Fiche Réflexe Arnaque au Président FOVI : Que Faire (PDF)

L'arnaque au président, également connue sous l'appellation technique FOVI (Faux Ordres de Virement International), constitue l'une des fraudes les plus dévastatrices auxquelles font face les entreprises françaises, avec des pertes cumulées estimées à plusieurs milliards d'euros depuis l'apparition de cette technique au début des années 2010. Le principe est redoutablement simple mais d'une efficacité terrifiante : un escroc se fait passer pour le dirigeant de l'entreprise ou un interlocuteur de confiance (avocat, commissaire aux comptes, banquier) et ordonne par téléphone ou par email un virement urgent et confidentiel vers un compte bancaire contrôlé par les fraudeurs. En 2025, la menace a pris une dimension nouvelle avec l'utilisation de technologies de deepfake vocal et vidéo qui permettent de reproduire fidèlement la voix et même l'apparence du dirigeant, rendant la détection infiniment plus complexe. Ce guide détaillé décortique le mode opératoire des escrocs étape par étape, vous présente les signaux d'alerte à reconnaître, les procédures de vérification à mettre en place, et les recours disponibles en cas de fraude avérée. Téléchargez notre fiche réflexe imprimable pour protéger votre service comptable et financier.

Qu'est-ce que l'arnaque au président (FOVI) ?

Le FOVI (Faux Ordres de Virement International) — communément appelé « arnaque au président » — est une technique de fraude par ingénierie sociale dans laquelle un escroc usurpe l'identité d'un dirigeant d'entreprise, d'un avocat ou d'un autre tiers de confiance pour convaincre un employé disposant de droits sur les comptes bancaires d'effectuer un ou plusieurs virements urgents vers des comptes contrôlés par les criminels. Cette fraude repose exclusivement sur la manipulation psychologique et n'implique aucune intrusion technique dans les systèmes informatiques de l'entreprise.

Le terme « arnaque au président » est apparu en France au milieu des années 2000, quand les premiers cas médiatisés ont révélé l'ampleur du phénomène. Depuis, la technique s'est professionnalisée et internationalisée, avec des réseaux criminels organisés disposant de « call centers » spécialisés, de cellules de renseignement OSINT (Open Source Intelligence) et de mules financières réparties dans le monde entier pour blanchir les fonds détournés.

La fraude au président se distingue d'autres types de fraudes par trois caractéristiques essentielles : elle cible spécifiquement les personnes habilitées aux virements (comptables, trésoriers, directeurs financiers), elle utilise l'autorité hiérarchique comme levier de pression (l'ordre vient du « président » ou d'une autorité supérieure), et elle impose un secret absolu qui empêche la victime de vérifier la demande auprès de ses collègues. C'est ce triptyque urgence-autorité-secret qui fait sa redoutable efficacité.

Comment fonctionne une arnaque au président : le mode opératoire étape par étape

Le mode opératoire d'un FOVI suit un processus méthodique qui peut s'étendre sur plusieurs semaines de préparation avant le passage à l'acte. Comprendre chaque phase permet de détecter la fraude à différents stades.

Phase 1 — La reconnaissance OSINT (2 à 6 semaines avant l'attaque) : Les escrocs commencent par une phase intensive de renseignement sur l'entreprise cible. Ils exploitent les sources publiques : registre du commerce (Infogreffe, societe.com) pour identifier les dirigeants, les mandataires sociaux et les établissements, le site web de l'entreprise pour la structure organisationnelle, LinkedIn pour identifier les employés du service comptable et financier, les réseaux sociaux du dirigeant pour connaître ses habitudes et ses déplacements (voyages d'affaires publiés sur Instagram ou LinkedIn), les publications légales (augmentations de capital, opérations de fusion-acquisition), et les communiqués de presse.

