La fraude au président, ou faux ordre de virement, est un classique de la cybercriminalité économique. Elle pesait déjà plusieurs centaines de millions d'euros par an sur les entreprises françaises avant 2024. Avec la diffusion massive des outils d'IA générative grand public, elle a basculé dans une nouvelle phase, dont un cas largement documenté à Hong Kong en janvier 2024 — environ 25 millions de dollars transférés après une visioconférence simulant plusieurs dirigeants d'un grand cabinet d'ingénierie — a marqué le seuil. Pour les entreprises de la Côte d'Azur, particulièrement exposées par leur tissu de PME innovantes et leur exposition internationale, la menace est devenue un point d'attention de gouvernance.
Le mécanisme classique de la fraude au président
Le schéma traditionnel suit une logique éprouvée. Un collaborateur, le plus souvent du service comptable ou de la trésorerie, reçoit un message émanant d'un dirigeant ou d'un cadre supérieur — courriel, parfois suivi d'un appel téléphonique. Le message présente une demande urgente, présentée comme exceptionnelle et hautement confidentielle : autoriser un virement, modifier des coordonnées bancaires sur un fournisseur, transmettre des informations sensibles. La pression temporelle et la confidentialité sont les deux leviers d'ingénierie sociale principaux.
La DGCCRF résume bien la dynamique : « l'arnaque consiste en une demande urgente, prétendument validée par le président-directeur général lui-même, incitant un employé à faire un règlement sans délai ». La CNIL, dans sa note dédiée, souligne pour sa part les effets de cette attaque sur la sécurité des données personnelles et sur les obligations de notification au sens du RGPD.
Avant l'IA générative, plusieurs garde-fous fonctionnaient. Les fautes de français, les tournures inhabituelles, les adresses de messagerie légèrement modifiées (lookalike), les écarts de ton entre la communication du dirigeant simulé et son style habituel constituaient autant de signaux faibles que les collaborateurs formés savaient détecter.
La rupture introduite par l'IA générative
Trois techniques, désormais accessibles à un attaquant non spécialiste, ont fait sauter ces garde-fous.
Le clonage vocal. À partir de quelques secondes d'enregistrement public — interview, podcast, intervention en conférence, message vocal partagé sur réseau social — un attaquant peut produire un message audio dans lequel le dirigeant énonce ce qu'on lui fait dire, avec son intonation, son rythme et son timbre. Ce message peut être reçu en messagerie professionnelle ou lu lors d'un appel téléphonique simulé.
Les deepfakes vidéo en temps réel. Les solutions logicielles permettent désormais de simuler un visage en visioconférence, avec un mouvement labial synchronisé à un texte généré ou prononcé en direct par un opérateur. Le cas Hong Kong de janvier 2024 illustre cette technique appliquée à plusieurs participants simultanés d'une réunion virtuelle. L'employé qui exécutait l'opération a déclaré avoir reconnu les voix et visages — il pensait être en réunion avec son directeur financier et plusieurs collègues.
La conversation pilotée par LLM. Les grands modèles de langage permettent d'adapter le ton, le vocabulaire et la signature stylistique d'un dirigeant à partir d'un corpus public. La distinction entre un message authentique et un message généré devient extrêmement difficile pour un lecteur humain non préparé.
Combinées, ces trois techniques permettent une attaque dont le réalisme dépasse le seuil de détection que la majorité des organisations ont calibré sur les attaques classiques. Notre analyse du cadre légal européen face aux deepfakes revient sur les obligations de transparence imposées par l'AI Act et la loi SREN.
Le cadre pénal français
L'incrimination centrale reste l'article 313-1 du Code pénal, qui définit l'escroquerie comme « le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manoeuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge ». La peine encourue est de cinq ans d'emprisonnement et 375 000 € d'amende.
L'article 313-2 prévoit des circonstances aggravantes — usage d'une qualité particulière, vulnérabilité de la victime, bande organisée — qui peuvent porter les peines à dix ans d'emprisonnement et un million d'euros d'amende. La constitution en bande organisée est fréquemment retenue dans les dossiers FOVI les plus structurés.
