1) Comprendre l’arnaque (et ses signaux faibles) ️
Depuis l’été 2025, la « fraude au virement de salaire » cible directement les services RH : un escroc usurpe l’identité d’un salarié et demande, par e-mail ou téléphone, la modification urgente de son RIB afin de détourner la paie vers un compte frauduleux. Les messages sont souvent crédibles (adresse proche, signature copiée, ton pressant). Objectif : faire changer le RIB avant la clôture paie. Voir l’alerte officielle : Service-Public.fr.
Signaux d’alerte : demande de changement de RIB « en urgence », depuis une adresse externe ou inhabituelle, pièce jointe « RIB.jpg »/« RIB.pdf », changement de numéro de téléphone, orthographe approximative, ou interlocuteur qui refuse une vérification via un canal officiel. Pour le secteur public et les collectivités, cette technique s’apparente aux « faux ordres de virement » (FOVI). Références utiles : collectivites-locales.gouv.fr et la fiche réflexe Cybermalveillance.gouv.fr.
Exemple (cas réel typique) : « Bonjour, c’est Léa Martin (Compta). J’ai changé de banque, pouvez-vous remplacer mon RIB avant le 28 ? Je suis en déplacement, merci de traiter par retour de mail. » → si le gestionnaire paie applique la demande sans vérification hors e-mail, le salaire est versé au fraudeur. Les autorités recommandent une authentification renforcée et la vigilance face au phishing : Service-Public.fr.
2) Que faire en cas d’attaque ? Le plan d’action « 60 minutes »
Minute 0–15 : geler tout paiement lié au dossier suspect, suspendre temporairement le changement de RIB et vérifier l’historique (qui a demandé quoi, quand, via quel canal). Appelez la banque pour tenter le blocage ou le rappel de fonds (rétrofacturation) si un virement est parti. Conservez toutes les preuves (e-mails, en-têtes, journaux SI). Guides pratiques : Service-Public.fr et Cybermalveillance.gouv.fr.
Minute 15–30 : vérification d’identité du salarié par canal indépendant (appel sur numéro déjà enregistré, entretien visio planifié, portail SIRH). Si usurpation confirmée : dépôt de plainte (police/gendarmerie) et demande formelle de rappel des fonds auprès de la banque, avec pièces justificatives. Réf. : Service-Public.fr.
Minute 30–60 : si des données personnelles ont été exposées (ex. accès à des dossiers RH ou fuite de coordonnées), évaluez l’incident au regard du RGPD : documentation, traçabilité, information des personnes concernées et, le cas échéant, notification à la CNIL sous 72 h. La CNIL propose une trame de communication et de gestion de crise dédiée à cette fraude : CNIL (et son infographie).
Côté salarié : alerter immédiatement sa banque, vérifier ses comptes, changer ses mots de passe si suspicion d’hameçonnage, et signaler l’e-mail/SMS frauduleux (ex. plateformes officielles mentionnées par l’ANSSI/CNIL). Conseil RH : proposez un modèle de message au salarié pour sa banque et pour le dépôt de plainte.
3) Prévenir durablement : procédures RH « anti-fraude » et réflexes métiers
Standardisez le changement de RIB : jamais par e-mail ni téléphone. Uniquement via un portail SIRH sécurisé avec double authentification (2FA) et justificatifs (RIB + pièce d’identité). Ajoutez un délai de carence (24–48 h) entre demande et prise d’effet, et un double contrôle (validation par un second pair/manager). Recommandations convergentes : Service-Public.fr et Cybermalveillance.gouv.fr.
Durcir l’hygiène numérique : sensibilisation anti-phishing trimestrielle, simulation de faux e-mails, bannière « externe » dans la messagerie, désactivation des règles de transfert auto hors domaine, mots de passe robustes et 2FA pour les comptes RH et paie. Pour les organismes publics : se référer aussi aux mises en garde FOVI : collectivites-locales.gouv.fr.
Tracer et auditer : journaliser chaque changement de RIB (qui, quand, comment), rapprochement paie mensuel des modifications bancaires, rapport de contrôle interne transmis à la direction. En cas d’incident impliquant des données personnelles, appliquez la doctrine CNIL (documentation, information, notification si nécessaire) : CNIL.
Message type à diffuser (à adapter) : « Pour votre sécurité, FOXY RH ne traite aucun RIB transmis par e-mail. Toute demande de modification doit être effectuée depuis votre espace RH sécurisé, avec vérification d’identité. En cas d’urgence, appelez le numéro RH référencé dans l’annuaire interne. »
<
2>1) Comprendre l’arnaque (et ses signaux faibles) ️
Depuis l’été 2025, la « fraude au virement de salaire » cible directement les services RH : un escroc usurpe l’identité d’un salarié et demande, par e-mail ou téléphone, la modification urgente de son RIB afin de détourner la paie vers un compte frauduleux. Les messages sont souvent crédibles (adresse proche, signature copiée, ton pressant). Objectif : faire changer le RIB avant la clôture paie. Voir l’alerte officielle : Service-Public.fr.
Signaux d’alerte : demande de changement de RIB « en urgence », depuis une adresse externe ou inhabituelle, pièce jointe « RIB.jpg »/« RIB.pdf », changement de numéro de téléphone, orthographe approximative, ou interlocuteur qui refuse une vérification via un canal officiel. Pour le secteur public et les collectivités, cette technique s’apparente aux « faux ordres de virement » (FOVI). Références utiles : collectivites-locales.gouv.fr et la fiche réflexe Cybermalveillance.gouv.fr.
