Skip to content
CyberCosts

Fraude au président et BEC : l'escroquerie banale qui vide les comptes des PME

Le BEC est la perte cyber la plus fréquente qu'une PME rencontrera réellement. Comment l'arnaque fonctionne, pourquoi la MFA seule ne suffit pas, et le peu d'argent que vous récupérez.

Publié le 6 min de lecture
fraude au présidentBECcompromission email professionnelvirement frauduleuxPME

La plupart des PME ne se feront jamais attaquer par un État. Elles se feront avoir par une facture.

La compromission de messagerie professionnelle, le BEC, c'est l'attaque la moins spectaculaire du catalogue et, pour une PME typique, celle qui a le plus de chances de coûter vraiment de l'argent cette année. Pas de note de rançon. Pas de serveurs chiffrés. Pas de couverture au JT. Juste un comptable qui a réglé une facture parfaitement crédible sur un compte qui s'est avéré appartenir à quelqu'un à l'autre bout du monde, et un virement parti avant que personne ne s'en aperçoive.

Les rapports IC3 du FBI placent le BEC tout en haut de chaque tableau de pertes annuelles, année après année, devant le ransomware en dollars déclarés. Il reste là parce que ça marche, que ça passe à l'échelle, et que ça ne demande quasiment aucune sophistication technique.

Comment l'arnaque fonctionne vraiment

Les mécaniques sont ennuyeuses, et c'est tout l'intérêt. L'ennuyeux ne déclenche pas d'alarme.

Un attaquant entre dans une boîte mail, en général via un mot de passe hameçonné ou un identifiant acheté issu d'une fuite antérieure. Il ne fait rien de bruyant. Il s'installe. Il lit. Il crée une règle de boîte de réception qui transfère ou supprime automatiquement certains messages, pour que le vrai titulaire ne voie jamais le fil. Il apprend comment l'entreprise parle : qui valide les paiements, quel fournisseur est en cours de chantier, à quoi ressemble vraiment une facture de la compta, la formule de validation du directeur financier.

Puis il attend le bon moment. Une vraie facture arrive d'un vrai fournisseur. L'attaquant, qui lit désormais la boîte du fournisseur ou l'usurpe de façon convaincante, répond sur le fil existant : « nous avons changé de banque, merci de mettre à jour nos coordonnées pour ce paiement ». Même logo. Même signature. Bonne référence de dossier. Le changement de compte est toute l'attaque, et il est enfoui dans une conversation par ailleurs totalement authentique.

L'autre variante classique, c'est la fraude au président. Un message du « PDG », souvent calé sur un moment où on le sait en déplacement, qui demande à la compta de passer un paiement urgent et confidentiel pour une acquisition ou un acompte. Pression plus autorité plus secret. Des gens qui ne se feraient jamais avoir par un mail d'arnaque grossier virent six chiffres parce que le patron l'a demandé et qu'il aurait été gênant de mettre en doute.

Il n'y a aucune charge utile à détecter. C'est pour ça que votre antivirus et votre outil de protection des postes ne voient rien.

Pourquoi la MFA aide sans régler le problème

L'authentification multifacteur est le meilleur contrôle contre la prise de contrôle de compte qui amorce la plupart des BEC, et vous devriez l'avoir absolument partout. Les données de Microsoft la créditent de bloquer l'écrasante majorité des attaques automatisées sur les identifiants, et les identifiants volés sont le point d'entrée d'une large part des fuites. Dans notre modèle, la MFA réduit la fréquence du BEC d'environ 30 %. Notez le mot fréquence. Elle réduit la fréquence à laquelle un attaquant entre dans la boîte mail au départ.

Elle ne touche pas la variante par usurpation, où l'attaquant n'a jamais besoin de votre compte. Un domaine sosie (votre-entreprise.co au lieu de .com, ou un domaine fournisseur quasi identique) passe la MFA sans problème, parce que personne ne s'est connecté à quoi que ce soit chez vous. Et la fatigue MFA et les kits d'hameçonnage en adversaire au milieu contournent désormais les seconds facteurs faibles, ce qui explique pourquoi je pousse les facteurs résistants à l'hameçonnage là où circule l'argent.