Depuis la loi SREN du 21 mai 2024, l'article 226-8-1 du Code pénal sanctionne spécifiquement la diffusion d'un contenu visuel ou sonore généré par traitement algorithmique reproduisant l'image ou les paroles d'une personne sans son consentement. Cette incrimination complète l'article 313-1 sur le volet propre au deepfake et peut être retenue en concours avec l'escroquerie.
Le RGPD s'ajoute à ce dispositif lorsqu'un virement frauduleux est consécutif à une intrusion dans les systèmes d'information ou à la fuite de données personnelles. L'obligation de notification à la CNIL dans les 72 heures, en cas de violation de données à caractère personnel, peut s'appliquer.
Les signaux d'alerte à former chez les collaborateurs
Cinq signaux convergents doivent provoquer un arrêt et une vérification.
Une demande urgente présentée comme exceptionnelle, qui demande de contourner les procédures habituelles. Une demande de confidentialité absolue, présentée comme liée à une opération de croissance externe, à une enquête interne ou à un contentieux. Un changement de coordonnées bancaires sur un fournisseur, accompagné d'une justification plausible. Une visioconférence dont la qualité d'image est légèrement dégradée ou présente des artefacts subtils — synchronisation lèvres-voix imparfaite, absence de clignement, éclairage figé, mouvements de tête saccadés. Un message audio reçu en messagerie qui demande d'effectuer une opération avec un sentiment d'urgence.
La formation des collaborateurs exposés doit insister sur un principe simple : la conjonction de plusieurs de ces signaux constitue une alerte. Un seul peut être anodin ; deux ou plus, combinés à une demande financière sensible, déclenchent la procédure de vérification — sans exception.
La parade : double validation, MFA, signature qualifiée
La réponse opérationnelle tient en trois piliers.
La double validation par canal alternatif. Aucun virement au-dessus d'un seuil prédéfini sans une seconde validation effectuée par un canal distinct du canal d'origine. Si la demande arrive par e-mail, la validation se fait par appel téléphonique sur un numéro connu et stocké hors message reçu. Si la demande arrive en visioconférence, la validation se fait par appel téléphonique direct ou par message sur une messagerie professionnelle interne. Un mot de passe verbal partagé, défini en réunion physique et changé périodiquement, scelle le dispositif.
L'authentification multifacteur (MFA). La recommandation CNIL relative à l'authentification multifacteur de mars 2025 fixe la doctrine de référence : le facteur d'authentification doit reposer sur deux éléments d'origine distincte (savoir, possession, inhérence), la biométrie utilisée reste locale, et un facteur alternatif non biométrique doit être disponible. Pour les chaînes d'approbation sensibles — virements bancaires, modifications de coordonnées, transferts inter-entités — une MFA forte est aujourd'hui un standard de compliance attendu.
La signature électronique qualifiée. Le règlement (UE) 2024/1183 modifiant eIDAS consacre l'équivalence juridique entre la signature électronique qualifiée et la signature manuscrite. Pour les opérations exceptionnelles, recourir à une signature électronique qualifiée délivrée par un prestataire de services de confiance qualifié constitue à la fois une garantie d'authenticité technique et une chaîne probatoire opposable.
L'audit OSINT et de sécurité en amont
Au-delà des procédures, la cartographie des points d'exposition d'une entreprise réduit la surface d'attaque. Sont notamment à analyser : les enregistrements vocaux publics des dirigeants disponibles en ligne (qui servent au clonage), les organigrammes diffusés, les noms et fonctions des collaborateurs trésorerie publiés sur LinkedIn, les processus de validation décrits sur le site institutionnel. Notre audit de sécurité d'entreprise intègre ce diagnostic OSINT. L'article dédié à l'audit de sécurité et de vulnérabilité en détaille la démarche.
