RETOUR

Publié le 25 juin 2026

paiements fournisseurs et encaissements

Comment sécuriser les paiements fournisseurs dans une PME

La fraude aux virements impose aux PME de renforcer leurs procédures de paiement, leurs contrôles internes et la validation des coordonnées bancaires.

Comment sécuriser les paiements fournisseurs dans une PME

En résumé

La fraude aux virements est devenue un risque structurel pour les PME. Les retours du terrain sont clairs : une entreprise sur quatre a subi une tentative de fraude au paiement au cours des trois dernières années, et près de 10 % en ont été victimes pour des montants moyens supérieurs à 30 000 euros. Le risque ne vient plus seulement de grandes opérations spectaculaires : il cible désormais les flux récurrents, les changements de coordonnées bancaires et les fenêtres de vulnérabilité que chaque PME a dans son process de paiement.

La sécurisation ne demande ni investissement majeur ni technologie sophistiquée. Elle repose sur quatre principes simples et une culture du contrôle que l’on construit délibérément. Cet article détaille les procédures à mettre en place et les pièges à éviter.

Cartographier les risques de fraude au paiement

Trois schémas de fraude dominent les cas observés en PME. Les comprendre permet de calibrer les contrôles au bon endroit plutôt que de mettre en place des procédures génériques peu efficaces.

Premier schéma : la fraude au changement d’IBAN. Un fraudeur usurpe l’identité d’un fournisseur connu — mail au nom et logo similaires, adresse légèrement modifiée — et envoie une demande de mise à jour des coordonnées bancaires. Le prochain règlement part vers le compte du fraudeur. C’est le scénario le plus fréquent, responsable de plus de 60 % des cas observés dans les PME que nous accompagnons. Sa sophistication a considérablement augmenté : certains fraudeurs savent parfaitement quand les contrats de maintenance arrivent à renouvellement.

Deuxième schéma : la fraude au président. Un fraudeur se fait passer pour le dirigeant — par mail, par téléphone ou par SMS — et demande à un assistant administratif d’effectuer un virement urgent et confidentiel, souvent vers l’étranger. Les ressorts exploités sont l’urgence (« c’est pour aujourd’hui avant 14h »), l’autorité (« c’est une décision stratégique que vous ne pouvez pas discuter ») et la confidentialité (« n’en parlez à personne pour l’instant »).

Troisième schéma : la facture frauduleuse. Une fausse facture, ressemblant à un fournisseur réel ou ciblant un fournisseur avec lequel la PME travaille effectivement, est envoyée à la comptabilité. Si le contrôle de conformité avec un bon de commande est absent, elle peut être mise au paiement sans que personne ne la questionne.

Caractéristiques des trois schémas de fraude principaux
Schéma Vecteur principal Signal d’alerte Contrôle qui neutralise

Les quatre contrôles à mettre en place

La sécurisation efficace combine plusieurs contrôles complémentaires. Aucun ne suffit seul — leur empilement crée une protection robuste qui couvre les trois schémas de fraude.

Contrôle 1 : vérification systématique des changements d’IBAN

Tout changement d’IBAN d’un fournisseur existant déclenche une procédure obligatoire :

  1. Appel téléphonique sur le numéro connu (jamais celui indiqué dans le mail de demande)
  2. Confirmation orale par un interlocuteur identifié et habituel chez le fournisseur
  3. Traçabilité écrite de l’échange (mail de confirmation, note dans l’outil)
  4. Validation par un responsable avant modification dans le référentiel

Cette procédure neutralise la fraude au changement d’IBAN dans plus de 95 % des cas. Son coût est nul. Sa mise en place prend 10 minutes. Le seul prérequis est qu’elle soit appliquée systématiquement, sans exception « pour aller vite ».

Contrôle 2 : double validation au-delà d’un seuil

Les virements unitaires supérieurs à 5 000 à 10 000 euros (selon la taille de la PME), ou les lots supérieurs à 50 000 euros, exigent deux signatures électroniques : préparateur plus dirigeant (ou DAF). Cette règle se paramètre dans la plateforme bancaire sans coût additionnel. Elle ne ralentit pas les paiements courants sous le seuil — elle cible les flux les plus exposés.

Contrôle 3 : séparation des tâches préparateur / valideur

Celui qui prépare un paiement n’est jamais celui qui le valide. Cette règle élémentaire de contrôle interne est applicable dès qu’il existe au moins deux personnes au service administratif. En dessous, le dirigeant joue systématiquement le rôle de second valideur pour tout paiement significatif. Sans cette séparation, une erreur ou une fraude interne reste non détectable.

Contrôle 4 : rapprochement facture / bon de commande

Aucune facture ne doit être mise au paiement sans rapprochement avec un bon de commande validé en amont. Cette règle protège contre les factures frauduleuses mais aussi contre les contestations de prix et les doublons de paiement. Les outils comptables modernes (Pennylane, Sage, Cegid) permettent de bloquer automatiquement la mise au paiement d’une facture non rapprochée.

Modifier un IBAN sur la base d’un mail seul

L’erreur la plus coûteuse. Un mail peut être usurpé en 5 minutes. Seul un appel téléphonique sur un numéro connu confirme la légitimité d’une demande de changement.

Valider un virement urgent sans procédure

L’urgence est un vecteur de fraude. Une procédure qui ne s’applique qu’aux paiements ‘normaux’ est une procédure avec une porte ouverte. Elle doit s’appliquer sans exception.

