Imaginez que vous receviez un courriel urgent du PDG de votre entreprise, exigeant un virement confidentiel et immédiat, et insistant sur les conséquences désastreuses en cas de retard. Vous vous exécutez rapidement, pour ensuite découvrir que votre chef n’a jamais envoyé ce courriel. Ce scénario inquiétant touche les entreprises du monde entier et leur coûte des millions.

Les tactiques d’usurpation d’identité étant de plus en plus convaincantes, il est plus important que jamais de reconnaître les signaux d’alerte et de comprendre le déroulement de ces attaques. Dans cet article, vous découvrirez quelles sont les cibles habituelles de la fraude au PDG, comment en reconnaître les signes et comment vous pouvez contribuer à protéger votre entreprise contre cette cybermenace.

Qu’est-ce que la fraude au PDG?

La fraude au PDG est une forme de harponnage, dans le cadre de laquelle les cybercriminels envoient un courriel ciblé provenant soi-disant du PDG d’une entreprise ou d’un autre cadre de haut niveau afin d’amener un collaborateur à transférer des fonds ou à divulguer des renseignements sensibles. Il s’agit d’une forme spécifique et extrêmement efficace d’une catégorie plus large d’attaques connues sous le nom de piratage de la messagerie en entreprise.

La fraude au PDG consiste essentiellement à exploiter la confiance et l’autorité associées aux dirigeants de l’entreprise, avec pour principal objectif d’en retirer un profit financier en trompant les employés des services financiers ou des ressources humaines pour qu’ils effectuent des virements électroniques non autorisés sur les comptes du cybercriminel. La définition de la fraude au PDG comprend également les escroqueries visant à dérober des renseignements précieux, telles que les dossiers fiscaux des employés ou des listes de clients, en vue de les vendre ou de les utiliser pour d’autres activités frauduleuses.

Fraude au PDG et harponnage de cadre supérieur : quelle différence?

Si la fraude au PDG et le harponnage de cadre supérieur sont tous deux des attaques d’ingénierie sociale très ciblées, ils diffèrent au niveau de leurs cibles et de leurs objectifs. La fraude au PDG consiste, pour un escroc, à se faire passer pour un cadre de haut niveau afin de tromper un employé et de l’amener à exécuter des actions non autorisées, comme virer de l’argent ou partager des renseignements confidentiels. L’employé est la cible de l’escroquerie.

En revanche, le harponnage de cadre supérieur, ou chasse à la baleine, est une forme d’hameçonnage qui vise directement les cadres supérieurs eux-mêmes ― c’est-à-dire, les baleines ou gros poissons. L’objectif d’une attaque de harponnage de cadre supérieur est de tromper le dirigeant pour qu’il révèle ses identifiants de connexion personnels ou des renseignements sensibles de l’entreprise, en vue de les utiliser pour mener des attaques plus importantes.

Des cyberattaques soigneusement élaborées

La fraude au PDG est une escroquerie soigneusement orchestrée qui fait appel à l’ingénierie sociale et à des astuces techniques. Elle commence généralement par une phase de reconnaissance, au cours de laquelle les escrocs étudient l’organigramme de l’entreprise, identifient les membres clés du service financier et analysent le style de communication du PDG.

Les cybercriminels usurpent ensuite l’adresse courriel du dirigeant pour faire croire que le message provient directement de celui-ci. La demande frauduleuse elle-même est conçue pour déjouer les soupçons en mettant l’accent sur l’urgence et la confidentialité. L’escroc peut prétendre qu’il s’occupe d’une fusion secrète ou d’un paiement fiscal urgent qui doit être traité immédiatement et sans discussion, ce qui pousse l’employé à agir avant d’avoir eu le temps de réfléchir ou de vérifier la demande.

Une escroquerie très rentable

Les fraudes au PDG sont de plus en plus fréquentes, car elles sont extrêmement rentables pour les cybercriminels et plus faciles à exécuter dans le monde numérique d’aujourd’hui. En outre, la dépendance à l’égard des modèles à distance et hybrides dans les environnements de travail modernes a involontairement créé de nouvelles vulnérabilités.

