À retenir :
- Le KYS (Know Your Supplier) consiste à vérifier l'identité, la légitimité et les coordonnées bancaires de vos fournisseurs, au référencement puis tout au long de la relation.
- Il articule trois niveaux de contrôle : identité, conformité, coordonnées bancaires, le dernier étant le seul qui bloque directement un détournement de paiement.
- Un processus KYS efficace couvre l'ensemble du cycle de vie fournisseur et reste applicable en volume : contrôles automatisés pour la masse du référentiel, due diligence renforcée pour les fournisseurs critiques.
Qu'est-ce que le KYS (Know Your Supplier) ?
Le KYS, ou Know Your Supplier, est le processus par lequel une entreprise vérifie l'identité, la légitimité et la fiabilité de ses fournisseurs avant de travailler avec eux, puis pendant toute la durée de la relation commerciale.
Le terme fait écho au KYC (Know Your Customer), obligation réglementaire du secteur financier envers ses clients. Le KYS applique la même logique dans l'autre sens, il porte sur les tiers à qui vous versez de l'argent : fournisseurs, sous-traitants, prestataires. La distinction compte : vos paiements sortants représentent un risque direct de détournement, alors même que le KYS n'est pas, pour la plupart des entreprises, une obligation légale à proprement parler.
Concrètement, le KYS répond à trois questions : cette entreprise existe-t-elle vraiment ? Est-elle fiable et pérenne ? Et le compte bancaire qu'elle m'a communiqué lui appartient-il réellement ?
Pourquoi le KYS est devenu incontournable
La fraude au virement, et en premier lieu la fraude au faux fournisseur, reste la première fraude subie par les entreprises françaises. Trois évolutions expliquent que le sujet soit remonté dans les priorités des directions financières et achats :
La falsification documentaire s'est industrialisée. Un RIB, un KBIS ou une facture se falsifient en quelques minutes avec des outils d'IA accessibles à tous. Un document d'apparence parfaitement authentique ne prouve plus rien.
Les fraudeurs ciblent la chaîne de paiement, pas les systèmes. Plutôt que de pirater un ERP, il est plus simple d'usurper l'identité d'un fournisseur existant et de faire modifier ses coordonnées bancaires par un email convaincant. La faille exploitée est humaine et organisationnelle.
Sur les bases fournisseurs de nos clients, nous constatons en moyenne 17% d'anomalies, de la simple erreur de format à une véritable incohérence sur le titulaire du RIB. Ce taux varie selon la façon dont la base a été maintenue et les contrôles appliqués par le passé, et toutes les anomalies ne signalent pas une fraude : beaucoup entraînent surtout des perturbations dans les paiements, virements en erreur ou rejets.
À l'enjeu financier s'ajoute un cadre réglementaire qui se densifie : devoir de vigilance pour les grandes entreprises, obligations LCB-FT pour les secteurs régulés, sanctions internationales à screener, et attentes croissantes des commissaires aux comptes et de l'audit interne sur la maîtrise du référentiel fournisseurs. Le contrôle des coordonnées bancaires des tiers fait désormais partie des points examinés lors des audits de processus achats et trésorerie.
Que faut-il vérifier ? Les trois niveaux de contrôle
1. L'identité de l'entreprise
Le socle : vérifier que l'entreprise existe légalement et que son représentant est habilité. En pratique : immatriculation (SIREN/SIRET, extrait KBIS ou équivalent européen), adresse, dirigeants, bénéficiaires effectifs pour les cas sensibles, et cohérence entre l'interlocuteur et l'entreprise qu'il prétend représenter. Ces informations se recoupent avec les registres officiels, pas uniquement avec les documents transmis par le fournisseur lui-même.
2. La santé financière et la conformité
Selon la criticité du fournisseur : solvabilité, procédures collectives en cours, présence sur les listes de sanctions, réputation. Ce niveau est indispensable pour les fournisseurs stratégiques, ceux dont la défaillance bloquerait l'activité, et peut rester allégé pour les autres fournisseurs. Cela permet de se concentrer sur les fournisseurs à fort enjeu.