Seuils de double validation trop élevés

Un seuil à 50 000 € par virement laisse 90 % des flux sans contrôle renforcé. Calibrer le seuil en fonction de la taille réelle des paiements courants de la PME.

Référentiel fournisseurs verrouillé

Les modifications du référentiel (IBAN, coordonnées) ne sont accessibles qu’à un nombre limité de personnes et font l’objet d’une validation séparée. Aucun préparateur de paiement ne peut modifier lui-même le référentiel.

Formation et culture du contrôle

Aucun dispositif technique ne remplace une équipe formée. Les fraudes les plus sophistiquées ne sont détectables que par une vigilance humaine. Ce que l’expérience terrain confirme : la majorité des fraudes réussies exploite une procédure existante qui n’a pas été respectée par tolérance ou par fatigue — pas une faille technique.

Trois actions structurent la culture du contrôle dans les PME bien organisées :

Session de formation annuelle. 2 heures, exemples réels de mails frauduleux que l’équipe pourrait recevoir, scénarios de jeu de rôle (fraudeur vs assistant), quiz de validation. Coût : 500 à 1 500 euros pour une équipe de 5 personnes. Les collaborateurs formés sur des exemples concrets détectent les tentatives ; ceux formés sur des règles abstraites ne les détectent pas.

Procédure écrite affichée et accessible. Une page A4 résume les règles : seuils, contrôles à appliquer, qui appeler en cas de doute, numéro direct du dirigeant pour les situations ambiguës. Affichée près des postes de travail comptables, elle est consultée dans les moments de doute — ce qui est précisément quand elle sert.

Droit au doute valorisé. Un assistant qui retarde un paiement en cas de doute est félicité, pas reproché. Cette posture managériale est la meilleure protection contre la fraude au président : si l’équipe sait qu’elle ne sera jamais pénalisée pour avoir vérifié, elle vérifie. Si elle craint d’être perçue comme lente ou méfiante, elle cède à l’urgence.

Ce que nous observons dans les PME qui ont subi une fraude réussie : dans la très grande majorité des cas, un collaborateur avait eu un doute mais n’avait pas osé retarder le paiement. La culture du droit au doute n’existait pas. Mettre en place cette culture coûte zéro euro et est plus efficace que n’importe quel dispositif technique.

Cas pratique : une PME industrielle qui resserre ses contrôles

 

La sécurisation des paiements n’est pas un projet ponctuel : c’est une discipline permanente. Ce que le terrain confirme : la majorité des fraudes réussies exploite une procédure non respectée par tolérance, pas une faille technique. Le maintien dans le temps est plus difficile que la mise en place initiale — et c’est là que la culture du droit au doute fait la différence. Pour le contexte plus large des processus administratifs fournisseurs, voir Pourquoi externaliser le traitement des factures fournisseurs. Pour la sécurisation des rapprochements bancaires, voir Rapprochement bancaire : pourquoi c’est un point de fragilité fréquent.

FAQ

Quelle est la fraude la plus fréquente sur les paiements fournisseurs en PME ?

La fraude au changement d’IBAN. Un fraudeur usurpe l’identité d’un fournisseur connu et envoie un mail demandant la mise à jour des coordonnées bancaires. Sans contrôle de vérification, le prochain virement part vers le compte du fraudeur. Ce schéma représente plus de 60 % des cas observés en PME.

Quel seuil retenir pour mettre en place une double validation ?

Entre 5 000 et 10 000 euros par virement unitaire, ou 50 000 euros par lot, selon la taille de l’entreprise. L’objectif n’est pas de tout valider à deux — cela ralentirait les paiements — mais de cibler les flux les plus exposés. Les paiements récurrents sous le seuil restent fluides.

Faut-il obligatoirement séparer le préparateur du valideur ?

Oui, dès que l’effectif le permet (généralement au-delà de 5 personnes au service administratif). La séparation des tâches est une règle élémentaire de contrôle interne. Si l’effectif ne permet pas la séparation, le dirigeant joue systématiquement le rôle de second valideur pour tous les paiements significatifs.

Comment former l’équipe administrative à la fraude au virement ?

Une session annuelle de 2 heures avec exemples réels de mails frauduleux, scénarios de jeu de rôle, quiz de validation et rappel des procédures internes. Coût : 500 à 1 500 euros pour une équipe de 5 personnes. L’efficacité est élevée car la majorité des fraudes sont détectées par une vigilance individuelle, pas par un dispositif technique.

Que faire si on reçoit une demande de changement d’IBAN par mail ?

Ne jamais agir sur la base du mail seul. Appeler le fournisseur sur le numéro connu, confirmer la demande oralement avec un interlocuteur identifié, tracer l’échange par écrit avant toute modification dans le référentiel. Cette procédure neutralise la fraude dans plus de 95 % des cas.

La fraude au président peut-elle toucher une petite PME ?

Oui, et les PME sont souvent plus vulnérables que les grandes entreprises : moins de procédures formalisées, culture de l’urgence plus forte, moindre distance hiérarchique. Le droit au doute valorisé — un assistant qui retarde un paiement suspect est félicité — est la meilleure protection contre ce schéma.

Sécuriser vos paiements fournisseurs

Tree Partners aide les PME à mettre en place les procédures et contrôles qui neutralisent la fraude au virement et sécurisent les flux fournisseurs.

Échanger avec un expert

Sur la même expertise : Support administratif et gestion RH externalisée

Ce site est enregistré sur wpml.org comme site de développement. Passez à une clé de site de production pour remove this banner.