Par exemple, les anciennes méthodes de vérification rapide et informelle ― comme aller jusqu’au bureau de votre collègue ― ne sont plus toujours possibles, ce qui permet aux courriels frauduleux et urgents envoyés dans le cadre d’une fraude au PDG d’atteindre leur objectif sans être remis en question.

→ Pour aller plus loin : Les 9 escroqueries les plus courantes sur les médias sociaux — et comment les repérer avant qu’il ne soit trop tard

Les principales cibles de la fraude au PDG

Dans le cas de la fraude au PDG, les attaquants recherchent leurs victimes et établissent leur profil avec soin, en ciblant les personnes et les services les plus susceptibles d’avoir accès à des renseignements financiers sensibles ou d’être habilités à transférer de l’argent. Voici quelques exemples de cibles privilégiées pour la fraude au PDG. Si vous travaillez dans l’un des domaines suivants, pensez à faire preuve d’une vigilance accrue :

  • Personnel chargé des finances et des comptes créditeurs : ces employés constituent les cibles les plus courantes, car ils ont un accès direct aux fonds de l’entreprise et sont habilités à effectuer des paiements et des virements électroniques. Les cybercriminels tirent parti du fait que ces employés sont tenus de donner suite aux demandes des dirigeants, en particulier lorsqu’elles sont présentées comme urgentes.
  • Équipe des ressources humaines (RH) : les services des ressources humaines détiennent une grande quantité de données personnelles sur les employés, raison pour laquelle ils sont devenus des cibles privilégiées pour le vol de données. Les escrocs se font passer pour des cadres et demandent des informations sensibles sur les employés, telles que des fiches de paie, des formulaires fiscaux et d’autres informations personnelles identifiables susceptibles d’être utilisées pour commettre un vol d’identité et d’autres fraudes.
  • Assistants exécutifs et administratifs : ces personnes travaillent en étroite collaboration avec des cadres de haut niveau et sont souvent chargées de gérer des questions logistiques et financières à leur place, comme réserver des voyages ou acheter des fournitures. Les escrocs les ciblent en leur demandant d’acheter des cartes-cadeaux ou d’effectuer de petits paiements d’apparence légitime, mais qui sont en réalité frauduleux.
  • Nouveaux collaborateurs ou employés débutants : les nouveaux employés peuvent être moins au fait des protocoles de paiement de l’entreprise et plus désireux de paraître réactifs et serviables. Les cybercriminels profitent de ce manque d’expérience, en espérant que le nouvel employé répondra à une demande frauduleuse sans remettre en question sa légitimité.

Reconnaître les signaux d’alarme d’une fraude au PDG

Dans le cadre d’une fraude au PDG, le courriel est rédigé avec soin pour pousser un employé à paniquer et à commettre une erreur. Votre meilleure défense contre ce type d’escroquerie consiste dès lors à faire preuve de sang-froid, de lucidité et de vigilance. En apprenant à reconnaître les signaux d’alarme subtils et moins subtils, vous pouvez bloquer ces escroqueries. En outre, tous les collaborateurs, et pas seulement ceux du secteur financier, doivent recevoir une formation qui les sensibilisera aux signaux d’alerte suivants, qui trahissent souvent une demande malveillante.

  • Tactiques de mise sous pression — Le courriel insiste sur l’extrême urgence ou le caractère confidentiel. Des phrases telles que « J’ai besoin que cela soit fait maintenant », « Soyez discret » ou « Je suis en réunion et je ne peux pas parler » sont utilisées pour vous pousser à agir sans effectuer les vérifications qui s’imposent.
  • Demande inhabituelle — Le message demande d’effectuer une action qui n’est pas conforme aux procédures habituelles de l’entreprise. Il peut s’agir d’une demande de contournement d’une étape d’approbation requise, d’envoi de fonds vers un compte international inconnu ou d’achat de cartes-cadeaux.
  • Détails incorrects dans l’adresse courriel — Examinez attentivement l’adresse courriel de l’expéditeur. Les escrocs utilisent souvent un nom d’affichage qui semble correct, mais l’adresse réelle est un domaine public tel que @gmail.com ou une version légèrement mal orthographiée du domaine de votre entreprise, comme PDG@entreeprise.com.
  • Changement de ton ou de style — Le langage utilisé dans le courriel semble inapproprié. Il peut être trop formel ou trop informel par rapport au style de communication habituel du cadre, ou contenir des fautes de grammaire ou d’orthographe inhabituelles.
  • Restriction du canal de communication — L’expéditeur demande explicitement de ne pas le contacter par téléphone ou de ne pas parler de la demande à d’autres membres de l’entreprise, sous prétexte qu’il est occupé ou que l’affaire est hautement confidentielle. Cette tactique vise à vous empêcher de vérifier la légitimité de la demande.

