Cybermenaces : sécuriser les paiements entrants et sortants

Les chiffres parlent d’eux-mêmes : d’après une étude menée en 2025 par la DFCG (Association des directeurs financiers et de contrôle) et Memo Bank, 85 % des PME et ETI avaient subi au moins une tentative de fraude au cours des douze derniers mois (contre 60 % en 2020). 25 % d’entre elles ont été victimes d’une fraude aboutie. Mais seulement 5 % se disent bien préparées.

Les processus de paiement en première ligne des cybermenaces

Parmi les points de vulnérabilité majeurs au sein des entreprises figurent les messageries des collaborateurs et les processus de paiement. On distingue plusieurs types de fraude : 

- le piratage informatique (hacking) et détournement de compte bancaire : des logiciels malveillants peuvent être utilisés pour récupérer des mots de passe, accéder aux informations bancaires et détourner les fonds.

- le hameçonnage (phishing) : cette technique frauduleuse vise à obtenir des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance tels qu’un conseiller bancaire, une administration, un fournisseur… Les fraudeurs invitent par courrier électronique ou sms à cliquer sur un lien pour y saisir les informations bancaires avec lesquelles ils peuvent ensuite accéder aux comptes et effectuer des transferts d’argent non autorisés. Autre conséquence du hameçonnage, la fraude par usurpation d’identité permet au cybercriminel d’ouvrir des comptes bancaires au nom de l’entreprise à partir de données volées ou falsifiées.

- la fraude au faux ordre de virement (FOVI) : cette arnaque vise à persuader une victime, sous la menace ou la pression, de réaliser un virement de fonds non planifié. On parle d’arnaque au Président lorsque l’usurpateur se fait passer pour le dirigeant demandant un service « urgent » ou « confidentiel » à un collaborateur. 

- la fraude au changement de RIB : le fraudeur peut aussi usurper l’identité d’un fournisseur pour obtenir un virement. Il demande à l’entreprise de modifier ses coordonnées bancaires et détourne ainsi les règlements. On parle aussi de fraude à la facturation, qui consiste à modifier le compte bancaire sur une véritable facture d’un fournisseur. 

Lire aussi Facturation électronique : quels enjeux pour les petites entreprises ?

- la fraude par interception de courrier électronique : en modifiant les informations de virement figurant dans des échanges de mail entre l’entreprise, son fournisseur ou son client, les fraudeurs peuvent rediriger les fonds vers leurs propres comptes et ainsi les détourner.

D’après la plateforme Cybermalveillance du gouvernement, les demandes d’assistance des entreprises en 2025 ont concerné le piratage de compte dans 21 % des cas, suivi du hameçonnage dans 16 % des cas. « La fraude au virement fait son entrée dans les trois principales menaces pour les entreprises et associations. Elle représente 13,5 % des assistances avec un nombre de diagnostics en progression de 93 % par rapport à 2024 », précise le site.

Pourquoi les TPE et PME sont particulièrement vulnérables

Plusieurs facteurs structurels expliquent l’exposition accrue des petites entreprises face aux cybermenaces. Alors que leurs échanges sont de plus en plus digitalisés, elles disposent rarement d’équipes dédiées à la cybersécurité et investissent moins que les grandes entreprises dans des outils de protection et des audits de sécurité.

Mais la protection « technique » des données n’explique pas tout : l’humain reste le maillon sensible de la cybersécurité. La sensibilisation de l’ensemble des collaborateurs est fondamentale, et les personnes en charge des fonctions finance et comptabilité doivent être formées pour savoir détecter des demandes suspectes.

Manque de temps, d’expertise, de budget ou même absence de recours pour obtenir de l’aide : les raisons invoquées par les PME sont nombreuses. Mais face aux risques encourus, des précautions doivent être prises pour identifier et réduire les failles recherchées par les cybercriminels.

Bonnes pratiques pour sécuriser les paiements

Face aux cybermenaces, plusieurs mesures concrètes sont recommandées.

- Renforcer les processus de validation : mettre en place une double validation systématique pour les paiements, séparer les rôles (saisie, validation, exécution doivent être effectuées par des personnes différentes lorsque c’est possible), définir des seuils de validation hiérarchique selon les montants.

- Vérifier systématiquement les coordonnées bancaires : contrôler les IBAN lors de toute demande  de modification, et confirmer les demandes de changement par un autre canal (appel téléphonique par exemple pour vérifier une demande reçue par e-mail). Cette mesure doit être systématique, même si la demande semble provenir d’un fournisseur de confiance : c’est justement en se faisant passer pour un partenaire que les cyberfraudeurs peuvent leurrer les entreprises. Le virement est le mode de paiement le plus répandu dans le domaine professionnel, mais c’est aussi celui qui présente le plus grand risque de fraude.

- Sensibiliser tous les collaborateurs : organiser des simulations de phishing, diffuser des alertes internes en cas de tentative. Savoir reconnaître un message frauduleux permet de se prémunir du hameçonnage et évite de se faire dérober des mots de passe. 

- Sécuriser les outils numériques : utiliser des solutions d’authentification forte comme l’authentification multifacteur (MFA) qui permet de bloquer la plupart des tentatives de compromission de comptes, mettre à jour régulièrement les systèmes informatiques pour corriger les vulnérabilités, et surveiller les accès aux comptes sensibles. 

- Mettre en place des outils de détection d’anomalies de paiement, surveiller les transactions inhabituelles.

- Enfin, formaliser un « plan de réponse » pour être capable de réagir rapidement : définir une procédure en cas de fraude (ou suspicion de fraude), identifier les contacts clés à avertir (banque, administrations, autorités).

Des aides publiques à disposition

MesServicesCyber est une plateforme publique de services et ressources gratuits lancée au printemps 2025 par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Elle permet aussi d’accéder à un premier diagnostic gratuit grâce à l’aide d’un « aidant cyber » et de recevoir 6 recommandations prioritaires pour améliorer la cybersécurité d’une entreprise.

Autre recours possible : 17Cyber, une assistance en ligne en cas de constat d’une infraction numérique. Ce service permet d’identifier le problème en répondant à des questions, d’obtenir des conseils adaptés. Il donne aussi accès à une assistance technique et un accompagnement par un policier ou un gendarme lorsque la situation le nécessite.

Enfin, les CSIRT (Computer Security Incident Response Team) territoriaux sont des centres de proximité qui viennent en aide aux PME en cas d’incident cyber et les mettent en lien avec des partenaires locaux.

Prévenir les menaces plutôt que les subir

La multiplication des cyberattaques et leur sophistication croissante avec l’aide de l’intelligence artificielle sont de réelles menaces pour les entreprises. Les cybermenaces liées aux paiements représentent aujourd’hui un risque majeur pour les PME, car leur impact n’est pas uniquement financier. Elles peuvent occasionner un arrêt momentané de l’activité, la désorganiser durablement, dégrader la confiance entre l’entreprise et ses clients, nuire à la réputation de l’entreprise et aller jusqu’à conduire à une faillite.

Dans un contexte où les fraudes cyber aux moyens de paiement s’accélèrent, les PME doivent passer d’une logique réactive à une logique proactive. L’enjeu n’est pas tant de savoir si une entreprise va être touchée par une attaque, mais bien de savoir si elle sera prête à y faire face.