En France, les dirigeants d’entreprises sont confrontés à de nombreuses fraudes qui relèvent de qualifications pénales telles que l’escroquerie, le faux et l’usage de faux, l’abus de confiance, l’usurpation d’identité, la cybercriminalité. Face à la recrudescence des cyberattaques contre les TPE et PME, comprendre les mécanismes de ces fraudes est devenu un enjeu stratégique pour tout chef d’entreprise.

À l’heure où les fraudes numériques se multiplient, les dirigeants sont devenus des cibles privilégiées des escrocs. Les techniques se développent, deviennent de plus en plus sophistiquées et exploitent autant les failles technologiques des systèmes informatiques que les vulnérabilités humaines. Les arnaques provenant de l’extérieur sont commises par des tiers à l’entreprise, qui peuvent aller jusqu’à usurper la personne du dirigeant.

Derrière chaque fraude se joue une mécanique ancienne : l’exploitation de la confiance, de l’urgence et de la bonne foi. La plupart des fraudes réussissent grâce à la pression, l’urgence, l’autorité et la confidentialité.

Au-delà des pertes financières parfois considérables, les dirigeants doivent non seulement se prémunir contre ces fraudes à l’encontre de leurs sociétés, mais également éviter de participer à ces manœuvres frauduleuses qui engageraient à la fois leur responsabilité civile personnelle pour faute de gestion et la responsabilité pénale de leur société.

Quels sont les types d’arnaques qui ciblent les entreprises ?

Les escroqueries ciblant les entreprises ont considérablement évolué ces dernières années. Elles ne visent plus seulement les grandes entreprises mais ciblent maintenant les PME et les TPE qui sont désormais aussi exposées à ces dangers. Identifier ces différentes formes de fraudes est la première étape d’une protection efficace.

L’arnaque au Président : la fraude au virement bancaire ciblant les dirigeants.

La plus connue, parce qu’elle a fait l’objet de plusieurs articles de presse en ayant concerné notamment des entreprises de dimension nationale voire internationale.

Son but est de faire réaliser par un salarié un virement bancaire d’une somme conséquente, en lui faisant croire que cette demande provient du dirigeant de la société.

Le moyen utilisé est principalement un mail reçu par un salarié, qui comprend des signaux typiques pour ce type de demande : l’urgence et la confidentialité de la demande sont systématiquement invoquées ; une pression forte est exercée afin que le salarié n’ait pas d’autre choix que de faire ce qui est demandé ; l’adresse mail d’envoi est très proche de l’ adresse officielle, ce qui crée la confusion pour le destinataire ; le relevé d’identité bancaire communiqué pour réaliser le virement est inconnu du service comptable.

Les arnaques aux faux fournisseurs et aux faux RIB : comment les pirates détournent les virements

Le but est de faire réaliser un virement bancaire soit par un salarié de l’entreprise à un faux fournisseur, soit par un client de l’entreprise vers un autre compte bancaire que celui de l’entreprise.

Pour ces deux arnaques, les moyens utilisés sont multiples. L’envoi d’un email frauduleux permet de se faire passer pour un fournisseur et de demander que les paiements soient désormais réalisés par l’entreprise sur un nouveau relevé d’identité bancaire qui est celui des pirates. Le piratage des boites mail de l’entreprise permet l’interception de mails réels reçus par des fournisseurs ou envoyés à des clients, afin de substituer le relevé d’identité bancaire communiqué pour que le virement soit réalisé sur le compte bancaire des pirates.

Enfin, la fuite de données constitue un vecteur de fraude majeur : le listing avec les coordonnées clients est capté et un email est envoyé à tous avec un nouveau relevé d’identité bancaire pour effectuer les virements de factures sur le compte bancaire des pirates.

Le phishing ou hameçonnage : la cybermenace qui touche tous les collaborateurs de l’entreprise

Cette arnaque se présente sous la forme de faux emails reçus, qui vont laisser penser qu’il est nécessaire de cliquer sur un lien et d’entrer des informations confidentielles (mot de passe, coordonnées bancaires…) qui seront utilisées ultérieurement par les pirates pour entrer sur une boite mail, sur un compte protégé ou prélever de l’argent avec les informations données.

La cyberattaque et le rançongiciel (ransomware) : quand les pirates paralysent l’activité de l’entreprise

La cyberattaque par rançongiciel est souvent la conséquence de l’hameçonnage dont se sont servis les pirates pour entrer dans le système informatique de l’entreprise. Les pirates opèrent soit en ayant récupéré des codes d’accès par email, soit en ayant pu installer un rançongiciel via une pièce jointe contenue dans un email frauduleux.