Phase 2 — La préparation de l'usurpation : Avec ces informations, les escrocs préparent leur scénario. Ils peuvent créer une adresse email similaire à celle du dirigeant (typosquatting : « pdg@entreprise-fr.com » au lieu de « pdg@entreprise.fr »), usurper le numéro de téléphone du dirigeant via des techniques de caller ID spoofing, ou dans les cas les plus sophistiqués, préparer un deepfake vocal en utilisant des extraits audio du dirigeant disponibles en ligne (interviews, podcasts, vidéos YouTube). Ils choisissent le moment de l'attaque en fonction des absences du dirigeant (repérées sur les réseaux sociaux) et des périodes de charge de travail élevée pour le service comptable.

Phase 3 — Le premier contact : L'appel téléphonique initial est soigneusement orchestré. L'escroc se présente comme le PDG (ou comme son avocat, son banquier d'affaires, un commissaire aux comptes) et expose un scénario crédible nécessitant un virement urgent : une acquisition confidentielle en cours, un contrôle fiscal imminent nécessitant le paiement d'une caution, le déblocage d'un contrat stratégique, ou le règlement d'une dette urgente. Le ton est autoritaire mais familier, utilisant des informations personnelles glanées lors de la phase de reconnaissance pour paraître crédible.

Phase 4 — La pression et le virement : L'escroc maintient une pression constante sur la victime, souvent par des appels téléphoniques répétés. Il insiste sur la confidentialité absolue de l'opération (« Surtout, n'en parlez à personne, c'est une opération sensible qui pourrait faire échouer le deal si elle est ébruitée »), l'urgence extrême (« Le virement doit partir avant 16h aujourd'hui, sinon nous perdons le contrat »), et la confiance personnelle (« Je compte sur vous, vous êtes la seule personne de confiance à qui je peux demander ça »). Les coordonnées bancaires fournies correspondent généralement à des comptes situés dans des pays où les retraits rapides sont possibles (Hongrie, Pologne, Chine, Hong Kong).

Statistiques de la fraude au président en France

Les chiffres de la fraude au président en France révèlent l'ampleur d'un phénomène qui touche des entreprises de toutes tailles et de tous secteurs. Selon les données de l'OCRGDF (Office Central pour la Répression de la Grande Délinquance Financière) et du rapport annuel de cybermalveillance.gouv.fr, les statistiques suivantes dressent un tableau préoccupant.

La perte moyenne par fraude au président réussie en France s'élève à environ 150 000 euros pour les PME et peut atteindre plusieurs millions d'euros pour les grandes entreprises. Le montant total des fraudes au président en France est estimé à plus de 640 millions d'euros par an, un chiffre probablement sous-estimé car de nombreuses victimes ne portent pas plainte par crainte de l'atteinte réputationnelle. Les secteurs les plus touchés sont l'industrie (23 %), le commerce de gros (18 %), les services aux entreprises (15 %) et le BTP (12 %).

Le taux de récupération des fonds après une fraude est extrêmement faible. Si le virement est identifié comme frauduleux dans les premières heures, une procédure de rappel bancaire (recall) permet parfois de bloquer les fonds. Passé un délai de 24 à 48 heures, les fonds ont généralement été transférés vers d'autres comptes et convertis en cryptomonnaie ou retirés en espèces, rendant la récupération quasi impossible. Le taux de récupération global est estimé à seulement 10 à 15 % des montants détournés.

L'évolution avec les deepfakes : la nouvelle dimension de la menace

L'émergence des technologies de deepfake (hypertrucage) vocal et vidéo a considérablement augmenté la dangerosité de l'arnaque au président. En 2024 et 2025, plusieurs cas documentés en Europe et en Asie ont démontré l'utilisation réussie de deepfakes en temps réel pour commettre des fraudes FOVI de grande envergure.

Le cas le plus médiatisé est celui d'une entreprise de Hong Kong qui a perdu 25 millions de dollars en 2024 après qu'un employé du service financier a participé à une visioconférence avec ce qu'il croyait être le directeur financier et d'autres cadres dirigeants de l'entreprise. En réalité, tous les participants étaient des deepfakes vidéo générés en temps réel. L'employé, convaincu par la qualité des avatars et la cohérence de la conversation, a exécuté 15 virements vers des comptes contrôlés par les escrocs.