Que faire en cas de tentative ou de succès
Si la tentative est détectée en cours d'opération, l'arrêt immédiat du processus prévaut sur toute considération hiérarchique. Confirmer ensuite par canal alternatif avec le dirigeant supposé, puis informer le RSSI ou la direction.
Si un virement a été exécuté, trois actions sont immédiates. Alerter sans délai la banque émettrice pour tenter un rappel de fonds, qui peut aboutir si la demande est faite dans les premières heures. Déposer plainte au commissariat ou auprès du procureur de la République, sur le fondement de l'article 313-1 du Code pénal. Préserver l'ensemble des éléments numériques bruts — e-mails, fichiers reçus, captures écran horodatées, métadonnées, journaux d'appel — avant toute manipulation. Notre dossier sur l'escroquerie en ligne et l'identification des auteurs précise les réflexes opérationnels.
Le détective privé agréé CNAPS intervient en complément de la procédure judiciaire pour documenter en sources ouvertes la chaîne d'attribution, reconstituer la chronologie technique et coordonner avec les experts judiciaires l'analyse des enregistrements. Notre méthodologie d'enquête précise le cadre de cette intervention.
Sources
- DGCCRF — Se prémunir contre l'escroquerie aux faux ordres de virement ou « arnaque au président » — economie.gouv.fr
- CNIL — Violation par faux ordre de virement international (« fraude au président »)
- Code pénal, article 313-1 — escroquerie — Légifrance
- Code pénal, article 313-2 — circonstances aggravantes de l'escroquerie — Légifrance
- Code pénal, article 226-8-1 — diffusion d'un contenu généré par traitement algorithmique (loi SREN) — Légifrance
- LOI n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique (SREN) — Légifrance
- Recommandation CNIL relative à l'authentification multifacteur (mars 2025) — PDF officiel
- Règlement (UE) 2024/1183 du 11 avril 2024 modifiant eIDAS — EUR-Lex
Questions fréquentes
Qu'est-ce que la fraude au président, ou « faux ordre de virement » ?
La fraude au président, aussi appelée FOVI (Faux Ordre de Virement International), est une escroquerie qui consiste à se faire passer pour un dirigeant ou un cadre de l'entreprise afin de pousser un collaborateur à effectuer un virement urgent, à modifier des coordonnées bancaires ou à transmettre des informations sensibles. Elle peut viser toutes les entreprises, quels que soient leur taille et leur secteur d'activité. La DGCCRF et la CNIL publient des fiches pratiques de sensibilisation à cette menace, qui s'est intensifiée avec l'usage de l'IA générative.
En quoi l'IA générative change-t-elle la nature de la menace ?
L'IA générative supprime trois barrières que les attaques classiques peinaient à franchir. D'abord, le clonage vocal permet de simuler la voix d'un dirigeant à partir de quelques secondes d'enregistrement public — interview, podcast, intervention en conférence. Ensuite, les deepfakes vidéo permettent de simuler le dirigeant en visioconférence en temps réel, avec un mouvement labial synchronisé. Enfin, les LLM permettent d'adapter le ton, le vocabulaire et le style d'écriture aux habitudes de la cible. La barrière du « bon français écrit par un non-natif » est tombée.
Quel est le cadre pénal français applicable à ces fraudes ?
L'incrimination principale est l'article 313-1 du Code pénal — escroquerie, punie de cinq ans d'emprisonnement et 375 000 € d'amende. L'article 313-2 prévoit des circonstances aggravantes — bande organisée, qualité particulière de l'auteur, vulnérabilité de la victime — pouvant porter la peine à dix ans et un million d'euros. À cette incrimination de droit commun s'ajoute, depuis la loi SREN du 21 mai 2024, l'article 226-8-1 du Code pénal qui sanctionne spécifiquement la diffusion de contenus générés par traitement algorithmique reproduisant l'image ou les paroles d'une personne sans son consentement. Notre [analyse du cadre légal des deepfakes](/publications/verification-identite-deepfakes-authentification-numerique) détaille ces dispositions.
