Un mail qui semble venir d'un fournisseur habituel. Une facture qui paraît parfaitement normale. Un changement de numéro de compte bancaire annoncé à la dernière minute. Et quelques jours plus tard, plusieurs milliers d'euros ont disparu.

Ce scénario n'a rien d'exceptionnel aujourd'hui.

Longtemps perçues comme un problème réservé aux grandes entreprises, les fraudes financières et les cyberarnaques touchent désormais les PME, les indépendants et les établissements horeca. Restaurants, hôtels, cafés, traiteurs, grossistes, fournisseurs de boissons, prestataires techniques ou sociétés de nettoyage : personne n'est réellement à l'abri.

Le plus inquiétant ? Dans beaucoup de cas, il ne s'agit pas d'un piratage spectaculaire. Il suffit d'un e-mail bien rédigé, d'un faux sentiment d'urgence et d'une vérification oubliée.

Cet article propose une information générale et des réflexes de prévention. Il ne remplace pas l'avis d'un avocat, d'un assureur, d'une banque ou d'un spécialiste en cybersécurité en cas de fraude réelle.

Pourquoi l'horeca est particulièrement exposé

L'horeca fonctionne dans l'urgence.

Les commandes doivent partir rapidement, les factures s'accumulent, les équipes sont sous pression et les responsables jonglent entre le service, les fournisseurs, les ressources humaines, la comptabilité et les imprévus du quotidien.

Dans beaucoup d'établissements, les informations circulent encore par WhatsApp, téléphone, papier, e-mail ou échanges informels. Cette réalité opérationnelle crée un terrain favorable aux fraudeurs.

Les criminels le savent :

  • les équipes ont peu de temps pour vérifier ;
  • plusieurs personnes peuvent gérer les commandes ou les paiements ;
  • les fournisseurs sont nombreux ;
  • les changements de prix, de produits ou de conditions sont fréquents ;
  • les petites structures disposent rarement d'un responsable cybersécurité ;
  • certains processus reposent sur une seule personne clé.

Résultat : une demande inhabituelle peut facilement passer pour une situation normale.

L'arnaque au faux fournisseur : la fraude qui piège les entreprises

L'une des fraudes les plus fréquentes est la fraude au faux fournisseur, parfois appelée fraude au virement ou fraude au changement d'IBAN.

Le principe est simple.

Un fraudeur imite un fournisseur réel ou s'introduit dans une conversation existante. Il envoie ensuite un message indiquant qu'un paiement doit être effectué sur un nouveau compte bancaire.

Parfois, seule une lettre change dans l'adresse e-mail. Parfois, le message reprend le ton, la mise en page et la signature habituelle du fournisseur. Parfois encore, le fraudeur intervient au bon moment, juste avant l'échéance d'une facture.

Dans l'horeca, cela peut concerner :

  • un fournisseur de boissons ;
  • un grossiste alimentaire ;
  • un partenaire logistique ;
  • un fournisseur d'énergie ;
  • un prestataire informatique ;
  • une société de nettoyage ;
  • un secrétariat social ;
  • un comptable ;
  • une plateforme de réservation ou de paiement.

Lorsque le virement est effectué, l'argent part vers le compte du fraudeur. Et dans la pratique, il est souvent très difficile de le récupérer.

Cartes bancaires posées sur un clavier d'ordinateur, illustrant les risques de fraude au paiement dans l'horeca.
Une grande partie des fraudes horeca passent aujourd'hui par un simple e-mail et un virement mal vérifié.

Le vrai problème : le paiement n'est pas forcément libératoire

C'est ici que le sujet devient aussi juridique.

Lorsqu'un restaurateur ou un hôtelier paie une facture sur un mauvais compte à cause d'une fraude, une question se pose : la dette envers le véritable fournisseur est-elle éteinte ?

En principe, pour être libératoire, un paiement doit être fait au créancier ou à une personne valablement habilitée à recevoir ce paiement. Si l'argent arrive chez un fraudeur, le fournisseur réel peut donc considérer qu'il n'a pas été payé.

Autrement dit : l'entreprise victime peut perdre l'argent envoyé au fraudeur et devoir encore payer la facture au vrai fournisseur.

Mais chaque situation doit être analysée au cas par cas. Si le fournisseur a lui-même contribué à créer l'apparence trompeuse, par exemple parce que sa boîte mail a été compromise ou parce que ses procédures de sécurité étaient insuffisantes, la responsabilité peut être discutée. Le juge examinera alors les fautes éventuelles de chaque partie : celle du fournisseur, celle du client, et les circonstances concrètes de la fraude.

