Cybersécurité

Trésorerie : Autopsie de l'Arnaque au Faux Virement (FOVI) à 180 000€

P
Pragma Team
10 Février 2026 7 min

Quand la menace ne vient pas du code, mais de l'humain

La Fraude aux Faux Ordres de Virement (FOVI), aussi appelée "Arnaque au Président", est le cauchemar des directeurs financiers. Contrairement aux Ransomwares qui bloquent vos ordinateurs, la FOVI est silencieuse. Elle repose sur l'ingénierie sociale : l'art de manipuler l'humain.

Sécurité informatique et cybersécurité

Le scénario est toujours le même (et il marche) : Un vendredi après-midi, votre comptable reçoit un email urgent venant apparemment du PDG (adresse email usurpée ou très proche, ex: p.dg@sct-holding.com au lieu de ste-holding.com). L'email demande d'effectuer un virement immédiat pour une "acquisition confidentielle stratégique", vers un nouveau RIB étranger. Sous la pression hiérarchique et le sceau du secret, le comptable s'exécute. L'argent part en Europe de l'Est ou en Asie. Il est irrécupérable.

Coût moyen du préjudice pour une PME : 180 000 €. (Chiffres ANSSI). Sans compter le traumatisme psychologique pour le salarié piégé.

Pourquoi vos pare-feux sont inutiles

Aucun antivirus ne peut détecter une FOVI car il n'y a pas de charge virale. C'est une interaction humaine "légitime" détournée. Les failles sont procédurales :

  1. Monoculture de l'Email : Tout se valide par email, sans signature cryptographique.
  2. Absence de Ségrégation des tâches : La même personne peut saisir, valider et exécuter le virement en banque.
  3. Faiblesse du Contrôle des Tiers : Changer un RIB fournisseur dans le système est trop facile.

La Méthode de Protection "Zero Trust" Financier

Pour contrer l'humain, il faut retirer l'humain de la boucle critique.

1. Sanctuariser la Base Tiers

Le RIB est la donnée la plus critique de l'entreprise.

  • Règle d'or : Aucun changement de RIB ne doit être accepté sur simple demande email.
  • Contre-appel obligatoire : Tout nouveau RIB doit faire l'objet d'un appel au fournisseur sur un numéro connu (pas celui indiqué dans l'email frauduleux !).

2. Ségrégation des pouvoirs (Le principe des 4 yeux)

  • Personne A (Comptable) saisit le virement.
  • Personne B (DAF/Dirigeant) signe le virement.
  • B ne peut pas saisir. A ne peut pas signer.

Checklist : Êtes-vous une cible facile ?

  • [ ] Spoofing : Avez-vous configuré les protocoles SPF/DKIM/DMARC pour empêcher l'usurpation de votre nom de domaine ?
  • [ ] Sensibilisation : Vos comptables savent-ils repérer une "urgence artificielle" ?
  • [ ] Process : Avez-vous une procédure écrite pour l'ajout d'un nouveau tiers ?

Le "Moment Pragma" : Le SAS de Sécurité

Pragma déploie des "SAS de validation" entre votre ERP et votre Banque :

  1. Scan SEPAmail Diamond : Avant tout paiement, notre système interroge le réseau bancaire national SEPAmail pour vérifier que le nom du titulaire du compte correspond bien au SIRET du fournisseur. Si ça ne matche pas, le virement est bloqué techniquement.
  2. Signature Digitale : Les ordres de virement ne circulent plus par email mais via un workflow sécurisé crypté.

Executive Summary

  • Psychologie : L'escroc joue sur l'urgence et la peur. Brisez ce cercle.
  • Procédure : Un virement urgent et confidentiel vendredi à 16h est une arnaque dans 99.9% des cas.
  • Tech : Utilisez la validation IBAN automatique pour détecter les RIB frauduleux.

Vous voulez sécuriser vos virements ? Voir nos workflows de validation

Vous souhaitez mettre ça en place ?

Pragma accompagne les entreprises ambitieuses à créer leurs logiciels sur mesure.