Fraude au président et compromission d’e-mails professionnels
Certaines des arnaques les plus coûteuses n'impliquent ni virus ni piratage. Elles reposent sur une simple ruse : convaincre un employé qu'une demande urgente provient d'un dirigeant ou d'un fournisseur de confiance. C'est ce qu'on appelle la fraude au président, ou plus largement la compromission d'e-mails professionnels (BEC).
Qu'est-ce que la fraude au président et le BEC ?
La compromission d'e-mails professionnels est une arnaque où un criminel se fait passer pour une personne de confiance de votre entreprise — un dirigeant, un fournisseur, un avocat ou un collègue — afin de pousser un employé à effectuer un virement ou à divulguer des informations sensibles.
La fraude au président en est une variante bien connue. L'escroc se fait passer pour le PDG ou un autre dirigeant et demande à un collaborateur — souvent au service financier ou aux ressources humaines — d'effectuer un paiement urgent ou d'envoyer des données confidentielles.
Contrairement au phishing de masse, ces attaques sont ciblées et personnalisées. Elles ne contiennent généralement ni lien ni pièce jointe dangereuse, ce qui leur permet d'échapper aux filtres anti-spam et de prendre les gens au dépourvu.
Comment l'arnaque se déroule
Les criminels se documentent souvent au préalable, en lisant les informations publiques de votre site, de vos réseaux sociaux et de vos communiqués pour paraître crédibles. Une attaque type ressemble à ceci :
- Un e-mail arrive, semblant provenir du PDG, avec son nom et son style d'écriture.
- Il joue sur l'urgence et le secret : « Je suis en réunion, il faut régler cela vite et discrètement. »
- La demande consiste à effectuer un virement, à modifier les coordonnées bancaires d'un fournisseur, ou à envoyer des documents comme des données de paie.
- Des messages de relance exercent une légère pression pour que l'employé ne prenne pas le temps de vérifier.
La volonté de satisfaire un dirigeant, combinée à un délai serré, est ce qui rend cette arnaque si efficace.
Variantes courantes
- Fausse facture — l'e-mail d'un fournisseur est usurpé pour demander un paiement vers un nouveau compte.
- Détournement de salaire — un message se fait passer pour un employé souhaitant modifier son RIB.
- Arnaque aux cartes cadeaux — un « patron » demande d'acheter des cartes cadeaux et d'en envoyer les codes.
Les signaux d'alerte
On repère la plupart de ces attaques en s'attardant sur quelques détails :
- Un changement de ton, une formulation inhabituelle, ou une adresse e-mail légèrement différente.
- Une demande qui contourne les procédures habituelles — « juste cette fois, sautez la validation. »
- Une pression pour agir vite et discrètement, qui vous décourage de vérifier auprès d'autrui.
- Toute modification de coordonnées bancaires ou de paiement, surtout à la dernière minute.
- Une adresse de réponse qui ne correspond pas tout à fait à l'expéditeur.
Des habitudes simples pour s'en prémunir
La technologie aide, mais de bonnes habitudes restent votre meilleure défense :
- Vérifiez par un autre canal. Pour tout paiement ou changement de RIB, confirmez par téléphone ou en personne via un numéro connu — jamais en répondant à l'e-mail.
- Appliquez la double validation. Exigez l'accord d'une seconde personne pour les paiements au-delà d'un certain montant.
- Ralentissez face à l'urgence. Traitez le « urgent et confidentiel » comme une raison de vérifier, pas de se précipiter.
- Confirmez les changements de coordonnées bancaires avec le fournisseur via un contact établi.
- Rendez la question légitime. Chacun doit se sentir libre de remettre en question une demande, même venant de la direction.
Si quelque chose vous semble anormal
Faites confiance à votre instinct. Il est tout à fait acceptable de suspendre un paiement et de vérifier avant d'agir. Si vous soupçonnez une arnaque, contactez sans délai vos services financier et informatique — et si de l'argent a déjà été envoyé, alertez immédiatement votre banque, car une réaction rapide permet parfois de récupérer les fonds.
Comment GottaPhish aide
La fraude au président et le BEC misent sur l'urgence et l'usurpation d'identité pour pousser les employés à valider un paiement avant de vérifier — et GottaPhish, avec son équipe d'experts, vous aide à répondre précisément à ce risque. Nos simulations réalistes reproduisent les techniques d'urgence et d'usurpation réellement utilisées par les criminels, afin que chacun apprenne à s'arrêter et à vérifier avant d'agir, appuyées par une sensibilisation concrète et des tableaux de bord montrant où votre organisation est la plus exposée. Notre équipe support et experts vous accompagne concrètement pour concevoir des scénarios crédibles, paramétrer les campagnes et interpréter les résultats, transformant un angle mort coûteux en une équipe confiante et bien préparée.
