Usurpation d'identité d'entreprise - K-bis falsifié, fraude au RIB et typosquatting : comment protéger votre société

En mars 2018, la direction financière de Pathé Pays-Bas reçoit une série d'emails apparemment envoyés depuis le compte personnel du PDG du groupe français. Le message est clair : virer des fonds en plusieurs tranches vers un compte à Dubaï, dans le cadre d'une acquisition confidentielle. Les emails sont bien rédigés. Le ton est juste. La demande de confidentialité stricte semble cohérente avec une opération sensible. Personne ne rappelle pour vérifier.

Résultat : 19,2 millions d'euros virés en quelques semaines vers un compte contrôlé par des fraudeurs. La fraude n'est découverte que le 28 mars, lorsque la filiale néerlandaise doit emprunter des fonds au siège parisien pour boucler le dernier virement et que le groupe réalise qu'il n'a jamais donné de telles instructions.

Ce cas illustre quelque chose d'essentiel : l'usurpation d'identité d'entreprise ne repose pas toujours sur une intrusion informatique sophistiquée. Elle repose sur la capacité à créer l'illusion et sur l'absence de procédures capables de la détecter.

Usurpation d'identité d'entreprise : pourquoi la faille humaine reste le principal vecteur d'attaque

Beaucoup d'entreprises traitent encore leur identité administrative et numérique comme un sujet secondaire. Un K-bis est un document public. Un nom de domaine est enregistré une fois pour toutes. Un changement de RIB d'un fournisseur est une démarche banale. C'est précisément cette banalité qui est exploitée - mais pas seulement par des moyens techniques.

La véritable cible, dans toutes ces fraudes, c'est un être humain. Un comptable qui reçoit un email au mauvais moment. Un dirigeant à qui on impose la confidentialité. Une assistante qui valide un document sans le vérifier. Les fraudeurs le savent : il est souvent plus simple de manipuler une personne que de pirater un système. C'est pourquoi les attaques les plus efficaces combinent les deux dimensions : une manipulation technique (un faux nom de domaine, un K-bis falsifié, un email usurpé) suivie d'une manipulation psychologique (l'urgence, le secret, l'autorité hiérarchique). La technique ouvre la porte. L'humain appuie sur le bouton.

En quelques heures, un fraudeur peut enregistrer un nom de domaine proche de celui d'une entreprise, y créer une adresse email crédible, reproduire une facture ou usurper l'identité d'un dirigeant. Dans les cas les plus élaborés, les attaques vont plus loin : modification frauduleuse d'informations au Registre du Commerce, création de sociétés fictives reprenant l'identité d'une entreprise existante, utilisation d'un K-bis falsifié pour obtenir du crédit ou signer des contrats.

K-bis falsifié, fraude au RIB, typosquatting : les trois modes opératoires les plus courants

1. L'usurpation de K-bis et la falsification documentaire

Le K-bis est le document d'identité de l'entreprise. Il atteste de son existence légale, de son objet, de l'identité de ses dirigeants. Pour cette raison, il est exigé dans de nombreuses situations : ouverture de compte bancaire, réponse à un appel d'offres, signature de contrat, demande de crédit.

Or un K-bis peut être falsifié. Les outils numériques permettent aujourd'hui de modifier facilement un PDF en changeant le nom du dirigeant, le montant du capital, l'adresse du siège ou la date d'immatriculation. Les équipes qui reçoivent ces documents ne les vérifient pas systématiquement auprès du Registre du Commerce et des Sociétés et les fraudeurs le savent.

Dans certains dossiers, c'est l'entreprise légitime qui est victime indirecte : son identité est utilisée par un tiers pour obtenir des avantages frauduleux au nom d'une société fantôme qui lui ressemble suffisamment pour ne pas éveiller immédiatement les soupçons.

2. La manipulation des coordonnées bancaires

Son principe est simple : le fraudeur se fait passer pour un fournisseur, un prestataire ou un partenaire de l'entreprise cible, et lui demande de mettre à jour ses coordonnées bancaires avant un prochain règlement.

Ce qui a changé ces dernières années, c'est la sophistication de l'approche. Il ne s'agit plus d'un email mal rédigé envoyé depuis une adresse suspecte. Aujourd'hui, le fraudeur peut avoir préalablement compromis une boîte mail pour en extraire le ton des échanges habituels, les noms des interlocuteurs, les références de factures en cours. Le message arrive au bon moment, avec les bons détails. Le service comptable croit répondre à une demande légitime.

L'affaire Pathé en est la démonstration : les fraudeurs avaient suffisamment étudié les codes de communication du groupe pour que deux dirigeants expérimentés, confrontés à une demande inhabituellement élevée, ne songent pas immédiatement à décrocher leur téléphone.

3. Le typosquatting et l'usurpation de nom de domaine

Le typosquatting consiste à enregistrer un nom de domaine quasi identique à celui d'une entreprise existante une lettre manquante, une inversion, un tiret supplémentaire, ou l'ajout d'un suffixe comme "-fr" ou "-group". À partir de ce domaine, le fraudeur crée une adresse email crédible, parfois un site copié sur l'original, et commence à opérer au nom de l'entreprise usurpée.

Les usages sont multiples : approcher des clients ou des prospects, émettre de fausses factures, conduire des escroqueries commerciales, collecter des informations sensibles, ou préparer une fraude plus large impliquant d'autres techniques d'ingénierie sociale.

Le problème est que les noms de domaine sont accessibles à tous, peu coûteux à enregistrer, et que les variantes possibles d'un nom d'entreprise sont souvent nombreuses. Sans surveillance active, une entreprise peut ne découvrir l'existence de ces domaines frauduleux que plusieurs mois après leur enregistrement.

