Sécuriser son D-U-N-S no : comment prévenir l’usurpation d’identité d’entreprise ?

Le numéro D-U-N-S, attribué par Dun & Bradstreet (D&B), sert d’identifiant unique pour les entreprises dans les échanges commerciaux internationaux. Quand un tiers usurpe ce numéro ou les données qui y sont rattachées, il peut passer des commandes, ouvrir des lignes de crédit ou signer des contrats au nom d’une société qui n’a rien demandé.

Le phénomène reste mal documenté en France, où l’attention se concentre sur le SIREN et le numéro de TVA intracommunautaire. Le D-U-N-S no mérite pourtant une vigilance spécifique, parce que sa portée dépasse les frontières et que les contrôles autour de cet identifiant sont encore peu formalisés côté entreprise.

A voir aussi : Formulaire de rupture de contrat d'apprentissage pour l'employeur : guide pratique

Facturation électronique et nouveaux vecteurs d’usurpation du D-U-N-S no

La réforme française de la facturation électronique prévue à partir de 2026 crée de nouvelles surfaces d’attaque. Des prestataires frauduleux peuvent se présenter comme « plateforme de dématérialisation partenaire » ou « opérateur de facturation » en usurpant l’identité d’une entreprise réelle, D-U-N-S no compris.

Le scénario type : un faux fournisseur transmet une facture électronique comportant un D-U-N-S valide, copié depuis une base de données publique ou semi-publique. Le destinataire, habitué à vérifier le SIREN mais pas le D-U-N-S, valide le paiement sans contrôle croisé. Le risque augmente quand l’entreprise victime n’a jamais consulté ni mis à jour sa fiche D&B, et ignore quelles informations y figurent.

A lire aussi : Responsabilités de l'entreprise : définition, enjeux et exemples

Femme entrepreneur contrôlant l'identité de son entreprise sur ordinateur pour prévenir la fraude au numéro DUNS

En parallèle, les attaques combinant usurpation d’identité de dirigeant et IA générative gagnent en crédibilité. Des mails, documents et même des messages vocaux générés par intelligence artificielle reproduisent le style d’un interlocuteur légitime. Un D-U-N-S no authentique intégré à ces documents renforce la vraisemblance de la fraude, ce qui complique la détection par les équipes comptables et les services conformité.

Données rattachées au D-U-N-S : ce que les tiers peuvent exploiter

Le D-U-N-S no n’est pas un simple numéro. Il est associé à un ensemble de données : raison sociale, adresse du siège, forme juridique, dirigeants, chiffre d’affaires estimé, score de solvabilité. Ces informations alimentent les rapports D&B que consultent banques, assureurs crédit, fournisseurs et plateformes d’appels d’offres.

Un usurpateur qui accède à ces données peut :

  • Créer une entité fictive reprenant la raison sociale et le D-U-N-S d’une entreprise existante pour répondre à des marchés publics ou privés à l’international
  • Modifier les coordonnées de contact (adresse, téléphone, email) sur la fiche D&B en se faisant passer pour un représentant légitime, redirigeant ainsi les communications commerciales
  • Exploiter le score de solvabilité associé au numéro pour obtenir des conditions de paiement avantageuses auprès de fournisseurs qui se fient à la notation D&B

Le problème réside dans le fait que la mise à jour des données D&B ne requiert pas toujours une vérification d’identité robuste. Les retours terrain divergent sur ce point : certaines entreprises rapportent avoir pu corriger leur fiche rapidement, d’autres décrivent des procédures longues et opaques.

Surveiller et verrouiller sa fiche D&B : les étapes concrètes

La première mesure consiste à réclamer la gestion active de sa fiche auprès de D&B. L’entreprise peut créer un compte sur le portail dédié et vérifier l’ensemble des informations associées à son D-U-N-S no : adresse, dirigeants, données financières. Toute anomalie (adresse modifiée, dirigeant inconnu) constitue un signal d’alerte.

Mettre en place une veille régulière sur les données entreprise

Consulter sa fiche une fois par an ne suffit pas. Une vérification trimestrielle des données rattachées au D-U-N-S permet de repérer une modification non autorisée avant qu’elle ne produise des effets. Certaines solutions de surveillance proposées par D&B ou par des tiers alertent en cas de changement sur la fiche.

Au-delà de la fiche D&B, il faut croiser les informations avec les registres officiels (SIREN, numéro de TVA intracommunautaire, Kbis). Si un fournisseur ou un partenaire vous contacte en citant votre D-U-N-S no dans un contexte inhabituel, la vérification par un canal indépendant reste le réflexe le plus fiable.

Règles internes et conformité documentaire

L’usurpation du D-U-N-S no exploite souvent une faille organisationnelle plutôt que technique. Les entreprises qui formalisent des règles de vérification systématique des identifiants dans leurs processus achats et facturation réduisent leur exposition. Cela passe par des exigences précises :

  • Demander systématiquement un document officiel (Kbis, extrait RCS) en complément du D-U-N-S no lors de l’entrée en relation avec un nouveau partenaire
  • Vérifier que le D-U-N-S communiqué correspond bien à l’entité juridique avec laquelle le contrat est signé, et pas à une filiale ou une entité homonyme
  • Restreindre en interne le nombre de personnes habilitées à transmettre le D-U-N-S no de l’entreprise à des tiers, pour limiter la diffusion non contrôlée de cet identifiant

Deux associés examinant des documents d'enregistrement d'entreprise pour sécuriser leur numéro DUNS en réunion

Limites actuelles de la protection du D-U-N-S no en France

Le cadre juridique français sanctionne l’usurpation d’identité d’entreprise, mais les textes visent principalement le SIREN, le RCS et les mentions légales obligatoires. Le D-U-N-S no ne bénéficie pas d’une protection réglementaire spécifique en droit français, ce qui complique les recours en cas de fraude ciblant cet identifiant.

D&B, en tant qu’acteur privé, gère l’attribution et la mise à jour des numéros selon ses propres procédures. Les données disponibles ne permettent pas de conclure sur l’efficacité réelle de ces procédures face à des tentatives d’usurpation organisées. La loi du 25 juin 2026 relative à la lutte contre les fraudes sociales et fiscales renforce certains dispositifs de contrôle, mais son périmètre ne couvre pas directement les identifiants commerciaux privés comme le D-U-N-S.

Pour les entreprises qui opèrent à l’international, cette lacune crée une zone grise. Le D-U-N-S no sert de référence dans des appels d’offres, des demandes de crédit et des vérifications de conformité, sans que son titulaire dispose d’outils juridiques équivalents à ceux qui protègent les identifiants publics. La vigilance sur les données associées à ce numéro, combinée à des règles internes strictes, reste pour l’instant la principale ligne de défense.

D'autres articles