BEC Business Email Compromise.

Le BEC est une attaque d'ingénierie sociale ciblée qui usurpe l'identité d'un dirigeant ou d'un fournisseur pour détourner un paiement ou amener un collaborateur à l'approuver. Aucun malware n'est requis ; le pretexting suffit. La perte moyenne par incident dépasse celle d'une attaque par ransomware. Les contrôles de processus (séparation des tâches, vérification par rappel téléphonique) permettent de le détecter ; la technologie seule ne suffit pas.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La vision de Cyber Academy

Le BEC est une attaque d'ingénierie sociale ciblée qui usurpe l'identité d'un dirigeant ou d'un fournisseur pour détourner un paiement ou amener un collaborateur à l'approuver. Aucun malware n'est requis ; le pretexting suffit. La perte moyenne par incident dépasse celle d'une attaque par ransomware. Les contrôles de processus (séparation des tâches, vérification par rappel téléphonique) permettent de le détecter ; la technologie seule ne suffit pas.

Ce qui distingue le BEC du phishing ordinaire

La fraude au président, ou Business Email Compromise, repose sur le prétexte plutôt que sur une charge malveillante. L'attaquant n'a besoin ni d'un lien malveillant ni d'une pièce jointe qui installe un logiciel malveillant. Il lui faut une histoire plausible, un sentiment d'urgence et une victime ayant l'autorité de déplacer des fonds ou des données. Un domaine usurpé ou ressemblant, une boîte aux lettres compromise ou une adresse fraîchement enregistrée qui imite un fournisseur connu suffisent à planter le décor. Comme rien de techniquement malveillant ne transite, les passerelles de messagerie sécurisées, les antivirus et les sandbox de liens laissent fréquemment passer le message. L'attaque vit entièrement dans la conversation.

C'est pourquoi le BEC se situe à côté du phishing dans la même famille tout en se comportant différemment en pratique. Le phishing générique est un large filet jeté pour récolter des identifiants ou des clics. Le BEC est patient et ciblé : l'attaquant étudie l'organigramme, identifie qui approuve les factures, observe le ton des échanges internes et attend un moment crédible, comme une acquisition, une transaction immobilière ou un directeur financier en déplacement à l'étranger. Le gain est un unique virement frauduleux ou un dépôt de paie redirigé, souvent pour un montant élevé, plutôt qu'un mot de passe récupéré.

Les variantes courantes que rencontrent les praticiens

Le BEC est une catégorie, pas une seule astuce. La même logique de prétexte est réutilisée contre n'importe quel processus qui déplace de la valeur au sein de l'organisation.

  • Fraude au président : un attaquant se fait passer pour un cadre dirigeant et pousse un employé du service financier à exécuter un virement urgent et confidentiel, en s'appuyant sur la hiérarchie et la discrétion pour décourager les questions.
  • Fraude au fournisseur, aussi appelée détournement de facture : un fournisseur de confiance semble envoyer par e-mail de nouvelles coordonnées bancaires, de sorte que la prochaine facture légitime est payée sur le compte de l'attaquant.
  • Détournement de paie : un employé semble demander un changement de compte de destination de son salaire, redirigeant discrètement sa propre paie vers le fraudeur.
  • Prise de contrôle de compte : une véritable boîte aux lettres interne est compromise, de sorte que la demande frauduleuse arrive depuis une adresse authentique avec un historique authentique, ce qui supprime la plupart des signaux d'alerte habituels.
  • Usurpation d'avocat ou de juriste : le prétexte s'appuie sur une transaction confidentielle et urgente où le secret est attendu et où la vérification semble déplacée.

Pourquoi le processus l'emporte ici sur la technologie

L'authentification des e-mails aide. SPF, DKIM et DMARC augmentent le coût de l'usurpation pure et simple de domaine et doivent être déployés. Mais ils ne font rien contre un domaine ressemblant, une adresse de messagerie web gratuite ou une boîte aux lettres interne réellement compromise, qui sont les canaux les plus utilisés par le BEC réel. Les contrôles décisifs sont procéduraux, détenus par les services financiers et opérationnels plutôt que par l'outillage de sécurité.