NB : d'autres vecteurs existent : phishing, arnaque au président, ingénierie sociale avancée mais ils ont déjà été largement documentés par ailleurs. L'essentiel à retenir est que ces techniques se combinent et s'alimentent mutuellement.

Ce que chaque cas d'usurpation révèle sur les failles internes de l'entreprise

Dans la grande majorité des dossiers d'usurpation d'identité d'entreprise, les fraudeurs n'ont pas eu besoin de moyens techniques exceptionnels. Ils ont exploité des angles morts ordinaires, souvent évitables.

L'affaire Pathé le montre sans ambiguïté : les dirigeants néerlandais avaient eux-mêmes noté que le processus était "curieux" et inhabituel. Mais pas de coup de téléphone. Pas de vérification par un canal indépendant. La demande de confidentialité stricte avait fonctionné comme un verrou psychologique supplémentaire.

Un K-bis transmis sans vérification au RCS. Un changement de coordonnées bancaires validé sur la seule foi d'un email. Des noms de domaine proches jamais réservés à titre préventif. Une boîte mail dirigeant sans authentification à deux facteurs. Des équipes jamais sensibilisées aux schémas de fraude documentaire.

Comment protéger l'identité de votre entreprise avec l'équipe Kermeur

Chez Kermeur, nous abordons ces sujets avec une logique opérationnelle : comprendre où l'entreprise est exposée, identifier les scénarios de fraude crédibles dans son secteur, puis mettre en place les bons contrôles avant qu'un incident ne survienne.

1. Cartographier et surveiller son identité numérique et administrative

La première étape est de savoir ce que l'on expose. Cela suppose de cartographier régulièrement les éléments constitutifs de l'identité de l'entreprise : informations disponibles au RCS, noms de domaine déposés et variantes non protégées, profils LinkedIn officiels et non officiels, mentions publiques des dirigeants.

Notre pôle Intelligence Économique met en place des dispositifs de veille permettant de détecter rapidement l'enregistrement de domaines similaires, les modifications suspectes au RCS ou l'apparition de faux profils avant qu'ils ne produisent leurs effets. Cette veille est calibrée selon le secteur d'activité : typologies de fraudes observées chez des acteurs comparables, campagnes d'usurpation ciblant une filière particulière, vulnérabilités récurrentes dans un environnement métier donné.

2. Sécuriser les procédures internes

Aucun changement de coordonnées bancaires ne devrait être accepté sur la seule base d'un email, quel que soit l'expéditeur apparent. La règle est simple : toute modification doit faire l'objet d'une contre-vérification par un canal indépendant, auprès d'un contact identifié préalablement. De même, toute demande urgente assortie d'une exigence de confidentialité doit être considérée comme un signal d'alerte et non comme une raison de court-circuiter les procédures habituelles.

Notre pôle Cyber réalise des audits de l'identité numérique et administrative permettant d'identifier ces angles morts procéduraux, et de les corriger avant qu'ils ne soient exploités. Cela inclut des tests d'intrusion et des analyses de la surface d'exposition externe de l'entreprise.

3. Former les équipes exposées

Les équipes financières, comptables, commerciales et administratives sont en première ligne. Elles reçoivent les emails frauduleux, traitent les demandes de changement de coordonnées bancaires, valident les documents transmis par des tiers. Une formation efficace ne consiste pas à leur donner une liste de règles à mémoriser. Elle consiste à leur donner la capacité de reconnaître les schémas de fraude y compris lorsqu'ils sont sophistiqués, bien rédigés et envoyés au bon moment.

La vigilance ne doit pas reposer sur l'intuition individuelle, mais sur des réflexes partagés et des procédures claires de vérification. C'est ce que notre pôle Formation propose aux équipes les plus exposées, à travers des sessions de sensibilisation ancrées dans les modes opératoires réellement observés.

4. Réagir vite en cas de fraude avérée

Quand une usurpation est découverte, le temps joue contre l'entreprise. Les premières heures sont décisives. Il faut d'abord conserver les preuves : captures d'écran, emails, documents frauduleux, journaux d'accès. Il faut ensuite alerter rapidement les parties concernées : la banque en premier lieu, dont la fenêtre de récupération des fonds est souvent très courte, puis les partenaires commerciaux et, si nécessaire, les registres ou plateformes hébergeant les domaines ou profils usurpés.

Sur le plan juridique, il convient de déposer plainte et, si des inscriptions au RCS ont été modifiées frauduleusement, de saisir en urgence le tribunal compétent pour en obtenir la rectification.

Kermeur intervient pour documenter, qualifier et coordonner l'ensemble de ces démarches et limiter les impacts financiers, juridiques et réputationnels dans les délais les plus courts possibles.

Vous souhaitez évaluer l'exposition de votre entreprise ? Contactez nos équipes.

Sources et références

Cybermalveillance.gouv.fr : Rapport d'activité 2024 https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2024

Cybermalveillance.gouv.fr : Rapport d'activité 2025 https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/rapport-activite-2025

Le Monde Informatique : Cas concret AFNIC 2022 (967 domaines gelés) :https://www.lemondeinformatique.fr/actualites/lire-typosquatting-967-noms-de-domaine-en-fr-geles-par-l-afnic-maj-87492.html

Affaire Pathé : https://www.lemonde.fr/economie/article/2018/11/10/cible-par-un-reseau-d-escrocs-le-groupe-pathe-a-perdu-plus-de-19-millions-d-euros_5381833_3234.html