#2 Contre-appel systématique pour tout nouveau RIB ou changement de coordonnées bancaires

Le scénario de fraude par substitution d’IBAN, comme celui jugé par la Cour de cassation en 2024, repose presque toujours sur un même point faible : la confiance excessive dans les échanges par email.

Un escroc intercepte une conversation par email (suite à une cyberattaque de type phishing, par exemple) et modifie le RIB dans un PDF joint ou dans le corps du message, pour que le virement arrive dans son propre compte. Ce type de fraude est difficilement détectable sans une action de vérification via un autre canal.

Le contre-appel est probablement la meilleure méthode, dans la mesure où elle est suffisamment fiable et reste à la portée de tous, du freelance à la multinationale. Dès qu’un fournisseur communique un nouveau RIB ou modifie ses coordonnées bancaires, l’entreprise devrait appeler un contact connu, via un numéro déjà vérifié, pour valider l’information.

Dans les entreprises structurées, cette vérification est intégrée au processus de création ou de modification des tiers dans l’ERP ou le logiciel comptable. Mais dans la majorité des PME, elle repose encore sur une logique informelle ou ad hoc.

#3 Vérification des RIB via un tiers de confiance (Trustpair, API bancaire, etc.)

L’enregistrement d’un nouveau RIB représente un point de vulnérabilité, avec plusieurs risques possibles : un email envoyé par un cyberattaquant (comme dans la 2e affaire présentée plus haut), un collaborateur compromis chez le fournisseur, une erreur, etc.

L’entreprise doit donc s’assurer que le compte bancaire en question correspond bien au tiers attendu. Cette vérification peut être systématisée par une solution spécialisée comme Truspair (partenaire Provigis), qui compare l’IBAN à des bases externes, notamment interbancaires, pour vérifier la cohérence avec la dénomination sociale, le numéro SIREN et d’autres éléments d’identification.

Le contrôle peut être déclenché automatiquement à l’ajout d’un nouveau compte bancaire dans le système comptable ou dans l’ERP. Il peut être intégré dans un workflow existant ou dans un outil dédié à la gestion des tiers. Le résultat est généralement binaire (accord/refus), avec un historique consultable. En cas d’écart ou d’indisponibilité du résultat, le paiement est bloqué tant que la validation n’a pas été obtenue.

#4 Sécurisation de la gestion des tiers avec une plateforme de conformité centralisée

La fraude au virement commence rarement au moment du paiement. Dans la majorité des cas, la faille apparaît bien en amont, lors de la création ou de la modification d’un tiers dans l’environnement comptable ou ERP. Si les documents sont envoyés par email, traités manuellement ou insuffisamment vérifiés, une erreur ou une falsification peut passer inaperçue et se propager dans le processus, jusqu’au paiement et au-delà.

En tant que Tiers de Collecte Probatoire (TCP), Provigis vous aide à structurer et sécuriser cette étape critique :

• Tous les tiers (fournisseurs, prestataires, sous-traitants) sont invités à déposer leurs documents sur un portail dédié ;
• Chaque pièce (Kbis, attestation URSSAF, RIB, etc.) est collectée de manière centralisée, contrôlée selon des règles définies puis associée à une fiche fournisseur unique ;
• Le dossier reste bloqué tant que les éléments obligatoires ne sont pas valides ;
• Provigis fournit une piste d’audit complète avec statut, date de réception, validité des pièces et horodatage des vérifications.

Ce verrou documentaire empêche l’utilisation de données bancaires non tracées, limite les modifications non encadrées et garantit que chaque fournisseur a été validé sur la base de documents à valeur juridique.

En cas de litige ou de fraude, vous disposez d’un historique opposable qui renforce votre position face à votre banque et votre assureur.

💡 Cas d’usage : Biogaran sécurise ses virements grâce à Provigis et Trustpair

Pour sécuriser les paiements à ses 7 000 partenaires pharmaciens, Biogaran a mis en place un double dispositif. La collecte des documents (dont les RIB) est opérée par Provigis, en tant que Tiers de Collecte Probatoire, pour garantir la conformité et la traçabilité des pièces. Ensuite, l’authentification bancaire est assurée par Trustpair, avec une vérification en continu des coordonnées avant chaque paiement. Le tout est intégré à SAP ECC6 pour centraliser les données et éviter toute manipulation manuelle.

