KYS (Know Your Supplier) : guide complet pour vérifier et sécuriser vos fournisseurs

Le KYS, ou Know Your Supplier, est le processus par lequel une organisation vérifie systématiquement l'identité, la légitimité et la fiabilité de ses fournisseurs avant d'entrer en relation commerciale avec eux.

‍

Alors que le KYC s'applique aux clients particuliers et le KYB aux clients professionnels, le KYS s'intéresse à l'autre bout de la chaîne : vos fournisseurs, sous-traitants et prestataires, vers qui transitent vos paiements sortants.

‍

En 2025, la fraude liée aux fournisseurs a coûté aux entreprises européennes plus de 3,5 milliards d'euros selon les estimations de l'Association of Certified Fraud Examiners (ACFE).

‍

Ces pertes résultent de pratiques allant de la création de faux fournisseurs à la falsification de RIB, en passant par des sociétés écrans sophistiquées.

‍

Face à ce risque, un processus KYS rigoureux n'est plus une option pour les organisations qui gèrent des volumes significatifs de paiements sortants.

‍

Qu'est-ce que le KYS ?

‍

Le KYS est un ensemble de procédures de due diligence appliquées à vos fournisseurs.

‍

Il vise à répondre à des questions simples mais critiques : ce fournisseur existe-t-il légalement ? Est-il bien celui qu'il prétend être ? Les coordonnées bancaires transmises lui appartiennent-elles réellement ?

‍

À la différence du KYB, dont l'objectif est principalement d'évaluer le risque réglementaire d'un client professionnel, le KYS est davantage orienté vers la prévention de la fraude financière et la maîtrise des risques opérationnels.

Il couvre trois grandes dimensions : la vérification de l'identité juridique du fournisseur, l'authentification de ses coordonnées bancaires, et l'évaluation continue du risque tout au long de la relation commerciale.

‍

Le KYS s'inscrit par ailleurs dans un cadre réglementaire précis.

‍

La loi Sapin II de 2016 oblige les grandes entreprises françaises à évaluer leurs partenaires commerciaux.

‍

La loi sur le devoir de vigilance de 2017 étend cette exigence à l'ensemble de la chaîne d'approvisionnement.

‍

Pour les entreprises assujetties aux obligations LCB-FT, la vigilance s'applique également aux flux sortants.

‍

Les typologies de fraude fournisseur

‍

La fraude fournisseur est polymorphe. Comprendre ses formes les plus courantes est la première étape pour s'en protéger efficacement.

‍

La fraude au faux fournisseur est l'une des plus répandues.

Un fraudeur crée une entité fictive ou usurpe l'identité d'un fournisseur légitime pour soumettre des factures frauduleuses.

Profitant de processus de validation peu rigoureux, il parvient à se faire régler des prestations inexistantes. En 2024, Euler Hermes estimait que cette forme de fraude représentait 30 % des sinistres liés aux fraudes internes en France.

‍

La fraude à la modification de RIB (ou détournement d'IBAN) est peut-être la plus sophistiquée.

Un attaquant intercepte ou falsifie une demande de mise à jour de coordonnées bancaires, substituant le véritable IBAN du fournisseur par celui d'un compte sous son contrôle.

‍

Les virements suivants sont redirigés vers ce compte avant que la fraude soit détectée. Cette attaque passe souvent par un email frauduleux ou une boîte mail compromise.

‍

La fraude au président (ou Business Email Compromise, BEC) cible directement les processus de paiement. Un attaquant se fait passer pour un dirigeant de l'entreprise et demande un virement urgent vers un nouveau compte fournisseur.

‍

La combinaison de la pression temporelle et de l'autorité apparente de l'expéditeur réduit la vigilance des collaborateurs sollicités.

‍

Les sociétés écrans et les montages frauduleux représentent une catégorie plus complexe. Une entreprise en apparence légale dissimule des activités illicites : blanchiment de capitaux, contournement de sanctions internationales, financement de structures criminelles.

‍

Pour les organisations assujetties aux obligations LCB-FT, contracter avec ce type de fournisseur sans diligence préalable engage leur responsabilité réglementaire.

‍

La fraude interne par connivence est souvent sous-estimée.

‍

Un employé crée un fournisseur fictif dans le système ERP et valide lui-même les factures correspondantes.

Ce vecteur d'attaque tire parti d'un contrôle insuffisant des séparations de fonctions.

‍

Le processus KYS : les étapes clés

‍

Un programme KYS efficace couvre l'intégralité du cycle de vie du fournisseur, de l'entrée en relation au monitoring continu.

‍

La vérification de l'identité juridique constitue le point d'entrée : numéro SIRET, extrait Kbis, statuts, identification des bénéficiaires effectifs.

Ces informations doivent être croisées avec les registres officiels (Infogreffe, RNE, Bodacc) pour détecter d'éventuelles incohérences ou des procédures collectives en cours.

‍

La vérification des coordonnées bancaires est l'étape la plus directement liée à la prévention de la fraude.

Confirmer qu'un IBAN correspond bien au titulaire déclaré ne peut pas reposer sur un simple contrôle de format.

Cela exige une vérification active : par open banking ou par confirmation auprès d'un interlocuteur identifié indépendamment du canal de la demande initiale.

‍

Le screening des listes de sanctions s'impose pour toute organisation traitant des paiements internationaux.

Les fournisseurs doivent être contrôlés à l'entrée en relation et régulièrement dans la durée, les listes OFAC, UE et ONU étant mises à jour fréquemment.

‍

L'évaluation du risque et le scoring synthétisent l'ensemble des informations collectées.

Un score fournisseur tient compte du pays d'implantation, du secteur d'activité, de l'ancienneté de la structure, et des signaux d'alerte détectés.

Il guide le niveau de diligence à appliquer : standard, renforcée ou refus.

‍

Le monitoring continu clôt le cycle. Les informations d'un fournisseur peuvent changer : statut juridique, dirigeants, coordonnées bancaires. Un programme KYS mature intègre des alertes automatiques déclenchées par tout changement significatif.

‍

Le cadre réglementaire du KYS en France

‍

En France, plusieurs textes législatifs encadrent directement les obligations des entreprises vis-à-vis de leurs fournisseurs.

‍

La loi Sapin II (2016) oblige les entreprises de plus de 500 salariés et 100 millions d'euros de chiffre d'affaires à mettre en place des procédures d'évaluation de leurs tiers et partenaires commerciaux. L'Agence Française Anticorruption (AFA) contrôle le respect de ces obligations et peut infliger des sanctions allant jusqu'à 1 million d'euros.

‍

La loi sur le devoir de vigilance (2017) concerne les sociétés de plus de 5 000 salariés en France ou 10 000 dans le monde. Elle impose un plan de vigilance couvrant les risques chez les sous-traitants et fournisseurs, incluant les droits humains, la santé et la sécurité.

‍

La directive CSRD, entrée en vigueur progressivement depuis 2024, étend les exigences de reporting à la chaîne d'approvisionnement sur les volets environnementaux, sociaux et de gouvernance.

Enfin, pour les entités assujetties aux obligations LCB-FT, le cadre AML s'applique aussi aux flux sortants : tout paiement vers un tiers non identifié peut constituer un manquement aux obligations de vigilance.

‍