Le but est de bloquer l’activité de l’entreprise afin qu’elle n’ait plus accès à ses données, ses logiciels, et qu’elle soit contrainte de payer une rançon aux pirates informatiques. Pour les PME et TPE, une telle attaque peut représenter un risque de défaillance d’entreprise si aucune sauvegarde sécurisée n’a été mise en place préalablement.

Notre conseil : ne pas payer la rançon et informer les autorités de toute urgence.

Les arnaques aux institutions et aux aides publiques : des escroqueries qui ciblent les dirigeants dès la création de leur société

La société est à peine créée que, les dirigeants reçoivent des courriers d’acteurs privés se faisant passer pour des institutions (Infogreffe, impôts, Urssaf, registres légaux…) afin de leur faire croire qu’ils doivent payer obligatoirement des frais pour la constitution de leur société, alors qu’il s’agit simplement de référencements ou d’abonnements reconductibles tacitement. Ces pratiques, très anciennes, constituent ce que l’on appelle les arnaques aux institutions.

Par la suite, en cours de vie sociale, le dirigeant se verra également sollicité par des individus malveillants auteurs d’arnaques aux aides publiques, en garantissant des subventions, des crédits d’impôt, des aides énergie, des aides innovation… Ces escrocs proposent leur aide et demandent des avances de frais, un pourcentage à verser préalablement sur un crédit d’impôt à recouvrer, voire parfois l’accès aux comptes bancaires de la société.

Des arnaques aux faux contrôles administratifs sont également perpétrées par des individus usurpant l’identité de l’URSSAF, des impôts, des douanes, et même de la CNIL, afin d’obliger les entreprises à payer immédiatement des sommes par virement ou via des liens frauduleux, grâce à des menaces de sanctions.

Comment prévenir les fraudes et cyberattaques qui menacent votre entreprise ?

Quels sont les points de vigilance essentiels pour les dirigeants ?

Dans la plupart des cas où les fraudeurs arrivent à leurs fins, les arnaques fonctionnent à cause de points critiques souvent négligés par les dirigeants qui sous-estiment les risques.

La compromission d’email constitue le premier vecteur de fraude : dans la grande majorité des arnaques provenant de l’extérieur à l’entreprise, la réception d’un email frauduleux est le déclencheur. L’adresse mail d’envoi est très proche de la vraie, ce qui provoque une confusion pour le destinataire.

Le manque de procédures représente une faille organisationnelle majeure : lorsque les virements sont effectués par une seule personne sans double validation, ou lorsque le changement de coordonnées bancaires d’un fournisseur se fait de manière automatique sans vérification, l’entreprise est exposée.

Les accès trop larges au système informatique constituent un risque critique : si un seul accès permet d’entrer dans tout le système, une seule erreur humaine suffit à corrompre l’ensemble du réseau.

Les prestataires peu sécurisés représentent également un risque souvent sous-estimé : lorsque l’entreprise travaille avec des sous-traitants dont le système informatique n’est pas sécurisé, il existe un risque de fuite de données appartenant aux clients et un risque de compromission des accès donnés par l’entreprise au prestataire.

L’ingénierie sociale, enfin, consiste en une manipulation psychologique d’un collaborateur pour exploiter sa confiance, son ignorance, la faiblesse organisationnelle et obtenir quelque chose de lui. C’est typiquement le cas dans l’arnaque au Président, en usurpant l’identité d’un dirigeant afin de manipuler un salarié pour qu’il effectue un virement bancaire.

Quelles mesures de protection efficaces mettre en place contre la cybercriminalité ?

Il existe plusieurs mesures prioritaires pouvant être mises en place rapidement pour prévenir les arnaques et sécuriser une société contre les risques de fraude et de cyberattaque.

La formation des équipes à la cybersécurité

L’ignorance est source de danger. Sensibiliser les salariés aux différentes arnaques qu’ils peuvent rencontrer, leur apprendre comment les déjouer et cibler la formation sur certaines arnaques en fonction des postes de chacun, est la mesure la plus importante à mettre en place au sein des entreprises. Cette formation est également une condition essentielle pour limiter la responsabilité du dirigeant en cas d’incident.

La mise en place de procédures anti-fraude

Certains dispositifs permettent de se protéger efficacement, tels que la double validation obligatoire des virements avant leur réalisation, la vérification téléphonique systématique, une procédure formalisée pour tout changement de relevé d’identité bancaire, et la transmission des RIB aux clients via des liens sécurisés.

Le cloisonnement du réseau informatique

En cas de cyberattaque, le cloisonnement du réseau permet d’éviter une propagation à l’ensemble du système. Il suffit de créer plusieurs zones distinctes isolées les unes des autres, comme un réseau utilisateurs, un réseau serveur, un réseau administrateurs, un réseau sauvegarde. Un mauvais clic sur une pièce jointe ou un salarié victime de phishing ne pourra ainsi pas corrompre l’intégralité du système informatique.

