Numéro à qui : Identifier un appelant inconnu facilement

J’ai vu ça échouer chez au moins 40 PME : la standardiste rappelle un numéro inconnu parce que le message vocal parlait d’une « urgence fournisseur », et elle tombe sur un numéro surtaxé qui facture 3€ la minute pendant que personne ne décroche vraiment. Multiplié par les 15 appels suspects que reçoit une petite structure chaque semaine, ça finit par coûter cher, et surtout ça détourne du temps qu’on n’a pas à perdre en TPE.

Le cas qui aurait pu coûter 4 200 euros à une PME rennaise

Je raconte cette histoire régulièrement en formation parce qu’elle est édifiante. Une entreprise de menuiserie de douze salariés, cliente que j’accompagne depuis 2019, reçoit un appel un lundi matin. La personne au bout du fil se présente comme le comptable d’un fournisseur habituel, annonce un changement de coordonnées bancaires pour le prochain virement, et demande une confirmation par mail avant midi. Le ton est professionnel, elle connaît même le nom du gérant et le montant approximatif de la dernière commande.

La gestionnaire administrative, formée depuis six mois à ce type de scénario, a fait une chose simple avant de répondre : elle a raccroché, puis vérifié le numéro affiché sur un annuaire inversé en ligne. Résultat : le numéro n’appartenait à aucune structure identifiée, et il avait été signalé trois fois dans les commentaires comme lié à une tentative de fraude au RIB. Elle a ensuite rappelé le fournisseur via le numéro habituel, trouvé sur une facture papier, pas celui laissé au téléphone. Le vrai comptable n’avait jamais appelé. Le virement suivant, s’il avait été modifié, représentait 4 200 euros. Temps perdu pour éviter l’arnaque : 20 minutes. Temps qu’aurait coûté l’arnaque si elle avait réussi : des semaines de procédure bancaire, sans garantie de récupérer l’argent.

C’est exactement le genre de situation où la question « numéro à qui » doit devenir un réflexe, pas une recherche de dernière minute paniquée.

Pourquoi la plupart des TPE n’ont aucune méthode face à un numéro inconnu

Le problème récurrent, ce n’est pas le manque d’outils, c’est l’absence de procédure. J’ai audité la ligne téléphonique de plus de 60 petites structures ces cinq dernières années, et dans 80% des cas, la consigne donnée à l’accueil se résume à « si ça a l’air sérieux, on répond ». Aucune vérification systématique, aucun réflexe de contrôle croisé.

Les outils existent pourtant, et ils sont pour la plupart gratuits ou très abordables. Les annuaires inversés collaboratifs (type PagesJaunes inversé, ou des services spécialisés dans le signalement de numéros suspects) permettent de taper un numéro et de voir s’il a été signalé par d’autres utilisateurs comme démarchage, arnaque ou usurpation. Attention cependant : ces bases sont alimentées par les utilisateurs eux-mêmes, donc un numéro tout juste utilisé pour la première fois par un fraudeur peut ne rien remonter. Ce n’est pas une garantie, c’est un premier filtre.

Les applications de blocage d’appels avec identification (plusieurs existent sur mobile) affichent en direct si le numéro qui appelle est répertorié comme suspect. Utile pour filtrer en amont, mais ça ne remplace pas la vérification manuelle pour les cas ambigus comme celui de la menuiserie, où le numéro n’était pas encore signalé.

Le service 33700 permet de signaler un SMS ou un appel frauduleux, ce qui alimente les bases de données publiques utilisées ensuite par les opérateurs pour bloquer les numéros récidivistes. Peu de PME l’utilisent alors que c’est gratuit et que ça prend deux minutes.

Et la méthode la plus fiable, la plus basse-tech, reste la vérification croisée : ne jamais rappeler le numéro laissé par l’appelant lui-même s’il prétend représenter un tiers connu (banque, fournisseur, administration). Toujours composer le numéro officiel retrouvé sur un document déjà en votre possession — facture, contrat, site web vérifié.

Est-ce que votre équipe sait aujourd’hui, sans hésiter, ce qu’elle doit faire quand un numéro inconnu annonce un changement de RIB ou une urgence de paiement ?

Ce que les consultants en cybersécurité ne vous disent pas toujours

Beaucoup de prestataires vendent des formations à la sécurité informatique en mettant l’accent sur le phishing par mail, et c’est légitime, les chiffres sont élevés. Mais l’ingénierie sociale par téléphone reste sous-traitée dans la plupart des offres, alors que c’est un vecteur au moins aussi actif pour les petites structures qui ont un accueil téléphonique identifiable et un standard qui décroche facilement.

Attention à un point précis : les fraudeurs qui ciblent les PME étudient souvent l’entreprise en amont, via le site web, les réseaux sociaux professionnels ou même un simple appel de reconnaissance quelques jours avant. Ils connaissent le nom du dirigeant, parfois celui d’un fournisseur réel, ce qui rend l’appel crédible. Ne vous fiez jamais à la seule crédibilité apparente du discours : le numéro non identifié doit systématiquement déclencher la vérification, même quand l’interlocuteur semble tout savoir sur vous.

J’ai vu une variante de cette arnaque échouer chez un cabinet comptable de Saint-Malo l’an dernier, pour une raison simple : ils avaient affiché une consigne écrite à côté du téléphone d’accueil, rappelant la procédure en trois lignes. Ce n’est pas sophistiqué, mais ça a suffi parce que la personne qui a décroché n’a pas eu à improviser sous pression.

Mon conseil : ne dépensez pas dans une formation cybersécurité à 2 000 euros avant d’avoir réglé ce point basique. Rédigez dès demain une consigne écrite d’une demi-page, affichée près de chaque poste qui reçoit des appels externes : jamais de rappel sur le numéro laissé par l’appelant pour toute demande financière, toujours vérification via un numéro officiel déjà connu, et signalement systématique au 33700 en cas de doute. Testez-la ensuite avec un faux appel interne pour voir si le réflexe tient sous pression. Je sais que ce n’est pas ce que les consultants vous vendent en premier, mais c’est ce qui a évité une perte réelle chez au moins trois de mes clients cette année.