Au-delà de l’argent : le coût réel de la fraude au PDG

La fraude au PDG est une menace mondiale qui a coûté des milliards aux entreprises. Les cas réels ci-dessous montrent que même des entreprises bien établies peuvent être victimes de tactiques d’ingénierie sociale sophistiquées.

  • Une visioconférence hypertruquée à 25 millions de dollars : au début de l’année 2024, un employé du service financier d’une multinationale a été amené par la ruse à effectuer un versement de 25 millions de dollars après avoir assisté à une visioconférence avec des personnes qu’il croyait être le directeur financier de l’entreprise et d’autres membres de la direction. Les « collègues » présents lors de cet appel étaient en réalité des sosies créés par hypertrucage. Cette attaque sophistiquée a débuté par un simple courriel frauduleux, avant de gagner en crédibilité grâce à l’appel vidéo extrêmement réaliste, témoignant d’une escalade effrayante des tactiques d’escroquerie.
  • 19 millions d’euros de pertes pour la société cinématographique Pathé : la division néerlandaise de la célèbre société cinématographique Pathé a perdu plus de 19 millions d’euros à la suite d’une fraude classique au PDG. Les escrocs se sont fait passer pour des cadres de la société mère française et ont utilisé des courriels frauduleux pour demander au PDG et au directeur financier de la division néerlandaise d’effectuer une série de virements bancaires urgents pour une fausse acquisition « confidentielle » à Dubaï. Les cybercriminels ont joué sur le caractère confidentiel et leur soi-disant position d’autorité pour convaincre les dirigeants de contourner les procédures standard.

Si les pertes financières initiales résultant d’une fraude au PDG peuvent être dévastatrices, le coût réel va largement au-delà des fonds volés. Les répercussions sont souvent à l’origine de dépenses secondaires considérables, notamment en raison des enquêtes coûteuses visant à déterminer l’ampleur de la compromission, des frais juridiques et des amendes réglementaires potentielles si des données sensibles ont été compromises.

L’érosion de la confiance est encore plus dommageable. Une attaque peut gravement nuire à la réputation d’une entreprise auprès de ses clients, partenaires et investisseurs, rendant difficile le maintien de bonnes relations commerciales. En interne, un tel incident peut détruire la carrière et saper le moral des employés, en créant une culture de la suspicion et du blâme qui nuit à la collaboration et à la productivité. Ces conséquences en cascade expliquent pourquoi une stratégie de prévention proactive est essentielle.

La montée en puissance des hypertrucages et des fraudes vocales basées sur l’IA

Les fraudes au PDG de nouvelle génération utilisent l’intelligence artificielle pour créer des hypertrucages extrêmement convaincants. C’en est fini de l’époque où les cybercriminels s’appuyaient exclusivement sur des courriels. Avec un simple échantillon audio tiré d’un entretien public ou d’une publication sur les réseaux sociaux, ils peuvent cloner la voix d’un dirigeant pour l’utiliser dans le cadre d’une attaque d’hameçonnage vocal.

Imaginez que vous receviez un message vocal ressemblant à s’y méprendre à la voix de votre PDG, vous demandant de procéder d’urgence à un paiement et de lui envoyer un texto avec les détails une fois le versement effectué. Cette technologie émergente fait qu’il est plus difficile de se fier aux signaux d’alarme traditionnels, tels qu’une grammaire déficiente ou un ton inhabituel. Elle souligne une vérité fondamentale : la défense la plus puissante est d’ordre procédural.

Quel que soit le caractère convaincant d’un message, procédez toujours à une vérification indépendante — par exemple, en rappelant le dirigeant sur son numéro de téléphone officiel et connu — avant de donner suite à une demande sensible.