Les technologies de clonage vocal sont devenues accessibles et ne nécessitent que quelques secondes d'enregistrement audio de la voix cible pour produire un clone convaincant. Des outils comme ElevenLabs, Resemble AI ou VALL-E peuvent reproduire le timbre, l'intonation, le rythme et même l'accent d'une personne. Pour les dirigeants dont la voix est disponible publiquement (interviews radio, podcasts, vidéos YouTube, conférences filmées), le risque est maximal.

Face à cette menace, les procédures de vérification traditionnelles (« Rappelez le numéro du standard pour vérifier ») peuvent être insuffisantes si l'escroc a également usurpé le numéro de téléphone. Il est désormais nécessaire de mettre en place des procédures de contre-vérification multi-canaux et des mots de passe verbaux pré-convenus pour authentifier les demandes de virement inhabituelles.

Les 4 signaux d'alerte d'une tentative de FOVI

Reconnaître les signaux d'alerte d'une tentative de fraude au président peut sauver votre entreprise de pertes catastrophiques. Voici les quatre signaux d'alerte les plus fiables, chacun détaillé avec des exemples concrets :

Signal n°1 — La demande de confidentialité absolue. Toute demande légitime de virement peut supporter une vérification auprès d'un tiers. Un dirigeant qui vous demande de « ne parler de cette opération à personne, même pas au directeur financier » crée les conditions de l'isolement nécessaire à la fraude. Dans une entreprise correctement organisée, aucun virement significatif ne devrait jamais reposer sur la décision d'une seule personne sans aucune vérification croisée. La confidentialité est l'outil qui empêche la victime de consulter les personnes qui pourraient identifier la fraude.

Signal n°2 — L'urgence extrême et la pression temporelle. « Le virement doit partir avant la fin de la journée », « Nous perdons tout si ce n'est pas fait dans l'heure ». Cette urgence artificielle vise à court-circuiter les processus de validation habituels et à empêcher la réflexion. Un dirigeant légitime comprend que les processus de validation existent pour protéger l'entreprise et ne demandera jamais de les contourner. De plus, les opérations financières légitimes bénéficient toujours de délais raisonnables pour leur exécution.

Signal n°3 — Un changement dans les coordonnées bancaires. La demande de virement est dirigée vers un compte bancaire inconnu, souvent dans un pays étranger avec lequel l'entreprise n'a pas de relations commerciales habituelles. Les comptes utilisés se trouvent fréquemment en Europe de l'Est (Hongrie, Pologne, République tchèque), en Asie (Chine, Hong Kong) ou dans des juridictions offshore. Tout changement de RIB pour un fournisseur ou partenaire existant doit déclencher une procédure de vérification auprès du bénéficiaire via un canal indépendant.

Signal n°4 — Un interlocuteur inhabituellement bien informé. L'escroc connaît des détails sur l'organisation qui semblent prouver son identité (noms de collaborateurs, projets en cours, déplacements récents du dirigeant). Paradoxalement, cette connaissance apparemment intime est un signal d'alerte : elle résulte d'une phase de reconnaissance OSINT et non d'une connaissance réelle de l'entreprise. Un vrai dirigeant n'a pas besoin de « prouver » son identité en citant des détails internes — il appelle depuis son numéro habituel sur des sujets routiniers.

Procédure de contre-vérification : le protocole anti-FOVI

La mise en place d'une procédure de contre-vérification formalisée est la mesure la plus efficace contre la fraude au président. Cette procédure doit être connue de tous les collaborateurs habilités aux virements et strictement appliquée, sans exception, quelle que soit l'identité alléguée du demandeur.

Règle n°1 — Le rappel systématique sur un numéro pré-enregistré. Pour toute demande de virement inhabituelle (nouveau bénéficiaire, montant élevé, urgence, changement de coordonnées bancaires), l'opérateur doit rappeler le demandeur sur son numéro de téléphone professionnel pré-enregistré dans l'annuaire interne — jamais sur le numéro affiché lors de l'appel entrant, ni sur un numéro communiqué dans l'email de demande. Ce rappel doit être systématique et non négociable.

