La fuite de données liée au fichier national des comptes bancaires ne concerne pas seulement les particuliers. Après l’accès illégitime à des informations associées à 1,2 million de comptes, les entreprises doivent intégrer ce risque dans leur stratégie RSE et leur cartographie des menaces, car les arnaques ciblant les organisations pourraient se multiplier.
Une fuite touchant 1,2 million de comptes : un risque systémique pour les entreprises
Le 18 février 2026, le ministère de l’Économie a révélé des accès illégitimes au fichier national des comptes bancaires (FICOBA), géré par la Direction générale des Finances publiques. Selon le communiqué officiel, « un acteur malveillant, qui a usurpé les identifiants d’un fonctionnaire disposant d’accès, a pu consulter une partie de ce fichier qui recense l’ensemble des comptes bancaires ouverts dans les établissements bancaires français et contient des données à caractère personnel ».
Au total, 1,2 million de comptes ont été concernés, selon le ministère de l’Économie. L’attaque aurait débuté fin janvier 2026. Si les soldes et les opérations n’ont pas été exposés, les informations d’identification associées aux comptes bancaires ont pu être consultées. Or, le FICOBA ne recense pas uniquement des comptes de particuliers. Il centralise également des comptes d’entreprises, d’associations et d’organismes publics. Autrement dit, la fuite d’informations touche potentiellement des structures professionnelles, ce qui en fait un enjeu majeur de gestion des risques pour les directions financières, les responsables conformité et les équipes RSE.
Quelles données exposées et quels scénarios d’arnaques B2B ?
Selon Le Monde, les données consultées ne comprenaient pas les mouvements financiers ni les soldes. En revanche, les informations d’identification liées au compte bancaire, comme le nom du titulaire, l’adresse et les références bancaires, ont pu être accessibles. Pour une entreprise, la divulgation d’un IBAN associé à une raison sociale et à une adresse peut alimenter plusieurs scénarios d’arnaques sophistiquées. Le Figaro souligne que des escrocs peuvent exploiter « IBAN, adresse, identifiant fiscal » pour concevoir des fraudes ciblées. Transposé au monde professionnel, ce risque est démultiplié.
Premier scénario : la fraude au faux fournisseur. Un cybercriminel disposant des coordonnées bancaires d’une entreprise peut se faire passer pour elle auprès d’un partenaire, en prétendant qu’un RIB a changé. En utilisant des données exactes issues du FICOBA, l’arnaque gagne en crédibilité. Les équipes comptables peuvent alors être induites en erreur.
Deuxième scénario : la fraude au président ou « CEO fraud ». Si les coordonnées bancaires d’une société sont connues, un message frauduleux peut être adressé au service financier, simulant une instruction urgente liée à un compte bancaire précis. Le fait de mentionner un IBAN réel augmente la pression psychologique et la probabilité d’exécution.
Troisième scénario : l’ingénierie sociale visant les partenaires. Un acteur malveillant peut contacter un fournisseur en prétendant représenter l’entreprise dont les données ont fuité, en s’appuyant sur des informations exactes. Cette connaissance préalable facilite l’usurpation d’identité et les demandes de virements frauduleux.
Enfin, le risque réputationnel est loin d’être négligeable. Si une entreprise est associée à une tentative d’arnaque exploitant ses coordonnées bancaires, même sans faute de sa part, la confiance des partenaires peut être fragilisée.
