Les chiffres de Tracfin et de la DGCCRF convergent sur un point. Les escroqueries qui visent les entreprises françaises ont changé de visage en deux ans à peine. Les techniques rustiques (faux mails grossiers, fausses factures évidentes) cèdent la place à des montages plus sophistiqués, souvent automatisés, parfois pilotés depuis l’étranger. Pour une TPE ou une PME qui ne dispose pas d’un service juridique interne ni d’un RSSI dédié, repérer ces nouvelles méthodes devient un enjeu de trésorerie autant que de réputation. Tour d’horizon des fraudes les plus actives cette année, et de ce qui les rend particulièrement difficiles à détecter.
Des prélèvements SEPA aux libellés volontairement opaques
C’est probablement la fraude la plus discrète, et celle qui touche le plus grand nombre d’entreprises sans qu’elles s’en rendent compte. Le principe est simple : un prélèvement SEPA est mis en place sur le compte professionnel, avec un libellé volontairement obscur (suite de chiffres, nom d’une société domiciliée à Hong-Kong, à Chypre ou aux Pays-Bas), pour un montant modéré, entre 9 et 39 euros mensuels. La société émettrice est réelle, déclarée, et possède même parfois un site internet. Mais le service facturé n’existe pas, ou il a été souscrit via une case pré-cochée enfouie dans des CGV illisibles.
Plusieurs médias spécialisés ont commencé à documenter ces opérateurs au cas par cas. Le site knap.fr publie régulièrement des décryptages sur des libellés de prélèvement obscurs que de nombreux dirigeants découvrent par hasard sur leurs relevés, en remontant jusqu’à l’identification de la société émettrice et à la procédure d’opposition bancaire à suivre.
Ce qui change cette année, c’est l’industrialisation. Les fichiers de RIB professionnels circulent sur des forums fermés, alimentés par des fuites de données comptables. Une PME peut ainsi se voir prélevée par trois ou quatre opérateurs différents en quelques mois, sans rapport entre eux. Le réflexe à adopter reste basique mais efficace : passer en revue les libellés une fois par trimestre, et exiger de sa banque la mise en place d’une liste blanche des créanciers SEPA autorisés. La procédure prend dix minutes en agence et bloque mécaniquement toute tentative venant d’un émetteur non répertorié.
La fraude au président, version IA générative
L’arnaque dite « au président » n’est pas neuve. Un faux dirigeant écrit ou téléphone au comptable pour exiger un virement urgent vers un fournisseur étranger, en jouant sur la confidentialité d’une opération stratégique. Ce qui est nouveau cette année, c’est l’usage massif de la synthèse vocale. Plusieurs cas documentés par la gendarmerie en 2025 ont impliqué des appels téléphoniques où la voix du dirigeant était parfaitement imitée à partir d’extraits publics : interventions LinkedIn, podcasts, vidéos institutionnelles.
Le scénario type combine désormais trois canaux. Un premier mail provenant d’une adresse proche de celle du dirigeant (avec une lettre changée, souvent un « i » remplacé par un « l »), un appel téléphonique à la voix synthétisée pour valider l’urgence, et un message WhatsApp pour le suivi. Face à ce dispositif, le réflexe juridique reste le même qu’il y a dix ans : aucun virement ne se valide hors procédure. Mais ce réflexe doit être formalisé dans une charte interne signée par toute personne ayant accès au compte de l’entreprise, comptable externe inclus.
Faux fournisseurs et clonage de RIB
C’est sans doute la fraude la plus coûteuse à l’unité. Un fournisseur habituel envoie une facture, mais le RIB indiqué est différent du RIB historique. Le mail provient bien de l’adresse du fournisseur, qui a été préalablement compromise via un phishing ciblé. L’entreprise paie, et ne s’aperçoit du détournement que des semaines plus tard, quand le vrai fournisseur réclame son règlement.