Règle n°2 — La double signature pour les virements supérieurs à un seuil. Aucun virement dépassant un montant défini (par exemple 10 000 euros, à adapter selon votre activité) ne doit pouvoir être exécuté par une seule personne. La validation par deux signataires indépendants rend la fraude exponentiellement plus difficile car l'escroc devrait manipuler simultanément deux personnes différentes. Ce principe de séparation des tâches (segregation of duties) est un fondamental du contrôle interne.

Règle n°3 — Le mot de passe verbal secret. Établissez un code ou une phrase secrète connue uniquement du dirigeant et des personnes habilitées aux virements. Toute demande de virement exceptionnelle doit inclure ce code pour être validée. Changez ce code régulièrement (trimestriellement) et ne le communiquez jamais par email ou messagerie électronique. Ce mécanisme simple est la meilleure parade contre les deepfakes vocaux car l'escroc, même s'il peut reproduire la voix, ne connaît pas le code.

Règle n°4 — Le délai de validation incompressible. Instaurez un délai minimum de 24 à 48 heures entre la réception d'une demande de virement inhabituelle et son exécution. Ce délai permet la vérification, le recul émotionnel et la consultation de tiers. La plupart des fraudes au président reposent sur l'immédiateté — imposer un délai supprime ce levier. Aucune urgence légitime ne justifie de contourner ce délai : si un dirigeant insiste pour le supprimer, c'est un signal d'alerte supplémentaire.

Cas célèbres de fraudes au président en France

L'analyse de cas réels de fraudes au président en France permet de comprendre concrètement comment ces attaques se déroulent et pourquoi elles réussissent. Ces exemples illustrent la diversité des scénarios et l'ingéniosité des escrocs.

Affaire KPMG / Pathé (2018) : Le réseau de cinémas Pathé aux Pays-Bas a perdu 19,2 millions d'euros suite à une fraude au président. Le directeur financier de la filiale néerlandaise a reçu des emails prétendument envoyés par le PDG du groupe Pathé à Paris, lui demandant d'effectuer une série de virements pour financer une acquisition confidentielle à Dubaï. Les emails, bien rédigés et utilisant les codes de communication habituels du groupe, ont trompé le directeur pendant plusieurs semaines. L'affaire est devenue un cas d'école étudié dans toutes les formations anti-fraude.

Affaire Michelin (2014) : Un comptable de la filiale belge de Michelin a viré 1,6 million d'euros à des escrocs se faisant passer pour le directeur financier du groupe à Clermont-Ferrand. L'escroc avait une connaissance approfondie de l'organigramme du groupe et utilisait un ton autoritaire caractéristique des échanges internes. La fraude n'a été découverte que lorsque le vrai directeur financier a interrogé le comptable sur des mouvements inhabituels.

Affaire Gilbert Chikli (2005-2015) : Gilbert Chikli est considéré comme le « père » de l'arnaque au président en France. Entre 2005 et 2015, il a escroqué des dizaines d'entreprises françaises pour un montant total estimé à plus de 60 millions d'euros, en se faisant passer pour des ministres, des agents de la DGSE ou des hauts responsables. Arrêté en Israël en 2017, il a été condamné en France à 11 ans de prison. Son procès a révélé le fonctionnement industriel de ces réseaux criminels.

Construire une organisation résistante au FOVI

Au-delà des procédures de contre-vérification, la résistance au FOVI nécessite une approche organisationnelle globale qui combine contrôles internes, formation continue et culture de la vigilance. Voici les piliers d'une organisation FOVI-résiliente :

Séparation des fonctions : Le principe fondamental du contrôle interne est qu'aucune personne ne devrait pouvoir initier, autoriser et exécuter une transaction financière seule. Séparez clairement les rôles : celui qui crée le bénéficiaire dans le système bancaire ne doit pas être celui qui valide le virement, et aucun des deux ne doit être le demandeur initial. Cette séparation en trois rôles rend la fraude quasi impossible sans compromettre trois personnes simultanément.

