Phishing et Business Email Compromise : comment les attaquants ciblent les entreprises

L'email qui coute des millions

En 2023, les attaques de business email compromise (BEC) ont cause des pertes declarees de 2,9 milliards de dollars aux seuls Etats-Unis. A l'echelle mondiale, le chiffre est bien superieur. Et la Suisse, avec sa concentration de services financiers, de societes de commerce international et de cibles de haute valeur, n'est pas epargnee.

Le phishing et le BEC ne sont pas la meme chose, bien qu'ils soient lies. Le phishing lance un filet large. Le BEC est cible, recherche et patient. Un attaquant passe des jours ou des semaines a etudier la structure d'une entreprise avant de frapper.

Comment le phishing a evolue

Caracteristiques du phishing moderne

• Langage parfait. Les attaquants utilisent des locuteurs natifs ou des traductions de haute qualite.
• Image de marque precise. Logos, couleurs et signatures clonas a partir d'emails legitimes.
• Contextuellement pertinent. References a des evenements reels pour creer l'urgence.
• URL d'apparence legitime. Utilisation de sous-domaines, raccourcisseurs d'URL ou services legitimes pour masquer les destinations.
• Attaques multi-etapes. L'email initial peut ne contenir rien de malveillant.

Spear phishing : l'attaque ciblee

Le spear phishing cible des individus specifiques au sein d'une organisation. L'attaquant etudie la cible via LinkedIn, les sites web d'entreprise et les registres publics.

Fraude au president : le scenario BEC classique

1. L'attaquant identifie le CEO et le CFO de l'entreprise cible.
2. L'attaquant enregistre un domaine similaire a celui de l'entreprise.
3. L'attaquant cree une adresse email qui imite celle du CEO.
4. L'attaquant attend le bon moment, peut-etre quand le CEO voyage.

Le CFO recoit un email qui semble provenir du CEO, demandant un virement urgent et confidentiel. L'email cree urgence, autorite et secret : les trois piliers de l'ingenierie sociale.

Nous avons vu des cas en Suisse ou des entreprises ont perdu entre CHF 50 000 et CHF 1,2 million a cause de fraudes au president.

Manipulation de factures

La manipulation de factures est une autre variante BEC courante. L'attaquant compromet le compte email d'un fournisseur, intercepte une facture legitime et modifie les coordonnees bancaires.

Risque specifique suisse

La position de la Suisse comme plaque tournante du commerce international rend la manipulation de factures particulierement attrayante pour les attaquants. Les paiements transfrontaliers sont courants, les factures en plusieurs devises sont normales.

Attaques par domaines similaires

Technique	Domaine reel	Domaine similaire
Substitution de caractere	envestis.ch	envestls.ch (l pour i)
Caractere ajoute	envestis.ch	envestiss.ch
Transposition	envestis.ch	envesits.ch
Changement TLD	envestis.ch	envestis.com

Comment reconnaitre le phishing

• Urgence et pression. Les organisations legitimes imposent rarement une urgence artificielle par email.
• Demandes de secret. Concues pour empecher la verification.
• Demandes inhabituelles. Changements de coordonnees de paiement, demandes de cartes-cadeaux.
• Discordance de l'adresse de l'expediteur. Verifiez toujours l'adresse email complete.
• Inspection des liens. Survolez les liens (ne cliquez pas) pour voir l'URL reelle.

Procedures de verification

1. Verifiez via un canal different. Appelez la personne en utilisant un numero que vous avez deja en dossier.
2. Ne repondez pas a l'email.
3. Consultez un collegue.

Formation des employes

• Exercices de phishing simule. Trimestriellement au minimum.
• Formation specifique au role.
• Renforcement positif. Recompensez les employes qui signalent des emails suspects.
• Procedures de signalement claires.

Defenses techniques

Authentification email : SPF, DKIM, DMARC

Pour un guide detaille, lisez notre article sur la protection email SPF, DKIM et DMARC.

Passerelle de securite email

Detection avancee des menaces, protection contre l'usurpation d'identite, bannieres d'avertissement pour les emails externes, reecriture des liens.

Authentification multi-facteurs (MFA)

Utilisez des cles de securite materielle (YubiKey, FIDO2) ou des applications d'authentification.

Cas reels et pertes financieres

• Banque belge Crelan - 70 millions EUR perdus en 2016.
• Toyota Boshoku - 37 millions USD perdus en 2019.
• Ubiquiti Networks - 46,7 millions USD perdus en 2015.

Contexte suisse

Le Centre national pour la cybersecurite (NCSC) de la Suisse signale regulierement des attaques BEC ciblant les entreprises suisses. Le secteur financier et les PME gerant des paiements internationaux sont des cibles frequentes.

Recommandations pratiques

1. Implementez SPF, DKIM et DMARC avec enforcement.
2. Exigez une double autorisation pour les paiements au-dessus d'un seuil.
3. Etablissez une procedure de verification pour les changements de coordonnees bancaires.
4. Activez le MFA sur tous les comptes email.
5. Ajoutez des bannieres pour les emails externes.
6. Menez des simulations de phishing regulieres.
7. Surveillez les domaines similaires.

Conclusion

Les attaques de phishing et BEC ne disparaissent pas. La combinaison de controles techniques et humains offre la meilleure defense. Si vous souhaitez evaluer l'exposition de votre entreprise, contactez notre equipe a Lugano.