La double authentification (MFA)

L’authentification multi-facteur doit être rendue obligatoire partout. Elle renforce la sécurité des comptes en exigeant deux formes de vérification d’identité (mot de passe + code SMS par exemple) pour prévenir les accès non autorisés et réduire le risque de violations du système informatique.

Le gestionnaire de mots de passe

Chaque accès à un compte doit avoir son propre mot de passe pour assurer la sécurité. Le gestionnaire de mots de passe stocke tous les mots de passe de manière sécurisée en les chiffrant individuellement. Un seul mot de passe maître permet d’y accéder et de renseigner automatiquement les informations d’accès du compte souhaité.

La journalisation des opérations sensibles

La journalisation assure une traçabilité des accès et des actions des différentes personnes accédant aux systèmes d’information (en collectant leur identifiant, les actions réalisées, l’ordinateur utilisé, la date et l’heure…) afin de faciliter l’investigation en cas d’incident ou d’intrusion dans le système.

La réalisation de sauvegardes sécurisées quotidiennement

Des sauvegardes régulières permettent de restaurer le système sans perte majeure de données en cas d’attaque informatique, notamment en cas de rançongiciel.

L’audit des accès prestataires

Les accès accordés aux prestataires ne doivent pas être permanents. Ils doivent être régulièrement audités afin de s’assurer qu’ils demeurent nécessaires et proportionnés.

La souscription à une cyber assurance

Parce que les arnaques deviennent de plus en plus sophistiquées et le risque pour les entreprises de plus en plus grand, des assurances spécialisées existent en cas de cyberattaque, permettant à l’entreprise de supporter plus facilement les coûts liés à un incident.

Cette liste n’est pas exhaustive. D’autres moyens de protection existent et sont en cours de développement. Les arnaques évoluent avec le développement de plus en plus poussé de l’intelligence artificielle. L’émergence des deepfakes, par exemple, a porté l’escroquerie à un niveau d’ingénierie sociale inédit, rendant la vigilance des dirigeants plus indispensable que jamais.

Quelle responsabilité du dirigeant est engagée face aux fraudes et aux cyberattaques ?

Que dit la législation en matière de cybersécurité et de protection des données ?

La législation évolue constamment et impose aux entreprises et à leurs dirigeants de plus en plus d’obligations en matière de protection des données et de risques liés au numérique.

La loi Informatique et Libertés de 1978 a donné un cadre légal à l’utilisation du numérique dans les entreprises en réglementant l’utilisation des données personnelles. Puis la législation européenne a pris le relais.

Le règlement européen RGPD, en vigueur depuis 2018, a renforcé les obligations de traitement des données personnelles par les entreprises.

La directive européenne NIS2, entrée en vigueur depuis 2024, a durci les règles de cybersécurité et expose les dirigeants à une responsabilité personnelle en cas de manquement, avec notamment une possible interdiction d’exercer.

Le règlement européen DORA, en application depuis 2025, a harmonisé les directives en matière de cybersécurité dans l’ensemble du secteur financier européen et tient compte de l’évolution des menaces numériques.

Cette succession de textes pèse de plus en plus sur les entreprises dont la responsabilité est engagée en cas d’incident lié au numérique qui impacterait un tiers (client, fournisseur…). Mais la barrière qu’est l’entreprise peut tomber et la responsabilité du dirigeant peut être engagée directement en cas de manquements, entraînant pour lui des sanctions de plus en plus lourdes.

Quelles sont les obligations qui pèsent sur le dirigeant en matière de cybersécurité ?

De manière générale, le dirigeant doit veiller personnellement au respect des réglementations applicables et mettre en place les moyens nécessaires, sans quoi sa négligence peut être retenue comme faute civile ou pénale.

Sa responsabilité pénale est très étendue puisqu’elle concerne aussi bien des actes commis de manière volontaire que des actes commis de manière involontaire, constitutifs d’un manquement voire d’une négligence. Il existe des délits involontaires qui ne nécessitent pas de prouver une intention délictueuse (article L121-3 du code pénal).

Les principaux motifs de mise en cause de la responsabilité du dirigeant sont : la négligence et une préparation insuffisante de l’entreprise aux cyberattaques ; le manquement à une obligation de prudence ou de sécurité des données ; le défaut de signalement de l’incident numérique aux personnes impactées et aux autorités compétentes.

Pour la jurisprudence, invoquer le fait que le système informatique ait été piraté ne suffit pas à exonérer le dirigeant de sa responsabilité. Les juges examinent comment l’entreprise était préparée, organisée et a réagi à l’attaque pour apprécier l’existence d’une faute de gestion. Leur approche est centrée sur la négligence ou l’imprudence du dirigeant.