Plafonds et alertes bancaires : Configurez des plafonds de virement quotidiens et unitaires avec votre banque. Tout virement dépassant un seuil prédéfini doit déclencher une validation supplémentaire par la banque (callback téléphonique au titulaire du compte). Activez les alertes SMS/email pour tout virement supérieur à un montant donné. Bloquez les virements vers certains pays si votre activité ne le justifie pas.

Formation ciblée du service financier : Les comptables, trésoriers et assistants de direction sont en première ligne de la fraude au président. Ils doivent recevoir une formation spécifique (pas une simple formation générique de cybersécurité) couvrant les techniques de manipulation psychologique, les scénarios de fraude documentés, les procédures de vérification, et des exercices de simulation. Cette formation doit être renouvelée annuellement et intégrer les nouvelles menaces (deepfakes). Consultez notre playbook de réponse aux incidents pour des processus structurés.

Réduction de l'empreinte OSINT : Limitez les informations publiquement disponibles sur votre organisation qui pourraient être exploitées par les escrocs. Configurez les profils LinkedIn des dirigeants et des équipes financières en mode restrictif, évitez de publier l'organigramme détaillé sur le site web, ne publiez pas les déplacements des dirigeants en temps réel sur les réseaux sociaux, et limitez les informations accessibles au registre du commerce au strict minimum légal.

Recours juridiques et procédure de rappel bancaire

Si malgré les précautions une fraude au président réussit, la rapidité de la réaction détermine les chances de récupérer les fonds. Voici les démarches à suivre immédiatement :

Procédure de rappel bancaire (recall) — dans les premières heures : Contactez immédiatement votre banque (numéro d'urgence, pas le conseiller habituel) pour demander un recall du virement frauduleux. La procédure de rappel SWIFT permet de demander à la banque du bénéficiaire de geler et retourner les fonds. Les chances de succès diminuent drastiquement avec le temps : dans les 24 premières heures, le taux de récupération avoisine les 50 % ; passé 48 heures, il tombe à moins de 10 %. La banque doit envoyer un message SWIFT MT199 de demande de rappel à la banque bénéficiaire.

Dépôt de plainte : Déposez plainte immédiatement auprès du commissariat ou de la gendarmerie. Pour les montants importants, adressez-vous directement à l'OCRGDF (Office Central pour la Répression de la Grande Délinquance Financière) ou au procureur de la République. La plainte est indispensable pour la mobilisation des services d'enquête internationaux (Interpol, Europol) et pour la couverture assurantielle. Conservez toutes les preuves : emails, enregistrements téléphoniques (si autorisés), historique des virements, notes de conversation.

Notification à la CNIL et aux personnes concernées : Si la fraude implique une compromission de données personnelles (accès à la messagerie du dirigeant, fuite de données lors de la phase de reconnaissance), une notification à la CNIL peut être requise dans les 72 heures. Consultez votre DPO (Délégué à la Protection des Données) et notre guide RGPD 2026 pour évaluer cette obligation.

Assurance : Si vous disposez d'une assurance fraude ou cybercriminalité, déclarez le sinistre immédiatement. Les polices couvrant spécifiquement la fraude au président existent mais sont souvent assorties de conditions strictes : respect des procédures de double validation, existence d'un protocole anti-FOVI formalisé, formation du personnel. Le non-respect de ces conditions peut justifier un refus de garantie.