  • Séparation des tâches afin qu'aucune personne seule ne puisse à la fois demander et libérer un paiement.
  • Vérification par rappel hors bande : confirmer toute coordonnée bancaire nouvelle ou modifiée, et tout virement inhabituel, en utilisant un numéro de téléphone déjà connu, jamais un numéro ou un contact fourni à l'intérieur de la demande elle-même.
  • Une règle stricte selon laquelle l'urgence et la confidentialité ne contournent jamais le circuit d'approbation standard ; ces deux émotions sont les outils de l'attaquant.
  • Des seuils de double autorisation pour les virements et les changements de coordonnées bancaires des fournisseurs.

La place du BEC dans le paysage réglementaire

Le BEC est une cause majeure de pertes financières liées à la messagerie, ce qui le place pleinement dans le périmètre qu'un système de management de la sécurité de l'information est censé traiter. Sous un SMSI ISO 27001, le traitement pertinent associe sensibilisation, contrôles des relations fournisseurs et procédures opérationnelles qui régissent les paiements. Lorsque le BEC réussit et que des données personnelles sont exposées, par exemple via une boîte aux lettres compromise pleine de correspondance, il peut aussi déclencher des obligations de violation de données personnelles au titre du RGPD, raison pour laquelle le plan de réponse doit impliquer le juridique et la fonction de protection des données, et pas seulement la finance et l'informatique.

Pour les praticiens, l'enseignement est que la défense contre le BEC est une responsabilité partagée. La sécurité détient l'authentification des e-mails, la surveillance et la sensibilisation. La finance détient les contrôles de paiement qui arrêtent réellement la fraude. Le traiter comme un problème purement technique à résoudre par une meilleure passerelle est l'erreur qui entretient les pertes.

Frequently asked questions

01En quoi le BEC diffère-t-il du phishing ?

Le BEC est un sous-type ciblé de phishing axé sur le prétexte plutôt que sur une charge malveillante. Le phishing générique jette un large filet pour récolter des identifiants ou des clics, tandis que le BEC étudie une organisation précise et usurpe l'identité d'un dirigeant ou d'un fournisseur connu pour rediriger un paiement. Le BEC ne comporte généralement aucun lien ni aucune pièce jointe malveillante, de sorte que les filtres techniques le manquent souvent.

02Pourquoi les passerelles de sécurité de messagerie passent-elles à côté du BEC ?

Parce qu'il n'y a fréquemment rien de techniquement malveillant à détecter. Un domaine ressemblant, un compte de messagerie web gratuit ou une boîte aux lettres interne réellement compromise peuvent envoyer un message irréprochable, sans lien ni pièce jointe. L'authentification comme DMARC arrête l'usurpation mais pas ces canaux, de sorte que les contrôles décisifs sont procéduraux.

03Quel contrôle unique arrête la plupart des fraudes BEC ?

La vérification par rappel hors bande. Avant de payer un compte bancaire nouveau ou modifié, ou d'exécuter tout virement inhabituel, confirmez l'instruction par téléphone en utilisant un numéro déjà connu, jamais une coordonnée de contact fournie à l'intérieur de la demande elle-même.

04Le BEC est-il une violation de données à notifier ?

Cela peut l'être. Si une boîte aux lettres compromise expose des données personnelles, le BEC peut déclencher des obligations de violation de données personnelles au titre du RGPD. Le plan de réponse doit impliquer le juridique et la fonction de protection des données aux côtés de la finance et de l'informatique.

05Le MFA empêche-t-il le BEC ?

Le MFA, idéalement un MFA résistant au phishing, aide à prévenir la variante de prise de contrôle de compte où une véritable boîte aux lettres est détournée. Il ne fait rien contre les domaines ressemblants ou l'usurpation externe, il doit donc être associé à des contrôles du processus de paiement.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.