Le ticket moyen tourne autour de 6 800 euros selon les chiffres communiqués par la Fédération bancaire française pour l’année 2025. La somme est rarement récupérable, car elle est immédiatement éclatée sur plusieurs comptes mules à l’étranger. Côté prévention, deux mesures suffisent à bloquer la grande majorité des tentatives : refuser toute modification de RIB sans appel téléphonique de confirmation sur un numéro déjà connu, et imposer un délai de 48 heures entre la réception d’une nouvelle coordonnée bancaire et le premier virement émis. Cette règle des 48 heures est mal vécue par les services achats pressés, mais elle reste la barrière la plus efficace identifiée à ce jour par les assureurs cyber, qui en font d’ailleurs souvent une condition contractuelle de prise en charge.
L’ingénierie sociale via faux organismes officiels
Cette catégorie regroupe les courriers, mails et appels qui imitent l’URSSAF, les impôts, l’INPI ou la CNIL pour extorquer un paiement ou des données. Les imitations ont gagné en réalisme. Les fausses lettres de l’INPI demandant un renouvellement de marque pour 295 euros à virer sur un IBAN étranger se sont multipliées. Les mails de « régularisation URSSAF » exigeant un paiement immédiat par carte sur un lien hébergé sur un domaine en .top ou .xyz continuent de circuler en volumes importants.
Le marqueur le plus fiable reste le canal de paiement. Aucun organisme officiel français ne demande un règlement par carte bancaire sur un lien envoyé par mail, ni par virement immédiat vers un IBAN étranger. Tout courrier ou mail qui sort de ces deux règles doit déclencher une vérification systématique sur le site officiel de l’organisme concerné, en saisissant l’URL à la main dans le navigateur plutôt qu’en cliquant sur le lien fourni.
Marketplaces B2B et faux candidats : les nouveaux territoires
Deux zones grises se sont ouvertes en 2025. La première concerne les marketplaces B2B, où des faux acheteurs commandent en gros volume, demandent une facture à 60 jours, et disparaissent après livraison. La parade existe : une assurance-crédit ou une vérification systématique du Kbis et du score AFDCC avant tout encours supérieur à 3 000 euros.
La seconde concerne les plateformes de freelancing et les CV envoyés en masse. Plusieurs entreprises ont été piégées par de faux candidats développeurs qui, une fois embauchés en remote, exfiltraient du code ou des données clients avant de disparaître. Les profils étaient générés ou recyclés, les entretiens passés via des deepfakes vidéo en temps réel. Sur ce volet, les services RH doivent travailler main dans la main avec la DSI pour intégrer des vérifications d’identité plus poussées avant la signature du contrat : appel vidéo non programmé sur un second canal, vérification de pièce d’identité par un prestataire agréé, période d’essai avec accès limité aux données sensibles. Le coût de ces contrôles reste sans commune mesure avec celui d’une fuite de données réussie.
Que faire concrètement quand l’entreprise est touchée
Trois actions sont à mener dans les 72 heures. Déposer plainte au commissariat ou en ligne sur la plateforme THESEE, qui centralise désormais les escroqueries financières signalées en ligne. Notifier la banque par écrit pour engager la procédure de rappel de fonds, particulièrement efficace dans les 24 heures suivant un virement SEPA. Et signaler l’opérateur à la DGCCRF via SignalConso, ce qui alimente les enquêtes ouvertes contre les sociétés récidivistes.
L’enjeu, en 2026, n’est plus seulement d’éviter la fraude. Il est aussi de documenter et de partager l’information. Plus les dirigeants échangent sur les libellés douteux, les RIB étranges et les courriers suspects, plus la communauté entrepreneuriale gagne en immunité collective. Les groupes professionnels sectoriels, les réseaux consulaires et les médias indépendants qui suivent ces signaux faibles jouent un rôle de vigie qui complète utilement les dispositifs étatiques, souvent plus lents à réagir. C’est probablement la meilleure défense disponible aujourd’hui, à un moment où les escrocs disposent d’outils aussi sophistiqués que ceux des entreprises qu’ils ciblent, et où la rapidité de circulation de l’information vaut autant que la solidité des procédures internes.