Account takeover et fraude IBAN : pourquoi le contrôle systématique est indispensable

La fraude au virement a progressé de 173 % en France en 2025. Derrière cette explosion, un mode opératoire de plus en plus répandu : l'account takeover (ATO). Contrairement à la fraude par usurpation d'identité classique, l'ATO exploite une relation déjà établie.

‍

Le fraudeur prend le contrôle d'un accès existant, boîte mail d'un salarié, portail d'un fournisseur, espace client d'un particulier, par phishing, vol de credentials ou ingénierie sociale. Il se fait passer pour l'interlocuteur légitime et soumet une demande de modification d'IBAN. Le virement part. Les fonds sont perdus.

‍

Avec la généralisation de l'authentification forte sur les paiements par carte, les fraudeurs se sont massivement reportés sur ce type d'attaque. Les virements SEPA restent, dans de nombreuses organisations, un maillon bien plus vulnérable.

‍

Les deux cibles principales : RH et fournisseurs

‍

Le cas RH

‍

Les services RH sont une cible de choix. Un fraudeur qui accède à la messagerie d'un salarié peut soumettre une demande de modification d'IBAN directement auprès du service paie.

Le virement du salaire suivant part vers un compte qu'il contrôle. Le salarié légitime ne s'en aperçoit qu'en fin de mois.

‍

95 % des entreprises françaises ont été exposées à au moins une tentative de fraude sur leurs paiements par changement de coordonnées bancaires au cours des douze derniers mois. La fraude aux salariés est l'un des vecteurs les plus fréquents.

‍

Le cas fournisseurs

‍

La fraude au faux fournisseur suit le même schéma. Un email envoyé depuis une adresse compromise ou usurpée informe le service comptable d'un changement de RIB. Le ton est familier, le contexte cohérent. La demande est traitée sans vérification supplémentaire. Les prochaines factures sont réglées sur le nouveau compte.

‍

En 2024, une PME sur quatre a subi une tentative de fraude de type Business Email Compromise (BEC), avec des pertes pouvant atteindre 80 000 euros par incident. La fraude au changement de coordonnées bancaires fournisseur a progressé de 29 % en volume la même année.

‍

Pourquoi les contrôles à l'onboarding ne suffisent plus

‍

La plupart des organisations ont mis en place des contrôles à l'entrée en relation : vérification d'identité, validation du premier IBAN, signature de documents. Mais ces contrôles ne protègent pas contre l'account takeover.

‍

Par définition, la relation est déjà établie. Le salarié ou le fournisseur est connu, référencé, de confiance. C'est précisément cette confiance accumulée que le fraudeur exploite. Un contrôle effectué à l'onboarding il y a deux ans ne dit rien sur la légitimité d'une demande de modification aujourd'hui.

‍

La question n'est donc pas : "Avons-nous bien vérifié ce partenaire à son entrée ?"

Elle est : "Sommes-nous certains que c'est bien lui qui soumet cette demande de modification ?"

‍

Le contrôle systématique : traiter chaque modification comme une nouvelle entrée en relation

‍

La réponse la plus robuste est le contrôle systématique à chaque demande de modification d'IBAN. Toute demande de changement de coordonnées bancaires, qu'elle vienne d'un salarié, d'un fournisseur ou d'un client, doit déclencher un nouveau cycle de vérification.

‍

Ce cycle comprend plusieurs niveaux. La vérification de titularité confirme que le nouvel IBAN appartient bien à la personne ou à l'entité qui en fait la demande. La vérification d'identité s'assure que la demande émane bien du titulaire légitime du compte. Ces deux contrôles doivent être traités comme une nouvelle entrée en relation, avec le même niveau d'exigence.

‍

Cette approche peut sembler contraignante. Elle l'est bien moins que les conséquences d'un virement frauduleux non détecté : des fonds irrécouvrables, une procédure judiciaire longue, un risque réputationnel réel, et dans certains cas une mise en cause de la responsabilité de l'organisation pour défaut de vigilance.

‍

Ce que ça implique concrètement pour les équipes RH et comptables

‍

Pour les services RH, cela signifie ne jamais traiter une demande de modification d'IBAN reçue par email sans déclencher une vérification séparée. Un email compromis peut être parfaitement identique à un email légitime.

‍

Pour les services comptables et achats, cela signifie exiger une double validation sur toute modification de coordonnées bancaires fournisseur, et systématiser la vérification de titularité avant toute mise à jour dans le système de paiement.

‍

Dans les deux cas, l'enjeu est de rompre la logique de confiance implicite dans les relations établies. L'ancienneté d'une relation ne protège pas contre l'account takeover. Seule la vérification au moment de la demande le fait.

‍