La Chambre criminelle de la Cour de cassation a confirmé, le 30 octobre 2001, la condamnation de responsables d’un organisme en raison de l’insuffisance de formation du personnel, qui avait favorisé l’accès par des tiers non autorisés à des données nominatives.

La Cour d’Appel de Paris, le 5 février 2014 (confirmé par la chambre criminelle de la Cour de cassation le 20 mai 2015), a mis en avant la défaillance technique du système et la négligence du maître du système qui n’avait pas suffisamment sécurisé l’accès.

Un signal fort est ainsi envoyé aux dirigeants : la cybersécurité est désormais l’un de leurs devoirs légaux et leur négligence peut être sanctionnée à trois niveaux.

Responsabilité civile

La société peut voir sa responsabilité engagée sur le fondement de l’article 1240 du code civil en cas de manquement fautif à ses obligations de sécurité numérique ayant causé un dommage à des tiers. La responsabilité personnelle du dirigeant ne peut être retenue qu’en présence d’une faute « détachable » de ses fonctions (généralement une faute intentionnelle d’une particulière gravité, incompatible avec l’exercice normal des fonctions sociales) sur le fondement combiné de l’article 1240 du code civil et des articles du code de commerce relatifs aux fautes de gestion des dirigeants (L. 223-22 et L. 225-251 du code de commerce).

Responsabilité pénale

Dans des situations exceptionnelles, notamment dans les secteurs sensibles (santé, énergie, transport…), une cyberattaque facilitée par la violation manifestement délibérée d’obligations particulières de prudence ou de sécurité prévues par la loi ou les règlements, et exposant directement des personnes à un risque immédiat de mort ou de blessures graves, peut être qualifiée de mise en danger de la vie d’autrui au sens de l’article 223-1 du code pénal.

Responsabilité contractuelle

L’entreprise peut également engager sa responsabilité contractuelle à l’égard de ses clients, partenaires ou fournisseurs lorsque le non-respect de ses engagements en matière de cybersécurité (obligations de sécurité, de confidentialité, de disponibilité des systèmes…) cause un préjudice à ses cocontractants. La mise en cause personnelle du dirigeant dans ce cadre suppose, là encore, la démonstration d’une faute détachable de ses fonctions.

Quelles sanctions en cas de manquements aux obligations de cybersécurité ?

En fonction du manquement ou de la négligence et de ses conséquences, les sanctions peuvent aller d’une simple amende à des peines d’emprisonnement, outre l’indemnisation des victimes.

Dans le cadre de la directive NIS2 et du règlement DORA, le législateur affiche une volonté de responsabiliser le dirigeant face aux risques de cybersécurité. En cas de manquements, la directive permet des sanctions financières (jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires) ainsi que des sanctions personnelles pour les dirigeants en cas de négligence manifeste, allant jusqu’à l’interdiction temporaire d’exercer des fonctions de direction.

Le règlement RGPD prévoit quant à lui des amendes administratives élevées, atteignant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’organisation.

Dès qu’une violation de données survient, l’entreprise doit la signaler à la CNIL (Commission Nationale de l’Informatique et des Libertés) dans un délai de 72 heures, en documentant précisément l’incident et en informant les personnes concernées si le risque est élevé.

C’est cette commission nationale qui prononcera les amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, voire 20 millions d’euros et 4 % du chiffre d’affaires annuel mondial en cas de manquement très grave.

Vers une stratégie globale de prévention des fraudes pour les dirigeants de PME et TPE

Dans un contexte où les fraudes se professionnalisent et s’appuient sur des techniques toujours plus sophistiquées, se reposer uniquement sur les ressources internes ne suffit plus.

La sécurité juridique, technique et financière de l’entreprise repose désormais sur une véritable stratégie, structurée et documentée, qui dépasse largement les seules compétences du dirigeant ou de ses collaborateurs.

L’accompagnement par des professionnels n’est donc plus un confort mais une nécessité.

Le conseiller juridique sécurise le cadre juridique (responsabilité, contrats, politique de sécurité, gestion de crise, notifications CNIL, contentieux éventuels).

Les experts informatiques conçoivent et maintiennent les dispositifs techniques adaptés (cloisonnement, sauvegardes, MFA, détection d’incidents).

L’assureur permet de transférer une partie du risque et d’organiser les prestations d’assistance en cas de sinistre.

En combinant ces trois expertises, et en formant les équipes, le dirigeant démontre qu’il a pris des mesures raisonnables et proportionnées pour protéger l’entreprise. Il renforce ainsi sa défense en cas de mise en cause de sa responsabilité personnelle et, surtout, il augmente considérablement les chances de surmonter un incident sans que celui-ci ne devienne une crise majeure, voire un risque de défaillance de l’entreprise.