Variantes modernes de l'arnaque au président

L'arnaque au président classique a engendré de nombreuses variantes qui exploitent les mêmes mécanismes psychologiques dans des contextes différents. Connaître ces variantes permet de former vos équipes à un spectre plus large de menaces :

La fraude au fournisseur : L'escroc se fait passer pour un fournisseur habituel de l'entreprise et demande un changement de coordonnées bancaires (changement de RIB). Il envoie un email ou un courrier imitant l'en-tête du fournisseur, avec un nouveau RIB. Les factures suivantes sont alors réglées sur le compte de l'escroc. Cette variante est parfois plus difficile à détecter car elle ne repose pas sur l'urgence mais sur la routine. La parade : toujours vérifier un changement de RIB par un appel au fournisseur sur son numéro habituel.

La fraude au technicien bancaire : L'escroc se fait passer pour un technicien de la banque de l'entreprise et prétexte une opération de maintenance, un test de sécurité ou une mise à jour du système de virement en ligne. Il demande à la victime d'effectuer un « virement test » ou de lui communiquer des identifiants de connexion bancaire. Aucune banque ne demandera jamais d'effectuer un virement test ni de communiquer des identifiants par téléphone.

La fraude BEC (Business Email Compromise) : L'escroc compromet réellement la boîte email d'un dirigeant ou d'un partenaire commercial (via phishing) et utilise ce compte légitime pour envoyer des demandes de virement. Cette variante est particulièrement dangereuse car l'email vient véritablement du bon expéditeur, passe tous les filtres (SPF, DKIM, DMARC) et peut inclure des conversations antérieures réelles. La seule parade est la contre-vérification par un canal indépendant (téléphone). Consultez notre fiche réflexe phishing pour les mesures de protection des comptes email.

Formation et sensibilisation spécifique anti-FOVI

La formation anti-FOVI doit être distincte de la formation générique de sensibilisation à la cybersécurité et cibler spécifiquement les populations à risque. Voici les composantes d'un programme de formation efficace :

Public cible prioritaire : Service comptable et financier, trésorerie, assistants de direction, standardistes et toute personne susceptible de recevoir des appels du dirigeant. N'oubliez pas les intérimaires, les nouveaux arrivants et les collaborateurs des filiales étrangères qui connaissent moins bien la voix et les habitudes du dirigeant et sont donc des cibles privilégiées.

Contenu de la formation : Présentation du mode opératoire détaillé (avec les phases de reconnaissance, de prise de contact et de pression), analyse de cas réels anonymisés, exercices de reconnaissance des signaux d'alerte (mises en situation téléphoniques), rappel des procédures de contre-vérification, et conduite à tenir en cas de tentative identifiée. La formation doit explicitement autoriser les collaborateurs à « désobéir » à une demande du dirigeant si les procédures de vérification ne sont pas respectées — et le dirigeant doit l'affirmer lui-même lors de la formation.

Exercices de simulation : Comme pour le phishing, les simulations d'arnaque au président sont le format pédagogique le plus efficace. Un consultant externe appelle le service comptable en se faisant passer pour le dirigeant et demande un virement urgent. L'objectif n'est pas de piéger les collaborateurs mais de tester et renforcer les réflexes de vérification. Ces exercices doivent être réalisés avec l'accord de la direction et dans un cadre bienveillant. Consultez notre guide d'automatisation de la réponse aux incidents pour structurer vos processus.

Impact psychologique sur les victimes et gestion de l'après-fraude

L'impact d'une arnaque au président ne se mesure pas uniquement en pertes financières. Les victimes — les collaborateurs qui ont exécuté le virement frauduleux — subissent souvent un traumatisme psychologique significatif : sentiment de culpabilité, honte, peur des conséquences disciplinaires, perte de confiance en soi. Plusieurs cas de tentatives de suicide liées à des fraudes au président ont été documentés en France.

La gestion de l'après-fraude doit intégrer une dimension humaine essentielle. Le collaborateur victime ne doit pas être sanctionné disciplinairement (sauf en cas de violation délibérée de procédures connues et documentées), car la sanction découragerait le signalement des futures tentatives. Au contraire, le collaborateur doit être soutenu, accompagné psychologiquement si nécessaire, et remercié d'avoir signalé la fraude le plus rapidement possible.

