Le piratage des e-mails professionnels (BEC) est l'une des cyberattaques les plus coûteuses auxquelles une entreprise puisse être confrontée, et l'une des moins bien comprises. Contrairement aux ransomwares, qui se manifestent de manière ostensible, le BEC opère en silence, souvent pendant des semaines, voire des mois, en exploitant la confiance plutôt que la technologie pour dérober de l'argent et des données.
Selon le rapport Kaseya 2026 sur la situation des MSP, 44 % des MSP indiquent qu'au moins 10 % de leurs clients ont été victimes d'une cyberattaque en 2025, et les attaques de type BEC figurent régulièrement parmi les types d'attaques les plus courants et les plus coûteux à l'origine de ces incidents.
Le Centre de signalement des crimes sur Internet (IC3) du FBI classe régulièrement le BEC parmi les catégories de cybercriminalité les plus coûteuses. Le FBI a intitulé son avis sur le BEC « L'arnaque à 55 milliards de dollars », en référence aux pertes mondiales cumulées entre octobre 2013 et décembre 2023. En 2024, les plaintes liées au BEC ont entraîné 2,77 milliards de dollars de pertes ajustées rien qu’aux États-Unis, pour 21 442 incidents signalés. L’attaque fonctionne parce qu’elle est d’une simplicité trompeuse : pas de logiciel malveillant, pas de cryptage, pas d’exploit technique, juste un e-mail convaincant provenant d’une personne en qui vous avez confiance.
Mettez fin aux attaques BEC avant qu'elles ne vous coûtent cher
Kaseya INKY chaque e-mail en le comparant aux schémas de communication de votre organisation, signalant ainsi les tentatives d'usurpation d'identité et les demandes anormales qui échappent aux filtres traditionnels.
Qu'est-ce qu'une attaque par usurpation d'adresse e-mail professionnelle ?
Le BEC est une attaque frauduleuse dans laquelle un cybercriminel utilise un e-mail d'apparence légitime, provenant d'un compte piraté, d'un domaine usurpé ou d'un contact dont l'identité a été usurpée, afin de tromper une personne disposant d'un pouvoir de décision en matière financière ou de gestion des données et de l'inciter à effectuer une action préjudiciable. Cette action consiste généralement en un paiement frauduleux, un transfert de données sensibles ou la divulgation d'identifiants permettant d'obtenir un accès supplémentaire.
Ce qui distingue le BEC du phishing classique, ce sont le ciblage et l'objectif. Le phishing de masse vise à récupérer des identifiants à grande échelle. Le BEC cible des personnes spécifiques au sein d'une organisation donnée et vise à générer un gain financier immédiat, généralement sous la forme d'un virement bancaire, de l'achat de cartes-cadeaux, du détournement de salaires ou de la modification des coordonnées bancaires.
Le BEC est parfois appelé « compromission de compte de messagerie » (EAC) lorsque l'attaque implique la compromission effective d'un compte réel plutôt qu'une usurpation d'identité ou une falsification. Ces deux termes désignent la même catégorie de menaces et le même risque financier.
Comment fonctionnent les attaques BEC
Les attaques de type BEC suivent une approche structurée. Les pirates commencent par étudier l'organisation ciblée, identifiant les principaux responsables des services financiers, de la comptabilité, des ressources humaines et de la direction générale à partir de LinkedIn, des sites web de l'entreprise et des réseaux sociaux. Ils cartographient les relations hiérarchiques : qui rend compte à qui, qui approuve les paiements, qui a le pouvoir de modifier les détails des paiements.
L'accès initial peut se faire par le biais d'une attaque par hameçonnage qui compromet un compte de messagerie authentique, ou par l'usurpation de domaine qui permet de créer une adresse e-mail visuellement similaire à la véritable (par exemple, [email protected] au lieu de [email protected]). Une fois qu'ils ont pris le contrôle d'un compte légitime, les pirates surveillent souvent discrètement les e-mails pendant des semaines, afin de repérer les habitudes de communication, les transactions en cours et le style d'écriture de la personne dont ils usurpent l'identité avant de passer à l'action.
L'attaque elle-même prend souvent la forme d'un simple e-mail envoyé au bon moment : « Veuillez mettre à jour les coordonnées bancaires pour la facture Smith en utilisant les informations suivantes » ou « Pouvez-vous effectuer de toute urgence un virement bancaire pour cette acquisition ? Je suis en réunion toute la journée. » La combinaison d'une apparence d'autorité, d'un sentiment d'urgence et d'un contexte précis rend la demande crédible. Le délai entre l'envoi de l'e-mail et la découverte de la fraude est souvent suffisant pour que les fonds soient transférés sans possibilité de les récupérer.
Les cinq scénarios du BEC
Le FBI distingue cinq principaux types d'attaques BEC :
La fraude au nom du PDG consiste à se faire passer pour un cadre supérieur afin de faire pression sur un employé pour qu'il effectue un virement frauduleux ou divulgue des informations sensibles. La demande est généralement formulée lorsque le cadre est en déplacement ou indisponible pour vérifier la véracité de l'information.
Le piratage de compte consiste en la prise de contrôle effective d'un compte de messagerie professionnel utilisé pour solliciter des paiements frauduleux auprès des fournisseurs ou des clients du titulaire dudit compte. Contrairement à l'usurpation d'identité, l'e-mail provient bien du compte authentique.
Cette arnaque aux fausses factures consiste à se faire passer pour un fournisseur et à demander le virement d'un paiement sur un nouveau compte bancaire, afin de détourner un paiement légitime qui était attendu.
L'usurpation d'identité d'un avocat consiste à se faire passer pour un conseiller juridique afin d'exiger des informations confidentielles ou un paiement urgent en rapport avec une affaire judiciaire en cours, en tirant parti de la relation de pouvoir inhérente à la relation juridique.