3. Le titulaire du compte bancaire
C'est le contrôle le plus directement lié à la fraude, et le plus souvent négligé. Vérifier que l'IBAN communiqué appartient réellement à l'entreprise fournisseur est le seul contrôle qui bloque physiquement un détournement de paiement : tous les autres peuvent être contournés par de faux documents, celui-ci non, à condition qu'il repose sur une interrogation de la banque, et non sur un contrôle de format ou de justificatif.
Ce contrôle doit intervenir à trois moments : au référencement du fournisseur, à chaque changement de coordonnées bancaires (le scénario de fraude le plus fréquent) et lors des campagnes de fiabilisation du référentiel existant.
Comment mettre en place un processus KYS : 4 étapes
Étape 1 : Cartographier et segmenter le référentiel fournisseurs
Tous les fournisseurs ne présentent pas le même risque. La segmentation suit les axes classiques du risque tiers : volume de flux, criticité opérationnelle, exposition géographique et sectorielle. Elle permet de proportionner l'effort : contrôles automatisés pour la longue traîne du référentiel, due diligence renforcée pour les fournisseurs stratégiques ou sensibles. C'est ce qui rend le dispositif tenable en volume.
Étape 2 : Définir les contrôles obligatoires par segment
Pour chaque segment, fixez la liste des vérifications requises avant le premier paiement. Le point non négociable, quel que soit le segment : la vérification du titulaire de l'IBAN. C'est le contrôle au meilleur ratio protection/effort : quelques secondes par vérification pour fermer la porte au scénario de fraude le plus courant.
Étape 3 : Intégrer les contrôles dans le workflow
Un contrôle qui repose sur la vigilance individuelle ne résiste ni à la charge ni au turnover des équipes. Les vérifications doivent être intégrées au circuit : blocage de la création de fiche tiers tant que les contrôles ne sont pas validés, séparation des tâches et validation à quatre yeux pour toute modification de coordonnées bancaires, et automatisation par API dans l'ERP ou le SI achats lorsque les volumes le justifient.
Dans les processus que nous observons chez nos clients, le maillon faible est rarement le référencement d'un nouveau fournisseur : c'est le changement de RIB traité en urgence, un jour de campagne de règlements. Le fraudeur se fait passer pour un fournisseur connu, ce qui fait baisser la garde. La création de fiche reste néanmoins à contrôler systématiquement : se présenter comme un nouveau fournisseur ne demande au fraudeur aucune connaissance de l'entreprise ciblée, c'est la fraude la plus simple à monter, et elle reste donc fréquente.
Étape 4 : Surveiller dans la durée
Le KYS ne s'arrête pas au référencement. Deux mécanismes couvrent l'essentiel du besoin : un contrôle systématique à chaque modification de coordonnées bancaires, et une revérification périodique des fournisseurs actifs, par exemple une campagne annuelle sur la base complète, réalisable en masse avec les bons outils.
Les 3 erreurs qui rendent un KYS inefficace
Erreur n°1 : tout miser sur les justificatifs. KBIS, RIB, attestations : ces documents sont nécessaires mais ne constituent pas une vérification. Ils déclarent une information, ils ne la prouvent pas, et ils se falsifient en quelques minutes. Un KYS fondé uniquement sur la collecte documentaire est un dispositif de façade.
Erreur n°2 : contrôler au référencement, puis plus jamais. La majorité des fraudes au faux fournisseur exploitent la modification d'un fournisseur existant, pas sa création. Un processus qui ne verrouille pas les changements de RIB protège la porte d'entrée en laissant la fenêtre ouverte.
Erreur n°3 : un processus exhaustif sur le papier, inapplicable en volume. Un dispositif calibré pour la due diligence approfondie de quelques fournisseurs stratégiques ne tient pas face à un référentiel de plusieurs milliers de tiers actifs. Sans automatisation des contrôles de masse, à commencer par la vérification des coordonnées bancaires, le processus se dégrade en échantillonnage, et les mailles du filet s'élargissent précisément là où passent les fraudes.