Exemple (cas réel typique) : « Bonjour, c’est Léa Martin (Compta). J’ai changé de banque, pouvez-vous remplacer mon RIB avant le 28 ? Je suis en déplacement, merci de traiter par retour de mail. » → si le gestionnaire paie applique la demande sans vérification hors e-mail, le salaire est versé au fraudeur. Les autorités recommandent une authentification renforcée et la vigilance face au phishing : Service-Public.fr.
2) Que faire en cas d’attaque ? Le plan d’action « 60 minutes »
Minute 0–15 : geler tout paiement lié au dossier suspect, suspendre temporairement le changement de RIB et vérifier l’historique (qui a demandé quoi, quand, via quel canal). Appelez la banque pour tenter le blocage ou le rappel de fonds (rétrofacturation) si un virement est parti. Conservez toutes les preuves (e-mails, en-têtes, journaux SI). Guides pratiques : Service-Public.fr et Cybermalveillance.gouv.fr.
Minute 15–30 : vérification d’identité du salarié par canal indépendant (appel sur numéro déjà enregistré, entretien visio planifié, portail SIRH). Si usurpation confirmée : dépôt de plainte (police/gendarmerie) et demande formelle de rappel des fonds auprès de la banque, avec pièces justificatives. Réf. : Service-Public.fr.
Minute 30–60 : si des données personnelles ont été exposées (ex. accès à des dossiers RH ou fuite de coordonnées), évaluez l’incident au regard du RGPD : documentation, traçabilité, information des personnes concernées et, le cas échéant, notification à la CNIL sous 72 h. La CNIL propose une trame de communication et de gestion de crise dédiée à cette fraude : CNIL (et son infographie).
Côté salarié : alerter immédiatement sa banque, vérifier ses comptes, changer ses mots de passe si suspicion d’hameçonnage, et signaler l’e-mail/SMS frauduleux (ex. plateformes officielles mentionnées par l’ANSSI/CNIL). Conseil RH : proposez un modèle de message au salarié pour sa banque et pour le dépôt de plainte.
3) Prévenir durablement : procédures RH « anti-fraude » et réflexes métiers
Standardisez le changement de RIB : jamais par e-mail ni téléphone. Uniquement via un portail SIRH sécurisé avec double authentification (2FA) et justificatifs (RIB + pièce d’identité). Ajoutez un délai de carence (24–48 h) entre demande et prise d’effet, et un double contrôle (validation par un second pair/manager). Recommandations convergentes : Service-Public.fr et Cybermalveillance.gouv.fr.
Durcir l’hygiène numérique : sensibilisation anti-phishing trimestrielle, simulation de faux e-mails, bannière « externe » dans la messagerie, désactivation des règles de transfert auto hors domaine, mots de passe robustes et 2FA pour les comptes RH et paie. Pour les organismes publics : se référer aussi aux mises en garde FOVI : collectivites-locales.gouv.fr.
Tracer et auditer : journaliser chaque changement de RIB (qui, quand, comment), rapprochement paie mensuel des modifications bancaires, rapport de contrôle interne transmis à la direction. En cas d’incident impliquant des données personnelles, appliquez la doctrine CNIL (documentation, information, notification si nécessaire) : CNIL.
Message type à diffuser (à adapter) : « Pour votre sécurité, FOXY RH ne traite aucun RIB transmis par e-mail. Toute demande de modification doit être effectuée depuis votre espace RH sécurisé, avec vérification d’identité. En cas d’urgence, appelez le numéro RH référencé dans l’annuaire interne. »
| Employeur / RH |
Salarié |
| Processus unique et écrit pour les changements de RIB (2FA, pièces, double contrôle, délai de carence). |
Ne jamais envoyer de RIB par e-mail. Utiliser l’espace RH sécurisé et garder ses identifiants confidentiels. |
| Journalisation + revue mensuelle des modifications bancaires. |
Vérifier chaque mois son bulletin et le compte de versement ; signaler toute anomalie immédiatement. |
| Formation anti-phishing et tests réguliers des équipes paie/RH. |
Activer le 2FA sur les comptes personnels et pro, rester vigilant aux messages « urgents ». |
| Canaux de vérification hors e-mail (annuaire interne, rappel sur numéro connu). |
Confirmer toute demande inhabituelle par un canal officiel (appel RH, portail). |
Bonus conformité : maintenez un registre des incidents, une check-list « retour des fonds », et un kit RGPD d’alerte interne (qui prévenir, quoi documenter, comment informer). Ressources : Service-Public.fr et CNIL.
| Employeur / RH |
Salarié |
| Processus unique et écrit pour les changements de RIB (2FA, pièces, double contrôle, délai de carence). |
Ne jamais envoyer de RIB par e-mail. Utiliser l’espace RH sécurisé et garder ses identifiants confidentiels. |
| Journalisation + revue mensuelle des modifications bancaires. |
Vérifier chaque mois son bulletin et le compte de versement ; signaler toute anomalie immédiatement. |
| Formation anti-phishing et tests réguliers des équipes paie/RH. |
Activer le 2FA sur les comptes personnels et pro, rester vigilant aux messages « urgents ». |
| Canaux de vérification hors e-mail (annuaire interne, rappel sur numéro connu). |
Confirmer toute demande inhabituelle par un canal officiel (appel RH, portail). |
Bonus conformité : maintenez un registre des incidents, une check-list « retour des fonds », et un kit RGPD d’alerte interne (qui prévenir, quoi documenter, comment informer). Ressources : Service-Public.fr et CNIL.