Protégez votre entreprise contre la fraude au PDG

Une stratégie de sécurité proactive à plusieurs niveaux qui associe technologie, processus robustes et formation continue des employés est essentielle pour prévenir efficacement les escroqueries et protéger les actifs et les données sensibles de l’entreprise contre les tactiques de fraude au PDG de plus en plus sophistiquées. En appliquant les bonnes pratiques présentées ci-dessous, vous pouvez contribuer à mettre en place une défense solide et à cultiver une culture de la sécurité en vertu de laquelle les employés se sentent autorisés à remettre en question les demandes suspectes.

  1. Suivez le protocole standard de vérification multicanal — Dès lors que vous recevez une demande impliquant un transfert de fonds ou la divulgation de renseignements, assurez-vous de respecter le protocole de vérification standard à la lettre. Cela implique notamment de confirmer la demande par un autre canal de communication, tel qu’un appel téléphonique direct à un numéro connu ou une conversation en personne. N’utilisez jamais les coordonnées fournies dans le courriel suspect.
  2. Assistez régulièrement aux formations destinées aux employés — Lorsque votre entreprise annonce une formation sur les dangers de la fraude au PDG et d’autres attaques d’hameçonnage, assurez-vous d’assister à toutes les sessions, en particulier si vous occupez un poste dans le domaine des finances, des ressources humaines ou de l’assistance aux cadres. Prenez note des exemples concrets de courriels frauduleux pour vous aider à reconnaître les signaux d’alarme.
  3. Utilisez une solution avancée de protection de la messagerie — Assurez-vous que les solutions modernes de protection de la messagerie proposées par votre entreprise sont déployées sur vos appareils. Ces solutions détectent les tentatives d’usurpation d’identité et les courriels frauduleux provenant de l’extérieur de l’entreprise, et peuvent ainsi les signaler automatiquement.
  4. Respectez des procédures financières strictes — Si vous êtes en charge des finances ou de l’approvisionnement, suivez les règles strictes en vigueur pour toutes les transactions et appliquez la procédure de double approbation pour tout virement ou paiement dépassant un certain seuil. Cette procédure fait que vous ne pourrez pas transférer de fonds sans un deuxième contrôle, malgré les pressions dont vous faites l’objet.

Des simulations d’hameçonnage en guise de formation

Les simulations d’hameçonnage sont un outil puissant et proactif pour faire de vos employés un élément fondamental de votre ligne de défense. Ces exercices consistent à envoyer à vos collaborateurs, dans un environnement contrôlé, de faux courriels d’hameçonnage sécurisés — y compris de faux courriels de fraude au PDG.

L’objectif n’est pas de piéger ou de punir vos employés, mais de leur offrir une formation pratique et concrète. En déterminant qui clique, vous pouvez mesurer l’efficacité de vos programmes de sensibilisation à la sécurité et identifier les points à améliorer.

Plus important encore, les simulations créent des « moments d’apprentissage » précieux, en fournissant un retour d’information immédiat aux employés qui tombent dans le piège d’un test, ce qui leur permettra de repérer plus efficacement les signaux d’alerte dans un contexte réel. Cette approche contribuera à renforcer votre « pare-feu humain » et à rendre l’ensemble de votre entreprise plus résistante aux tentatives d’escroquerie par usurpation de l’identité du PDG.

Mesures à prendre si vous êtes victime d’une fraude au PDG

Être victime d’une fraude au PDG peut être une situation pénible et à haut risque, mais une réaction rapide et organisée peut limiter considérablement les dommages et améliorer vos chances de rétablissement. Si vous pensez être tombé dans le piège d’une telle fraude, voici quelques mesures à prendre immédiatement et dans les jours qui suivent :

