Le Business Email Compromise coûte de plus en plus cher aux entreprises : d’après l’IC3 Report du FBI, ce sont 1,7 milliards de dollars qui ont été dérobés de cette manière en 2019. En 2020 ce chiffre est monté à 1,8 milliards de dollars, soit 61% d’augmentation depuis 2016. Ces chiffres ne tiennent compte que des cas portés à la connaissance des autorités : le montant réel des pertes à déplorer est indubitablement plus élevé.
La crise sanitaire du COVID-19 a provoqué une utilisation massive de cette technique de fraude et les entreprises sont de plus en plus exposées. Qu’est-ce que le business email compromise (BEC) exactement et comment s’en protéger ?
Qu’est ce que le Business Email Compromise ?
Le BEC ou la compromission d’email en français, est le recours à des emails frauduleux pour mener une attaque informatique sur une entreprise. Ces mails ont pour but de pousser les destinataires à faire des virements bancaires ou à transmettre des données sensibles aux fraudeurs. Ils peuvent contenir une URL ou une pièce jointe utilisée pour subtiliser ces données ou bien introduire un virus ou des logiciels malveillants.
Ces mails frauduleux sont souvent envoyés à partir d’une adresse proche de celle du PDG ou d’une personne élevée dans la hiérarchie de l’entreprise. Ils revêtent également un caractère d’urgence et de confidentialité.
Business Email Compromise : quel est son mode de fonctionnement ?
Le but de ce type d’email est de faire croire à son destinataire qu’il provient de son chef d’entreprise ou d’un directeur financier. Le fraudeur opère de la manière suivante :
- Il mène des recherches poussées sur l’entreprise : identifier la victime, ses supérieurs ainsi que le moment le plus propice à l’arnaque.
- Il rédige ensuite le mail en usurpant l’identité d’un membre élevé dans la hiérarchie de l’entreprise. Il demande à sa victime de transférer une somme d’argent sur un compte bancaire dont il fournit les coordonnées, ou bien de transmettre des informations à caractère personnel sur les employés.
En 2019, selon l’IC3 Report du FBI, 21% des victimes de BEC n’ont jamais récupéré les fonds extorqués.
Les différents type d’arnaque BEC
Les BEC comprennent tous les types de cyberfraude par email et font souvent appel à l’usurpation d’identité :
- Le phishing et le spearphishing : une tentative d’escroquerie pour extorquer de l’argent, parfois en se faisant passer pour quelqu’un de connu de la victime.
- La fraude au président : l’usurpation d’identité d’un supérieur hiérarchique pour piéger la victime.
- Le spoofing ou l’utilisation d’une adresse email ressemblant à s’y méprendre à une adresse email connue de la victime.
Quel est l’impact concret du BEC en entreprise ?
MATTEL : 3 millions de dollars (2015)
Dans cette situation, le hacker a profité du changement de personnel pour lancer son attaque : se faisant passer pour le nouveau PDG, il a demandé à une cadre du service financier d’effectuer un virement pour le compte d’un fournisseur basé en Chine.
Heureusement pour Mattel, le jour choisi par le fraudeur pour mener son attaque était férié en Chine. L’entreprise a signalé l’arnaque à temps pour sauver ses 3 millions de dollars compromis.
NIKKEI : 29 millions de dollars (2019)
Cet exemple implique une fraude au faux fournisseur cette fois-ci : le pirate a compromis l’adresse email d’un fournisseur de Nikkei et obtenu d’un employé américain de l’entreprise un virement de 29 millions de dollars.
Le collaborateur n’avait aucune raison de se méfier : l’adresse email utilisée était pourtant bien connue.
BEC : comment s’en protéger ?
Pour protéger sa Direction financière d’un Business Email Compromise ainsi que ses clients, certaines actions sont incontournables pour toutes les entreprises :
- Les mots de passe et les codes doivent être toujours tenus secrets. Ils doivent être changés régulièrement et très difficiles à trouver.
- Toujours vérifier avec attention l’expéditeur de l’email : ne pas cliquer sur les liens ou ouvrir les pièces jointes avant d’avoir la certitude de l’identité de l’expéditeur.
- Mettre en place un système de double authentification pour confirmer toutes les requêtes, surtout quand elles comprennent un virement ou la communication de données sensibles.
Pour limiter les risques au maximum, il faut sensibiliser autant que possible ses salariés : les former à la cybersécurité est un élément essentiel de protection de l’entreprise.
Trustpair, la solution pour automatiser les contrôles
Le Business Email Compromise mise sa réussite sur l’erreur humaine et la flexibilité des processus de contrôle. Malgré toute la sensibilisation et les vérifications possibles, cette marge d’erreur est inhérente à toute entreprise.
Pour y remédier, Trustpair permet de vérifier automatiquement le couple Coordonnées bancaires <> Identifiant d’entreprise de vos tiers et audit en continu les données du référentiel tiers pour garantir des informations fiables et sécurisées en temps réel.
Cette multiplication des points de contrôles tout au long du processus Procure to Pay protège l’entreprise contre les tentatives de fraudes et permet aux Directions financières d’assurer la sécurité forte de leurs paiements.
POINT À RETENIR
- Le Business Email Compromise est une attaque informatique se servant d’emails frauduleux afin de pousser les destinataires de ces mails à faire des virements bancaires ou à transmettre des données sensibles.
- La crise sanitaire du COVID-19 a augmenté l’utilisation de cette technique de fraude.
- Le phishing, le spoofing ou encore l’arnaque au président sont des attaques BEC.
- Pour se protéger d’un BEC, certaines actions sont primordiales : mots de passe et codes confidentiels, vérification de l’expéditeur de l’email, mise en place d’un système à double authentification.
- Automatiser les contrôles avec Trustpair est un bon moyen pour contrer le Business Email Compromise.