Fraude à l’identité : comment s’en prémunir ?

Le risque de fraude ne faiblit pas : 69 % des entreprises ont subi au moins une tentative de fraude en 2022 (+ 3 points par rapport à 2021)¹. La technique préférée des escrocs pour duper et faire des ravages dans les entreprises ? L’usurpation d’identité. Vigilance !

Les escrocs ne manquent pas de créativité pour tenter d’attaquer les entreprises. Les menaces sont très variées.

Les plus courantes sont :

  • La fraude au faux fournisseur (45 %) ¹,
  • La fraude au faux président (41 %),
  • L’intrusion dans les systèmes informatiques (41 %),
  • Autres usurpations d’identité (30 %),
  • La fraude au faux client (24 %).

Définition de l’usurpation d’identité

La plupart de ces fraudes reposent sur la technique de l’usurpation de l’identité d’un tiers : un fournisseur, un client, le président de l’entreprise, un partenaire de l’entreprise (banque, administration, avocat, commissaire aux comptes, police, factor…).

La fraude peut être plus ou moins élaborée.

Dans le cadre d’attaques en masse, les escrocs ont recours au phishing (ou hameçonnage en français). 63 %¹ des entreprises ont observé une augmentation des tentatives de phishing en 2022.

Concrètement, les escrocs envoient un email aux entreprises aux couleurs et au nom du tiers usurpé. Sous un prétexte quelconque, ils vous demandent de dévoiler vos informations personnelles ou d’effectuer un paiement.


Découvrez plus en détail la fraude au président et ses variantes dans la fiche pratique de la Cnil (Commission nationale de l’informatique et des libertés)

Conseils d’expert

David Ayault, Directeur des risques et de la conformité chez BPCE Factor

« Toute la difficulté de l’usurpation d’identité est de parvenir à réaliser rapidement que l’on en est victime. Toute stratégie de protection commence par la vigilance. »

Comment détecter une tentative d’usurpation d’identité ?

« Dans le Groupe BPCE en général, et pour BPCE Factor en particulier, la cybersécurité est une préoccupation majeure, sur laquelle nous investissons beaucoup pour protéger nos clients et notre entreprise. Par exemple, pour limiter le risque d’usurpation de nos URLs, des équipes d’experts surveillent en permanence l’utilisation des noms de domaine et, si nécessaire, engagent très rapidement des actions adaptées à chaque situation » confie David Ayault.

Les escrocs peuvent également agir de manière plus sophistiquée. Ils commencent alors par se renseigner sur l’entreprise (inspection des réseaux sociaux et des poubelles, piratage des messageries et des systèmes d’information, etc.). Une fois en possession de données suffisantes, ils passent à l’attaque.

Dans le cas de l’usurpation d’identité d’une société d’affacturage, par exemple, ils peuvent alors se faire passer pour le factor auprès des clients de l’entreprise, à qui ils communiquent leurs coordonnées bancaires pour le règlement des factures. « En cas de fraude, les équipes de BPCE Factor sont en capacité de réagir avec professionnalisme pour accompagner les clients », tient à préciser David Ayault.

Avis d’expert

David Ayault, Directeur des risques et de la conformité chez BPCE Factor

« Dans les attaques d’ingénierie sociale (fraude au faux fournisseur, au faux président…), les escrocs jouent sur les émotions, font en sorte de vous submerger d’informations, utilisent des techniques de manipulation, mettent la pression, menacent… Ils savent se montrer convaincants. Pour faire face, il faut arriver à prendre du recul sur la situation et à se référer aux procédures (vérification, validation…). Dans le doute, mettez fin à l’échange afin de prendre contact avec votre interlocuteur habituel, par les moyens officiels pour vérifier les informations ou la demande. Les bonnes pratiques sont parfois oubliées dans l’urgence. »

Parades à l’usurpation d’identité

Pour se prémunir des cybermenaces, adoptez toutes les bonnes pratiques en matière d’hygiène informatique. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) liste 42 mesures pour renforcer la sécurité de ses systèmes d’information dans un guide gratuit.

Par ailleurs, l’humain est souvent considéré comme le maillon faible de la cybersécurité. Pour limiter les risques, il est essentiel de déployer une culture du risque en interne : charte, sensibilisation, formation, tests de phishing, mise en place de procédures spécifiques… « Des piqûres de rappel régulières sont indispensables pour maintenir un haut niveau de sécurité, signale David Ayault. Pour une meilleure efficacité, elles peuvent être menées en amont des périodes les plus propices à la fraude. C’est le cas en période de vacances scolaires où les escrocs peuvent profiter de la baisse de vigilance dans les entreprises due à une présence moins importante des salariés. »

Si malgré toutes les précautions prises, votre entreprise est victime d’une escroquerie, il est absolument nécessaire de porter plainte auprès du service de police ou de gendarmerie le plus proche.

Bon à savoir !

Le gouvernement met à disposition des entreprises un kit de sensibilisation aux risques numériques.

1 Baromètre Fraude et Cybercriminalité – Euler Hermes et la DFCG (Directeurs financiers et contrôleurs de gestion)