La question n'est donc pas seulement : « Qui a été piraté ? »

Elle devient aussi : « Qui pouvait raisonnablement détecter le risque ? Qui aurait dû vérifier ? Et quelles procédures existaient réellement ? »

Le piège du « c'est urgent »

Les fraudeurs utilisent presque toujours le même levier : l'urgence.

Quelques exemples typiques :

  • « Merci d'effectuer le paiement aujourd'hui. »
  • « Notre ancien compte bancaire est clôturé. »
  • « Nous avons changé de banque. »
  • « Votre livraison risque d'être bloquée. »
  • « Cette facture est en retard. »
  • « Pouvez-vous faire le virement avant 16 h ? »

L'objectif est simple : empêcher la victime de prendre le temps de vérifier.

Plus la pression est forte, plus il faut ralentir.

Dans une cuisine, on apprend vite qu'un geste précipité finit souvent au sol. En matière de paiement, c'est pareil : l'urgence est rarement une bonne sauce.

Les fournisseurs aussi peuvent être victimes

On imagine souvent que seuls les restaurateurs sont visés. En réalité, les fournisseurs horeca sont eux aussi des cibles privilégiées.

Lorsqu'une boîte mail est compromise, les fraudeurs peuvent observer les échanges commerciaux pendant plusieurs jours ou plusieurs semaines avant d'agir. Ils identifient les habitudes, les montants, les interlocuteurs et les périodes de paiement. Ensuite, ils interviennent au moment le plus crédible possible.

Un grossiste piraté peut involontairement devenir la porte d'entrée vers plusieurs clients.

C'est pourquoi la cybersécurité n'est plus seulement une question informatique. Elle devient un enjeu de chaîne de confiance entre partenaires.

Le phishing n'épargne plus personne

Le phishing, ou hameçonnage, reste l'une des portes d'entrée les plus fréquentes des fraudes.

Le principe consiste à pousser une personne à cliquer sur un lien, télécharger une pièce jointe ou communiquer une information sensible.

Aujourd'hui, les faux messages peuvent imiter :

  • les banques ;
  • les administrations ;
  • les plateformes de livraison ;
  • les transporteurs ;
  • les fournisseurs ;
  • les outils de réservation ;
  • les logiciels de caisse ;
  • les services de paiement ;
  • les services comptables ou sociaux.

Les messages sont souvent très convaincants.

L'époque des fautes d'orthographe grossières n'a pas totalement disparu, mais elle n'est plus un bon indicateur. Les outils d'intelligence artificielle permettent désormais de produire des e-mails propres, crédibles et adaptés au vocabulaire de la victime.

Les signaux qui doivent alerter

Quelques réflexes simples permettent pourtant d'éviter une grande partie des fraudes. Voici les six signaux à connaître, à afficher et à partager avec ses équipes.

  1. Signal 01Un changement de compte bancaire ?

    Toujours vérifier par téléphone auprès du contact habituel. Jamais uniquement par retour d'e-mail. Et jamais via le numéro indiqué dans le message suspect.

  2. Signal 02Une demande inhabituelle ?

    Confirmer la demande par un second canal : téléphone, contact direct, espace client sécurisé ou interlocuteur connu.

  3. Signal 03Une urgence soudaine ?

    Se méfier davantage, pas moins. L'urgence est l'un des outils préférés des fraudeurs.

  4. Signal 04Une adresse e-mail légèrement différente ?

    Vérifier chaque caractère du domaine. Une seule lettre modifiée peut suffire.

  5. Signal 05Une facture au montant inhabituel ?

    Comparer avec les factures précédentes, les bons de commande, les livraisons et les échanges antérieurs.

  6. Signal 06Un paiement important ?

    Mettre en place une double validation. Même dans une petite structure.

La meilleure protection reste l'organisation

Contrairement à ce que l'on pense souvent, la protection ne dépend pas uniquement de la technologie.

Les établissements les plus résistants aux fraudes sont généralement ceux qui disposent de procédures simples, écrites et connues de tous.

Par exemple :

  • une procédure claire pour tout changement d'IBAN ;
  • une double validation pour les paiements importants ;
  • une liste de contacts fournisseurs vérifiés ;
  • une règle interne : aucun changement bancaire ne se valide uniquement par e-mail ;
  • une séparation minimale entre la personne qui encode et celle qui valide ;
  • une sensibilisation régulière des équipes ;
  • des mots de passe robustes ;
  • l'authentification à deux facteurs ;
  • des sauvegardes régulières ;
  • une traçabilité des validations.

Ces mesures ne servent pas seulement à éviter les fraudes. Elles peuvent aussi aider à démontrer, en cas de litige, que l'établissement a agi avec prudence et diligence.

Pourquoi les preuves comptent énormément

En cas de fraude, la rapidité de réaction est essentielle. Mais la qualité des preuves l'est tout autant.