Le vol de données vise les services des ressources humaines ou financiers afin d'obtenir les déclarations fiscales des employés, des informations sur les salaires ou des données personnelles. Il s'agit souvent d'un prélude à d'autres fraudes ou à un vol d'identité, plutôt que d'un transfert financier immédiat.
Pourquoi le BEC est-il si difficile à détecter ?
Le BEC contourne la plupart des contrôles de sécurité traditionnels, car il repose sur l'ingénierie sociale plutôt que sur des logiciels malveillants. Les filtres de sécurité des e-mails ne signalent pas un message provenant d'un compte légitime qui a été piraté. Aucune pièce jointe ni aucun lien malveillant ne déclenche la protection des terminaux. D'un point de vue purement technique, la communication ressemble à un e-mail professionnel tout à fait normal.
Le défi en matière de détection est d'ordre comportemental : il s'agit de reconnaître qu'une demande ne correspond pas au déroulement normal des processus métier, que l'urgence est inhabituelle ou qu'une modification d'instruction de paiement est transmise par un canal atypique. Il s'agit là de jugements humains, et non techniques, ce qui explique pourquoi le BEC reste efficace même dans des environnements techniquement sophistiqués.
Le BEC assisté par l'IA complique la tâche. Les pirates ont désormais recours à l'IA pour générer des messages qui reproduisent fidèlement le style d'écriture d'une personne, en s'appuyant sur le contexte réel tiré des échanges d'e-mails surveillés. Les indices qu'un lecteur attentif aurait pu repérer auparavant, comme des tournures légèrement inhabituelles ou un langage trop générique, sont de plus en plus rares dans les tentatives de BEC actuelles.
Comment se protéger contre les attaques BEC
Authentification des e-mails. Les politiques DMARC, DKIM et SPF empêchent l'usurpation de domaine. Une politique DMARC configurée pour rejeter les e-mails empêche les attaquants d'envoyer des messages qui semblent provenir de votre domaine. Cela permet de contrer le vecteur d'usurpation d'identité, mais pas celui de la compromission de compte, d'où la nécessité de mettre en place des contrôles à plusieurs niveaux.
Sécurité des e-mails basée sur l'IA. Des solutions telles qu'Inky, intégrées à Kaseya 365 , utilisent l'IA pour analyser les schémas de communication par e-mail et signaler les anomalies : messages provenant de nouveaux expéditeurs se présentant comme des dirigeants, demandes s'écartant des schémas de communication habituels, ou caractéristiques correspondant à des profils de BEC connus. Contrairement aux filtres basés sur les signatures, l'analyse comportementale détecte les demandes inhabituelles dans leur contexte, même lorsqu'elles proviennent de sources d'apparence légitime.
Contrôles des processus pour les transactions financières. La mesure de protection la plus efficace contre la fraude aux paiements dans le cadre du BEC réside dans un contrôle humain des processus : une vérification hors ligne par téléphone vers un numéro connu, et non vers celui indiqué dans l'e-mail suspect, avant toute modification d'une instruction de paiement ou tout virement bancaire d'un montant important. Aucune autorisation par e-mail uniquement pour les transactions financières dépassant un seuil défini.
Formation des employés. Le personnel des services financiers et les assistants de direction, qui constituent les principales cibles des attaques BEC, ont besoin d’une formation spécifique sur les scénarios BEC et les procédures de vérification à suivre lorsqu’ils reçoivent des demandes de paiement inhabituelles. Les formations générales de sensibilisation au phishing ne couvrent pas les scénarios spécifiques aux attaques BEC utilisés par les pirates.
Surveillance du dark web. Les identifiants compromis permettant le détournement de comptes (BEC) apparaissent souvent sur les forums du dark web avant que les attaquants ne les utilisent. Dark Web ID, disponible via Kaseya, surveille en permanence les identifiants de votre domaine et émet une alerte précoce permettant de réinitialiser les mots de passe avant que les comptes ne soient piratés.
Authentification à plusieurs facteurs (MFA) sur tous les comptes de messagerie. Pour qu'une attaque de type « Business Email Compromise » (BEC) aboutisse, il faut avoir accès au compte piraté. L'authentification à plusieurs facteurs empêche le vol d'identifiants de permettre cet accès. Même si un pirate parvient à obtenir le mot de passe par hameçonnage ou par « credential stuffing », il ne peut pas se connecter sans le deuxième facteur d'authentification.
Découvrez comment Kaseya 365 lutte contre le BEC grâce à la sécurité des e-mails basée sur l'IA et à la surveillance du dark web.
Points clés à retenir
- Le BEC figure parmi les catégories de cybercriminalité les plus coûteuses en termes de pertes financières totales, causant chaque année des milliards de dollars de dommages par le biais de la fraude plutôt que d'exploitations techniques. Le montant cumulé avancé par le FBI pour la période 2013-2023 s'élève à 55 milliards de dollars.
- Le BEC contourne les contrôles de sécurité techniques, car il utilise des comptes de confiance ou des usurpations d'identité convaincantes plutôt que des logiciels malveillants ou des pièces jointes malveillantes.
- Les mesures de protection les plus efficaces associent des contrôles techniques (DMARC, sécurité des e-mails basée sur l'IA, authentification multifactorielle) à des contrôles de processus (vérification hors bande pour les transactions financières) et à une formation ciblée des employés.
- L'IA rend les attaques de type BEC plus difficiles à détecter en générant des usurpations d'identité parfaitement adaptées au contexte. La détection repose de plus en plus sur la reconnaissance des anomalies comportementales plutôt que sur l'analyse du contenu.