#5 Sécurisation des accès aux outils de paiement

Une fraude peut survenir même sans erreur de procédure, par exemple si un pirate informatique accède directement à l’outil de paiement ou à l’ERP en utilisant les identifiants d’un collaborateur (mot de passe compromis, sessions restée ouverte sur un poste partagé, compte non désactivé après le départ d’un collaborateur malveillant, etc.).

Dans ce cas, le virement est techniquement conforme, mais son origine est frauduleuse. Face à ce type de scénario, ni la double vérification (« quatre yeux »), ni la vérification du RIB ne suffisent.

Les accès doivent être encadrés par une authentification forte : mot de passe complexe renouvelé régulièrement, authentification à deux facteurs (code SMS, application dédiée), désactivation immédiate des comptes inactifs ou liés à d’anciens salariés, etc. Ces règles doivent faire l’objet d’une politique formalisée et connue de tous, avec un contrôle périodique de son application.

#6 Traçabilité et journalisation des opérations sensibles

En cas de fraude, l’entreprise doit être capable de reconstituer précisément ce qui s’est passé : qui a ajouté un RIB, qui a validé un paiement, quand, et depuis quel poste. Sans cette visibilité, il est très difficile de déterminer si la fraude vient d’un piratage externe, d’un détournement interne ou d’une erreur humaine. Et c’est tout l’intérêt de la journalisation.

Cette mesure consiste à enregistrer automatiquement, dans un fichier sécurisé, chaque action réalisée dans un outil critique comme l’ERP, le logiciel comptable ou encore la plateforme de paiement. On y retrouve, pour chaque opération :

• L’identifiant de l’utilisateur ;
• L’action effectuée (création d’une fiche fournisseur, modification d’un RIB, validation d’un virement, etc.)
• La date et l’heure de l’action
• Parfois, l’adresse IP ou la machine utilisée.

L’objectif n’est pas de surveiller les utilisateurs, mais de disposer d’une trace exploitable en cas d’incident ou de litige.

La plupart des logiciels professionnels proposent une fonction de journalisation activable dans les paramètres administrateur. Les journaux doivent être stockés dans un espace sécurisé et protégés contre toute modification a posteriori. Ils peuvent ensuite être extraits en cas d’audit ou d’enquête interne. Objectif : remonter une anomalie à postériori et/ou prouver que les procédures de contrôle étaient bien en place en cas de contentieux.

💡 Pratiques attendues dans les organisations à haut niveau d’exigence

Certaines entreprises vont plus loin en intégrant ces journaux à un outil de supervision ou en les auditant régulièrement, notamment dans les environnements certifiés ISO 27001 ou soumis à des obligations réglementaires particulières (secteur bancaire, entreprises cotées, opérateurs d’importance vitale, contrats publics, etc.).

Provigis vous accompagne dans la mise en place de votre dispositif anti-fraude

Face à l’augmentation des tentatives de fraude au virement et à la diversité des techniques employées par les fraudeurs, les entreprises doivent évoluer et s’adapter pour mieux se protéger. Dans ce contexte turbulent, il est crucial de mettre en place des dispositifs efficaces pour anticiper, détecter et prévenir les fraudes et, plus largement, pour gérer les risques liés aux tiers.

Les conséquences d’une fraude au virement réussie pour les entreprises vont bien au-delà de la simple perte financière : perte de confiance, atteintes à la réputation, complications juridiques, etc.

C’est dans cette perspective que Provigis intervient en tant que tiers de collecte probatoire (TCP). Nous accompagnons les entreprises dans la mise en place de leur dispositif anti-fraude aux virements et de gestion du risque tiers. Grâce à une expertise éprouvée et à une connaissance approfondie des risques, Provigis vous aide à renforcer la sécurité financière de votre entreprise, protéger les données sensibles et maîtriser les risques liés aux tiers pour vous concentrer sur votre cœur de métier pour évoluer sereinement.