Le vrai correctif au BEC n'est pas technique du tout. C'est une règle de processus qu'aucun mail urgent ne peut outrepasser : tout changement de coordonnées bancaires, ou tout paiement au-dessus d'un seuil, est vérifié hors bande. Vous appelez le fournisseur sur un numéro que vous aviez déjà, pas celui de la signature du mail. Vous confirmez la demande du PDG par un second canal. C'est de la friction, les équipes finance détestent ça, et ça stoppe net l'attaque parce que la fraude vit entièrement à l'intérieur d'un seul canal compromis. Cassez l'hypothèse du canal unique et tout l'édifice s'effondre.

L'argent est en général perdu

C'est la partie qui surprend. Le BEC a une économie de récupération désastreuse.

Les fonds sont virés sur un compte receveur, puis quasi immédiatement fractionnés et déplacés via des mules, souvent convertis en cryptos ou poussés au-delà des frontières en quelques heures. Il n'y a pas de logiciel malveillant à nettoyer après, mais il n'y a pas non plus de déchiffreur à racheter pour récupérer ce que vous avez perdu. L'argent est simplement parti.

Votre seule vraie fenêtre, c'est la vitesse. Si vous le repérez le jour même, un signalement de fraude à votre banque peut parfois déclencher un rappel ou un gel avant que l'argent ne soit dispersé, et les autorités (IC3 aux États-Unis, votre plateforme nationale en Europe) peuvent occasionnellement aider à récupérer. Le jour même, ça compte. Deux jours plus tard, l'attente réaliste, c'est que vous passez la perte en charge.

Dans notre calibrage PME, la perte BEC de base s'ancre autour de 46 000 € et croît plus faiblement avec le chiffre d'affaires que les coûts de première partie, parce que la fraude au virement est bornée par ce que l'attaquant peut faire valider de façon plausible en une fois, pas par la taille de votre parc informatique. Pour une petite structure, ça peut quand même faire la différence entre une bonne et une mauvaise année.

Ce que je ferais concrètement

Si vous faites trois choses, faites celles-là. Activez la MFA partout, de préférence résistante à l'hameçonnage là où les paiements sont validés. Écrivez une règle obligatoire de vérification hors bande pour tout changement de coordonnées bancaires ou paiement important, et faites en sorte qu'un comptable junior se sente en droit de l'appliquer face à un mail « du PDG ». Et formez spécifiquement la finance au coup du changement de banque, parce que c'est celui qui passe.

Vous pouvez voir comment le BEC se compare aux autres pertes pour votre secteur et votre taille dans le calculateur, et la méthodologie montre la source derrière chaque chiffre cité ici. Le BEC fait rarement la une. Il vide juste les comptes en silence, ce qui, pour la plupart des PME, est la menace qui devrait les empêcher de dormir.

Articles liés

Combien une PME doit-elle investir en cybersécurité ?
Oubliez la règle du pourcentage du budget informatique. Une façon pratique de dimensionner un budget sécurité de PME face au risque réel, et quels contrôles donnent le plus de réduction par euro.
budget sécuritéPMEgestion du risqueMFA
Assurance cyber pour une PME : est-ce que ça vaut le coup ?
Ce que l'assurance cyber couvre vraiment, ce qu'elle coûte, les exclusions qui mordent au moment du sinistre, et comment décider si votre PME en a besoin ou peut s'auto-assurer.
assurance cyberPMEtransfert de risqueransomware
Le coût de l'arrêt d'activité : la perte cyber que personne ne met sur la facture
L'interruption d'activité est souvent la plus grosse ligne d'un incident cyber, et celle que les PME estiment le plus mal. Comment chiffrer une heure d'arrêt.
interruption d'activitéarrêtransomwareplan de reprise