Arnaque au président (FOVI) : comment une PME perd 40 000 € en une heure

Lundi matin, 9h15. La comptable d’une PME de Seine-et-Marne reçoit un email de son directeur général, actuellement en déplacement. Ton urgent, demande confidentielle, virement exceptionnel à effectuer avant midi. Le montant : 38 500 euros vers un IBAN espagnol. L’email ressemble trait pour trait à ceux du DG — même adresse, même formulation, même façon d’écrire. Elle vire. L’argent est parti. Le vrai DG, appelé une heure plus tard, n’a jamais envoyé cet email.

Ce scénario n’est pas une reconstitution fictive. Il se produit plusieurs fois par semaine en France, dans des PME de toutes tailles et de tous secteurs. La FOVI — Fraude au Virement par Ordre Informatique — représentait 500 millions d’euros de pertes déclarées en France en 2024, et le chiffre réel est probablement le double.

Comment fonctionne l’arnaque

La sophistication de ces fraudes est souvent sous-estimée. Les attaquants ne se contentent pas d’envoyer un email générique. Ils préparent leur attaque pendant des semaines, parfois des mois.

La première phase est le renseignement. Via LinkedIn, les sites institutionnels, les mentions légales, les réseaux sociaux, ils identifient l’organigramme : qui est le dirigeant, qui est en charge de la comptabilité ou des finances, qui a le pouvoir de virement. Ils observent les absences (conférences, déplacements annoncés publiquement), le style d’écriture du dirigeant dans ses prises de parole, les fournisseurs habituels de l’entreprise.

La deuxième phase est le ciblage. L’email frauduleux arrive précisément au moment où le dirigeant est injoignable — en déplacement, en réunion, à l’étranger. Le message invoque une urgence : une acquisition confidentielle, un retard de paiement qui menace un contrat, une demande régulateur. La confidentialité est toujours invoquée pour éviter que le collaborateur cherche à vérifier avec ses collègues.

Variante plus élaborée : l’attaquant a compromis la boîte email du dirigeant ou d’un fournisseur, et envoie depuis le vrai compte. Dans ce cas, même l’adresse d’expédition est authentique.

Les signaux d’alerte à reconnaître

Certains éléments doivent systématiquement déclencher une vérification :

• Une demande de virement vers un IBAN inconnu ou étranger, présentée comme urgente
• Un email qui demande de ne pas passer par les procédures habituelles
• Une demande émanant d’un dirigeant alors qu’il est supposément en déplacement ou injoignable
• Un changement de RIB d’un fournisseur habituel, envoyé par email sans confirmation préalable
• Un email dont l’adresse d’expédition ressemble à celle du dirigeant mais avec une légère différence (un point, un tiret, un domaine approchant)

Ce dernier point — l’usurpation de domaine — est facilement détectable si l’on prend trente secondes pour lire l’adresse complète de l’expéditeur, pas seulement le nom affiché.

Les procédures qui neutralisent la fraude

La défense la plus efficace contre la FOVI n’est pas technique, elle est procédurale. Une règle simple suffit à rendre ces attaques inopérantes dans la quasi-totalité des cas : tout virement exceptionnel doit être confirmé par un canal distinct de l’email.

Un appel téléphonique au dirigeant sur son numéro habituel (pas celui indiqué dans l’email frauduleux), une confirmation en présentiel, un message via Teams ou une autre application de messagerie interne — n’importe quel second canal casse la chaîne d’action de l’attaquant.

D’autres mesures organisationnelles viennent renforcer ce premier principe :

La règle des quatre yeux : tout virement au-delà d’un certain seuil (à définir selon la taille de l’entreprise, souvent entre 5 000 et 15 000 euros) requiert deux validations distinctes. Un seul comptable ne peut pas déclencher un paiement important sans co-validation.

La liste blanche d’IBAN : les virements ne peuvent être effectués que vers des IBAN enregistrés préalablement dans le système comptable. Tout nouvel IBAN doit être validé selon une procédure formelle, avec vérification téléphonique auprès du fournisseur concerné.

La procédure de changement de RIB fournisseur : toute modification de coordonnées bancaires doit être traitée avec la même rigueur qu’un nouveau fournisseur. Un email seul ne suffit pas — un appel de confirmation sur le numéro habituel du fournisseur est obligatoire.

Ce que l’informatique peut apporter en complément

Sur le plan technique, plusieurs mesures réduisent la surface d’attaque.

La configuration DMARC en mode reject sur votre domaine empêche des tiers d’envoyer des emails en usurpant votre identité — ce qui protège vos partenaires autant que vos collaborateurs. Si vos clients reçoivent un faux email de votre part, votre réputation est en jeu.

L’activation du MFA sur toutes les boîtes email du comité de direction empêche un attaquant qui a obtenu un mot de passe d’accéder au compte et d’envoyer depuis la vraie adresse.

La sensibilisation régulière des équipes financières et de direction, avec des exemples concrets et des simulations d’attaques, ancre les bons réflexes bien mieux qu’une charte lue une fois par an.

En cas de fraude avérée : les 60 premières minutes comptent

Si un virement frauduleux a été effectué, chaque minute compte. Il faut appeler immédiatement sa banque pour signaler la fraude et demander un recall du virement — les délais de traitement bancaire laissent parfois une fenêtre. Il faut ensuite déposer une plainte auprès de la police ou de la gendarmerie, puis contacter TRACFIN si le virement est international.

Le taux de récupération des fonds diminue très rapidement avec le temps. Une réaction dans l’heure permet parfois de bloquer le virement avant qu’il ne soit viré vers un second compte à l’étranger.

Si vous souhaitez mettre en place des procédures anti-FOVI dans votre entreprise ou tester la résistance de vos équipes à ce type d’attaque, contactez-nous — c’est une prestation que nous proposons dans le cadre de notre offre de cybersécurité.