Il faut conserver :

  • les e-mails reçus ;
  • les en-têtes des messages si possible ;
  • les captures d'écran ;
  • les factures ;
  • les bons de commande ;
  • les preuves de paiement ;
  • les échanges WhatsApp ou SMS ;
  • les journaux de connexion disponibles ;
  • les coordonnées utilisées par le fraudeur ;
  • toute mise en demeure reçue du fournisseur.

Entre entreprises, la preuve peut souvent être apportée par différents moyens. Mais encore faut-il avoir gardé les bons éléments.

Un réflexe simple : ne rien supprimer, même si le message semble honteux, maladroit ou évident après coup. Dans une fraude, chaque détail peut compter.

Que faire immédiatement si un virement frauduleux a été effectué ?

En cas de fraude réelle, il faut agir vite.

  1. Contacter immédiatement la banque. Demander si un rappel de fonds, aussi appelé recall, est encore possible.
  2. Prévenir le vrai fournisseur. L'objectif est de bloquer toute nouvelle manipulation et de clarifier la situation.
  3. Déposer plainte. En Belgique, il est possible de passer par son commissariat local ou, pour certains faits non urgents, par Police on Web.
  4. Signaler les messages suspects. Les messages de phishing peuvent être transférés à l'adresse suspect@safeonweb.be.
  5. Prévenir l'assureur. Vérifier l'existence d'une assurance cyber, protection juridique ou fraude.
  6. Identifier l'origine possible de l'intrusion. La faille vient-elle de votre boîte mail, de celle du fournisseur, d'un prestataire ou d'un compte partagé ?
  7. Changer les accès sensibles. Mots de passe, boîtes mail, outils comptables, banque en ligne, logiciels de caisse, plateformes de réservation.
  8. Documenter toute la chronologie. Qui a reçu quoi ? Qui a validé ? À quelle date ? Par quel canal ? Sur base de quelle information ?

Une responsabilité souvent partagée

En cas de conflit entre un établissement horeca et son fournisseur, il ne suffit pas toujours de dire : « Nous avons tous les deux été victimes. »

Le fournisseur peut réclamer le paiement de sa facture. Le client peut répondre qu'il a été trompé par une apparence légitime. La banque peut être interrogée sur les délais et procédures. L'assureur peut demander des preuves de prudence.

Le juge, s'il y a litige, examinera généralement le comportement concret de chaque partie.

A-t-on vérifié le changement d'IBAN ? L'adresse e-mail était-elle manifestement suspecte ? Le fournisseur avait-il informé ses clients d'une faille ? Les procédures internes étaient-elles raisonnables ? Le paiement était-il exceptionnel par son montant ou son urgence ?

C'est pour cette raison qu'une bonne organisation est aussi une protection juridique.

Une réalité qui concerne tout le secteur

La multiplication des outils numériques dans l'horeca apporte énormément de valeur. Réservations, paiements, commandes, gestion des équipes, comptabilité, livraison ou intelligence artificielle permettent aujourd'hui de gagner un temps précieux.

Mais cette digitalisation augmente aussi les points d'entrée possibles pour les fraudeurs.

Le véritable enjeu n'est donc plus seulement de s'équiper. C'est de développer une véritable culture de vigilance numérique.

Parce qu'une fraude réussie ne coûte pas uniquement de l'argent.

Elle coûte aussi du temps, de l'énergie, de la confiance, des relations commerciales et parfois une double facture très difficile à digérer.

La checklist anti-fraude pour l'horeca

À afficher dans le bureau, près de l'ordinateur ou dans le classeur administratif :

  • Tout changement d'IBAN doit être vérifié par téléphone auprès d'un contact connu.
  • Aucun paiement urgent ne doit être validé sous pression.
  • Les paiements importants doivent être validés par deux personnes.
  • Les coordonnées fournisseurs doivent être centralisées et mises à jour.
  • Les mots de passe doivent être uniques et robustes.
  • L'authentification à deux facteurs doit être activée partout où c'est possible.
  • Les e-mails suspects ne doivent jamais être transférés sans précaution.
  • Les équipes doivent savoir à qui signaler un doute.
  • Les preuves doivent être conservées en cas d'incident.
  • En cas de fraude, la banque doit être contactée immédiatement.

Pour aller plus loin

Face à la hausse des fraudes financières et des cyberattaques visant les entreprises, la FEB organise une session consacrée à la protection des organisations contre les fraudes. L'événement aborde notamment les types de fraude qui touchent les entreprises belges, les vulnérabilités internes, les mesures de prévention et la responsabilité du management.

Informations : La fraude en ligne, FEB

Sources utiles