La direction doit communiquer clairement en interne sur la fraude (sans nommer la victime), expliquer le mode opératoire utilisé, rappeler que n'importe qui aurait pu être trompé par des professionnels de la manipulation, et renforcer les procédures de contrôle. Cette transparence transforme l'incident en opportunité de sensibilisation et renforce la culture de vigilance collective.

Le rôle de la technologie dans la prévention du FOVI

Si la fraude au président est fondamentalement une attaque d'ingénierie sociale, la technologie peut néanmoins apporter des couches de protection supplémentaires. Les solutions de sécurité email avancées détectent les tentatives d'usurpation d'identité (emails dont le nom affiché correspond à un dirigeant mais dont l'adresse réelle est différente), les domaines de typosquatting récemment enregistrés, et les anomalies comportementales dans les communications internes.

Les solutions de détection de deepfake émergent rapidement, capables d'analyser en temps réel les flux audio et vidéo pour identifier les artefacts caractéristiques de la synthèse artificielle (micro-distorsions spectrales, incohérences temporelles, anomalies dans les harmoniques vocales). Ces solutions ne sont pas encore parfaites mais progressent rapidement et devraient devenir un standard de sécurité dans les prochaines années.

Les systèmes bancaires intègrent également de plus en plus de contrôles intelligents : détection automatique des virements inhabituels (nouveau bénéficiaire, pays inhabituel, montant atypique), callback automatique pour validation des virements dépassant un seuil, et analyse comportementale des patterns de virement. Travaillez avec votre banque pour activer et paramétrer ces contrôles en fonction de votre profil de risque. Pour une approche globale de la sécurité, consultez notre checklist de 20 mesures de sécurité pour PME.

Cadre réglementaire et obligations de signalement

En France, la fraude au président s'inscrit dans un cadre réglementaire qui impose des obligations spécifiques aux entreprises victimes. Depuis l'entrée en vigueur de la directive NIS2 transposée en droit français, les entités essentielles et importantes doivent signaler tout incident de sécurité significatif, y compris les fraudes ayant un impact sur leur stabilité financière, dans un délai de 24 heures pour l'alerte précoce et de 72 heures pour la notification détaillée auprès de l'ANSSI.

Le RGPD intervient également si la fraude implique une compromission de données personnelles — par exemple si le compte email du dirigeant a été compromis et que des données de clients ou d'employés ont été exposées. Dans ce cas, la notification à la CNIL dans les 72 heures est obligatoire conformément à l'article 33 du règlement. Les personnes dont les données sont concernées doivent également être informées si le risque est élevé.

Sur le plan du contrôle interne, les commissaires aux comptes et les auditeurs financiers sont de plus en plus attentifs aux procédures anti-fraude mises en place par les entreprises. L'absence de procédures de double validation pour les virements peut être relevée comme une faiblesse significative du contrôle interne dans le rapport d'audit. Les normes d'exercice professionnel (NEP 240) imposent aux commissaires aux comptes d'évaluer le risque de fraude et de signaler les faiblesses identifiées dans les procédures de contrôle interne.

Enfin, la responsabilité civile de la banque peut être engagée si elle a exécuté un virement manifestement frauduleux sans effectuer les vérifications d'usage, notamment lorsque le montant ou la destination du virement présentaient un caractère anormal au regard de l'activité habituelle du compte. Plusieurs décisions de justice françaises ont reconnu la responsabilité partagée entre l'entreprise victime et la banque qui n'avait pas respecté son devoir de vigilance, aboutissant à une indemnisation partielle de la victime.

Questions fréquentes sur l'arnaque au président

Comment un escroc peut-il connaître autant de détails sur mon entreprise ?

Les escrocs utilisent des techniques d'OSINT (Open Source Intelligence) pour collecter des informations publiquement disponibles : registre du commerce (Infogreffe, societe.com), LinkedIn (organigramme, relations professionnelles), site web de l'entreprise, réseaux sociaux des dirigeants (déplacements, événements), publications légales, communiqués de presse, et même des bases de données compromises. En quelques heures de recherche, un escroc expérimenté peut reconstituer un portrait détaillé de votre organisation.

