Un RIB modifié, une vérification trop tardive, un virement qui part au mauvais endroit. Dans de nombreuses organisations, la fraude au changement d’IBAN est devenue l’un des risques les plus concrets et les plus sous-estimés de la chaîne achats. Le cas d’Espacil Habitat, qui a choisi d’automatiser ses contrôles fournisseurs avec Aprovall et le module SIS ID, illustre cette réalité et montre que la confiance dans la relation fournisseur ne peut plus reposer sur des habitudes, des échanges de mails ou des vérifications dispersées. Elle passe désormais par des contrôles structurés, continus et traçables.
Pendant longtemps, la fraude aux paiements a surtout été pensée sous l’angle du faux ordre de virement, de l’usurpation d’identité ou de la compromission de messagerie. Mais aujourd’hui, une autre brèche prend de l’ampleur : celle de la modification des coordonnées bancaires fournisseurs.
C’est précisément ce point qu’illustre le retour d’expérience d’Espacil Habitat. Pour un bailleur social qui gère près de 28 000 logements, travaille avec 2 000 fournisseurs et engage 215 millions d’euros de dépenses annuelles, le risque est réel. Dans un tel environnement, un simple changement d’IBAN mal contrôlé peut suffire à détourner des montants significatifs, sans faire l’effet d’une bombe.
Ce cas nous rappelle que la fraude se loge souvent dans des opérations ordinaires. Une demande de mise à jour de RIB, un justificatif transmis par un fournisseur, une validation effectuée dans l’urgence, un contrôle hétérogène selon les équipes. C’est là que la confiance se fissure.
Chez Espacil, la réponse a consisté à centraliser et automatiser des contrôles jusqu’ici éclatés. Collecte automatisée de documents, certification via API, relances, lecture par opération, harmonisation des pratiques entre 47 utilisateurs. Le gain, sur le papier, est double : réduire la charge administrative, limiter le risque opérationnel et sécuriser le couple SIRET-IBAN grâce à l’intégration du module SIS ID.
Cette vérification marque un changement de logique. Car dans de nombreux processus achats, la relation fournisseur repose encore sur une forme de confiance implicite. Un fournisseur connu est perçu comme un fournisseur fiable. Un mail crédible est traité comme légitime. Un document conforme en apparence est accepté sans difficulté. Or cette confiance informelle s’avère aujourd’hui trop fragile face à la sophistication des fraudes, aux organisations décentralisées et à la multiplication des points d’entrée.
Quand la fraude vise le référentiel plutôt que le paiement
La fraude ne cherche pas toujours à forcer le paiement. Elle cherche de plus en plus à manipuler le référentiel qui rend ce paiement possible. Modifier un IBAN dans un outil, faire passer une information bancaires comme une simple mise à jour administrative, contourner une procédure locale moins rigoureuse qu’une autre : la manœuvre est discrète, peu visible, mais redoutablement efficace.
Dans ce contexte, le contrôle du couple SIRET-IBAN devient un verrou essentiel. Il permet non pas d’éliminer tout risque, mais de réduire une faille structurelle. Le système de feux vert, orange, rouge mis en avant dans le cas Espacil a justement cette fonction : introduire un signal de doute là où, trop souvent, les équipes validaient par routine.
La fraude fournisseur n’est plus seulement un sujet de vigilance humaine. Elle devient un sujet d’architecture de confiance. Qui collecte les documents ? Qui les certifie ? Qui valide une modification bancaire ? Sur quelles sources externes s’appuie-t-on ? Quels contrôles sont tracés ? Quelles anomalies déclenchent une revue humaine ? Sans réponse claire à ces questions, les organisations laissent subsister des angles morts.
Le cas Espacil montre aussi pourquoi les structures décentralisées sont particulièrement exposées. Plus les équipes sont autonomes, plus les pratiques risquent de diverger. Plus les circuits sont nombreux, plus le niveau d’exigence varie selon les personnes, les habitudes ou la pression opérationnelle. L’automatisation, dans ce cadre, ne sert pas seulement à gagner du temps. Elle sert à recréer un socle commun de confiance.
Automatiser ne suffit pas, encore faut-il gouverner
Reste qu’un couple SIRET-IBAN vérifié ne couvre pas nécessairement tous les cas de figure, notamment dans des contextes complexes de sous-traitance, de filiales, de comptes étrangers ou de changements juridiques. Un fournisseur compromis reste un fournisseur compromis, même si ses informations paraissent cohérentes à un instant donné.
Autrement dit, l’enjeu n’est pas seulement de numériser le contrôle. Il est désormais de penser la chaîne complète de confiance fournisseur. Ce qui suppose des règles explicites, des rôles bien définis, des alertes exploitables et, surtout, la capacité de traiter les cas douteux hors automatisme.
In fine, le cas Espacil montre que la fraude au changement d’IBAN est désormais assez sérieuse pour justifier une réponse outillée, industrialisée et partagée entre plusieurs métiers. Il rappelle aussi que la confiance fournisseur n’est plus une affaire de simple relation contractuelle. Elle devient une mécanique de vérification continue.