  1. Bloquez immédiatement les fonds — Dès que vous soupçonnez un transfert frauduleux, contactez votre établissement financier pour demander le rappel des fonds. Ensuite, demandez à votre banque de contacter la banque destinataire afin de bloquer le compte. Le temps joue en votre défaveur, raison pour laquelle il s’agit de la première mesure à prendre.
  2. Prévenez la direction interne — Informez la direction de votre entreprise, le service de sécurité/informatique et l’équipe juridique de la compromission. Il est essentiel qu’ils soient mis au courant de la situation pour mettre en œuvre le plan d’intervention de l’entreprise en cas d’incident et évaluer l’étendue des dégâts.
  3. Conservez toutes les preuves — Ne supprimez rien. Conservez les courriels frauduleux originaux, les enregistrements des communications et les journaux de transactions pertinents. Ces éléments de preuve sont essentiels aux fins de l’enquête menée par les forces de l’ordre ainsi que pour votre propre enquête interne.
  4. Signalez l’incident aux forces de l’ordre — Déposez un rapport détaillé auprès des autorités compétentes. Pour les entreprises basées aux États-Unis, cela signifie qu’elles doivent déposer plainte auprès de l’Internet Crime Complaint Center du FBI dans les plus brefs délais. L’équipe chargée du recouvrement des avoirs de ce centre peut parfois aider les entreprises à récupérer les fonds volés.
  5. Effectuez un audit post-incident — Une fois la crise immédiate gérée, procédez à un audit interne approfondi. Analysez la manière dont la fraude au PDG s’est produite, identifiez les vulnérabilités de vos processus ou systèmes et mettez en place des mesures correctives et des formations supplémentaires pour prévenir de futures attaques.

Foire aux questions concernant la fraude au PDG

Quelle est la différence entre la fraude au PDG et le phishing classique?

Dans le cas du phishing classique, les escrocs envoient des courriels génériques à des milliers de personnes, en espérant que quelques-unes d’entre elles mordront à l’hameçon. La fraude au PDG est une forme de harponnage, qui consiste à utiliser un appât spécifique pour attraper un poisson bien précis. Il s’agit d’une attaque extrêmement ciblée dans laquelle les escrocs se font passer pour un cadre spécifique afin de tromper un collaborateur précis, en utilisant les renseignements qu’ils ont recueillis au sujet de votre entreprise pour que la demande paraisse légitime.

Notre filtre antispam est-il suffisant pour bloquer ces escroqueries?

Bien qu’un bon filtre antispam constitue une couche de défense importante, il n’est généralement pas suffisant pour arrêter une escroquerie sophistiquée de type usurpation de l’identité d’un PDG. Ces courriels frauduleux sont conçus avec soin pour échapper aux détecteurs de spam les plus courants. Ils ne contiennent généralement pas de liens ou pièces jointes malveillants et sont envoyés en nombre limité, ce qui leur permet de contourner les filtres qui recherchent les campagnes d’envoi massif.

Pourquoi les escrocs demandent-ils des cartes-cadeaux?

Les cartes-cadeaux constituent une forme de monnaie intraçable, raison pour laquelle les escrocs les apprécient autant. Une fois que vous avez communiqué le numéro de la carte et le code PIN, l’escroc peut instantanément encaisser les fonds ou vendre la carte sur le Dark Web. Contrairement à un virement bancaire, qui laisse une trace numérique et peut parfois être rappelé, les transactions par carte-cadeau sont rapides, anonymes et irréversibles, de sorte qu’elles sont peu risquées et très rentables pour les criminels qui se livrent à des escroqueries de type fraude au PDG.

Puis-je avoir des ennuis si je tombe dans le piège d’une fraude au PDG?

Il est naturel de s’inquiéter, mais il est important de se rappeler que ces attaques sont conçues par des cybercriminels professionnels pour exploiter la psychologie humaine et contourner les défenses techniques. Une culture d’entreprise positive reconnaît cet état de fait. La priorité doit toujours être de signaler immédiatement un incident présumé, sans craindre d’être blâmé. Un signalement rapide est la meilleure chance de récupérer les fonds et témoigne du sens des responsabilités de l’employé. Après l’incident, l’accent doit être mis sur les enseignements à tirer pour renforcer les défenses de chacun.

Conclusion

Face à des cybercriminels qui affinent sans cesse leurs tactiques, votre meilleure défense est une stratégie de sécurité proactive et unifiée. En encourageant une culture en vertu de laquelle chaque employé se sent autorisé à remettre en question les demandes et à les vérifier, vous érigez un puissant pare-feu humain. Gardez à l’esprit que des processus robustes, une sensibilisation continue et le respect des procédures de vérification sont les clés de la protection de votre entreprise contre la fraude au PDG.