Mon entreprise est trop petite pour être ciblée, n'est-ce pas ?

Absolument pas. Les PME sont des cibles privilégiées car elles disposent souvent de procédures de contrôle interne moins formalisées, d'une séparation des fonctions moins stricte, et d'un accès plus direct entre les collaborateurs et la direction. Une PME de 20 salariés avec une seule comptable qui gère les virements est une cible idéale. Les montants sont certes plus faibles, mais les escrocs compensent par le volume de cibles.

Que faire si j'ai déjà exécuté le virement frauduleux ?

Agissez immédiatement : appelez le numéro d'urgence de votre banque pour demander un rappel de virement (recall SWIFT), déposez plainte sans attendre auprès du commissariat ou directement auprès du procureur de la République, informez votre direction et votre assureur. Le facteur temps est déterminant : dans les premières 24 heures, les chances de récupération avoisinent 50 %. Passé 48 heures, elles tombent sous les 10 %.

Les deepfakes vocaux sont-ils vraiment convaincants ?

Oui. Les technologies actuelles de clonage vocal peuvent reproduire fidèlement la voix d'une personne à partir de quelques secondes d'enregistrement audio. Le timbre, l'intonation, le rythme et même l'accent sont reproduits avec un réalisme qui trompe les proches de la personne imitée. Un mot de passe verbal secret pré-convenu entre le dirigeant et les personnes habilitées aux virements est la seule parade efficace contre cette technologie.

Quelle est la différence entre fraude au président et BEC (Business Email Compromise) ?

La fraude au président classique repose sur l'usurpation d'identité sans compromission technique : l'escroc imite le dirigeant (email similaire, appel téléphonique). Le BEC implique une compromission réelle du compte email du dirigeant ou d'un partenaire via phishing, permettant à l'escroc d'envoyer des emails depuis l'adresse légitime. Le BEC est plus difficile à détecter car les contrôles techniques (SPF, DKIM) ne signalent aucune anomalie. Dans les deux cas, la contre-vérification par téléphone sur un numéro pré-enregistré reste la parade essentielle.

Mon assurance couvre-t-elle la fraude au président ?

Cela dépend de votre police. Les assurances cyber ou fraude couvrent généralement ce type de sinistre, mais sous conditions strictes : existence de procédures de double validation documentées, formation du personnel aux risques de fraude, respect des procédures lors de l'incident. Vérifiez attentivement les exclusions et conditions de votre police. Certaines assurances incluent aussi une couverture « perte financière suite à détournement » dans leur garantie de base.

Comment protéger les filiales étrangères contre l'arnaque au président ?

Les filiales étrangères sont particulièrement vulnérables car leurs collaborateurs connaissent moins bien la voix et le style de communication des dirigeants du siège. Mettez en place des procédures de validation identiques dans toutes les filiales, avec des interlocuteurs de référence identifiés pour chaque entité. Assurez-vous que les formations anti-FOVI sont dispensées dans la langue locale et incluent des exemples adaptés au contexte du pays. Les plafonds de virement et les procédures de callback doivent être configurés avec les banques locales.

La fraude au président est-elle punie par la loi française ?

Oui. La fraude au président est qualifiée pénalement d'escroquerie (article 313-1 du Code pénal), passible de 5 ans d'emprisonnement et 375 000 euros d'amende. En bande organisée, les peines sont portées à 10 ans d'emprisonnement et 1 million d'euros d'amende. L'usurpation d'identité est un délit supplémentaire passible de 1 an de prison et 15 000 euros d'amende. Les peines sont alourdies quand la victime est une personne vulnérable.

Inspiré des recommandations de cybermalveillance.gouv.fr (licence Etalab 2.0)

Conclusion

La prévention et la préparation restent les meilleures armes face aux cybermenaces. Téléchargez cette ressource, diffusez-la dans votre organisation et n'hésitez pas à nous contacter pour un accompagnement personnalisé.