Quels outils pour votre KYS ?
Pour l'identité et la santé financière, les registres officiels et les prestataires de données d'entreprise couvrent l'essentiel du besoin.
Pour la vérification du titulaire du compte bancaire, le contrôle décisif, la méthode la plus fiable est l'interrogation directe de la banque qui détient le compte : vous soumettez l'IBAN et le nom du fournisseur, la banque confirme ou infirme la correspondance, en temps réel. C'est ce que propose une solution de vérification des IBAN de fournisseurs comme Ibantrack : vérification unitaire via portail web, contrôle en masse d'un référentiel existant, ou automatisation par API, sans solliciter le fournisseur.
Pour un référentiel de plusieurs centaines ou milliers de fournisseurs, la vérification s'effectue en masse : campagne de fiabilisation initiale de la base, puis contrôle au fil de l'eau des créations et modifications, par portail ou par API.
Pour comparer l'ensemble des méthodes de vérification d'un titulaire de compte, consultez notre guide : Comment vérifier le titulaire d'un IBAN : les 5 méthodes.
Questions fréquentes
Quelle est la différence entre KYS, KYC et KYB ?
Le KYC (Know Your Customer) désigne la vérification de vos clients, obligation réglementaire pour les banques et assurances. Le KYB (Know Your Business) en est la variante appliquée aux clients entreprises. Le KYS (Know Your Supplier) applique la même logique à vos fournisseurs, avec une différence de taille : il vise principalement à protéger vos paiements sortants, alors que le KYC répond à des obligations légales.
Le KYS est-il obligatoire ?
Pour la plupart des entreprises, non, c'est une mesure de protection, pas une obligation. Les grandes entreprises et les secteurs régulés y sont contraints indirectement (devoir de vigilance, LCB-FT, sanctions), et les auditeurs examinent de plus en plus la maîtrise du référentiel fournisseurs. Mais l'enjeu premier reste financier : éviter les détournements de paiement.
Quelle est la vérification la plus importante du KYS ?
La vérification du titulaire du compte bancaire, car c'est la seule qui bloque directement un détournement de fonds. Une entreprise peut être parfaitement immatriculée et solvable, si l'IBAN enregistré dans votre référentiel appartient à un fraudeur, tous les autres contrôles n'auront servi à rien.
Comment dimensionner un processus KYS pour un référentiel de plusieurs milliers de fournisseurs ?
Par la segmentation et l'automatisation : due diligence approfondie réservée aux fournisseurs stratégiques et sensibles, contrôles automatisés systématiques pour l'ensemble du référentiel. La vérification des coordonnées bancaires, réalisable en masse et par API, fait partie des contrôles automatisables sur la totalité de la base, quel que soit le volume.
Comment vérifier l'IBAN d'un fournisseur ?
La méthode la plus fiable est l'interrogation directe de la banque qui détient le compte : elle confirme en temps réel que l'IBAN appartient bien à l'entreprise fournisseur. Contrairement au contrôle de justificatifs, elle ne repose sur aucun document falsifiable et ne nécessite aucune action du fournisseur.
Conclusion
Le KYS n'est pas une contrainte de plus : c'est la protection la plus directe contre la première fraude qui touche les entreprises. Trois principes le rendent efficace et tenable : segmenter pour proportionner l'effort, verrouiller les changements de coordonnées bancaires, et fonder la vérification des comptes sur l'interrogation bancaire plutôt que sur les documents.
C'est précisément ce que permet Ibantrack : la vérification du titulaire de l'IBAN de vos fournisseurs, en quelques secondes, directement auprès de la banque : à l'unité, en masse ou par API. Testez gratuitement ou découvrez notre solution de vérification des IBAN fournisseurs.