Quels sont les signaux d'alerte d'une tentative de fraude au président ?
Cinq signaux convergents doivent éveiller la vigilance. Une demande urgente présentée comme exceptionnelle, qui demande de contourner les procédures habituelles. Une demande de confidentialité absolue (« ne dis rien à personne, c'est lié à une opération de croissance externe »). Un changement de coordonnées bancaires sur un fournisseur, accompagné d'une justification plausible. Une visioconférence dont la qualité d'image est légèrement dégradée ou présente des artefacts (synchronisation lèvres-voix imparfaite, clignements absents, éclairage figé). Et un message audio reçu en messagerie professionnelle, qui demande d'effectuer une opération avec un sentiment d'urgence.
Comment mettre en place une procédure de double validation efficace ?
Quatre règles structurent une procédure robuste. Premièrement, aucun virement supérieur à un seuil prédéfini sans double validation par un canal alternatif (téléphone direct connu, jamais celui suggéré dans le message). Deuxièmement, tout changement de coordonnées bancaires d'un fournisseur déclenche un appel sortant vers un contact identifié au moins 48 heures avant l'exécution. Troisièmement, un mot de passe verbal partagé hors visioconférence est demandé avant toute autorisation de paiement exceptionnel. Quatrièmement, la signature électronique qualifiée (au sens d'eIDAS 2) sécurise les approbations sensibles, avec une chaîne probatoire opposable.
Le détective privé peut-il intervenir après une tentative ou un succès ?
Oui, et son rôle est complémentaire de celui des forces de l'ordre. Le détective privé agréé CNAPS intervient dans le cadre du Livre VI du Code de la sécurité intérieure pour documenter en sources ouvertes (OSINT) la chaîne de contact et de communication ayant précédé l'opération, identifier des éléments d'attribution publics (entreprises destinataires des fonds, prestataires de services intermédiaires), reconstituer la chronologie technique, et orienter le cas échéant vers l'expertise judiciaire pour authentifier des enregistrements suspects. Le rapport produit s'intègre au dossier pénal et complète la plainte. Notre dossier sur l'[OSINT et l'investigation numérique en entreprise](/publications/osint-investigation-numerique-entreprises) précise la méthodologie.
Que faire dans les premières heures après un virement frauduleux ?
Trois réflexes immédiats. Premièrement, alerter sans délai la banque émettrice pour tenter un rappel de fonds — une fenêtre d'action existe pendant les premières heures et jusqu'au lendemain ouvré dans certains cas. Deuxièmement, déposer plainte sans délai au commissariat ou auprès du procureur de la République, sur le fondement de l'article 313-1 du Code pénal. Troisièmement, préserver l'ensemble des éléments numériques bruts (URL, e-mails, captures écran horodatées, métadonnées EXIF, hash) avant toute manipulation. En parallèle, déclencher la procédure interne de gestion d'incident : isolement des comptes concernés, notification au DPO si des données personnelles sont en cause, communication interne maîtrisée.
Quelles ressources officielles consulter pour se préparer ?
Trois ressources de référence en France. La DGCCRF publie une fiche pratique « se prémunir contre l'escroquerie aux faux ordres de virement ou arnaque au président » sur economie.gouv.fr. La CNIL publie une note dédiée à la violation par faux ordre de virement international. L'ANSSI fournit un guide sur l'authentification multifacteur, et sa recommandation de mars 2025 fixe la doctrine de référence sur le sujet. Côté européen, le règlement (UE) 2024/1183 modifiant eIDAS et le règlement (UE) 2024/1689 (AI Act) cadrent désormais la signature électronique et la transparence des contenus IA.
Président du Cabinet Normazur · Détective privé agréé CNAPS
Fondateur du Cabinet Normazur basé à Antibes. Plus de 25 ans d'expérience en investigations privées pour entreprises, professionnels du droit et particuliers en PACA et Normandie.