B – Business Email Compromise (BEC) ou Fraude au Président

Chez Heptalytics nous avons à cœur de partager notre connaissance pour lutter contre la fraude dans les paiements. Et nous avons conçu un abécédaire : notre bonne résolution pour cette année 2024, c’est de partager chaque semaine un article.

La cybercriminalité a évolué de manière exponentielle ces dernières années, avec des attaques de plus en plus sophistiquées ciblant des institutions financières et des entreprises. Parmi les tactiques particulièrement pernicieuses figure le Business Email Compromise (BEC) – ou en français la Fraude au Président. Il s’agit d’une méthode d’escroquerie qui exploite la confiance et la communication au sein des organisations. Dans cet article, nous examinerons le mécanisme de cette technique, les montants en jeu à l’échelle mondiale, en Europe et en France, ainsi que les moyens de lutter contre cette menace grandissante.

Mécanisme de la Fraude au Président

La fraude au Président implique généralement l’usurpation d’identité via des e-mails frauduleux. Les cybercriminels compromettent souvent des comptes de messagerie professionnels, tels que ceux des dirigeants ou du département financier. Ils utilisent ensuite ces comptes compromis pour envoyer des e-mails légitimes en apparence, visant à tromper les destinataires.
L’escroquerie la plus courante est la fausse demande de virement. Les fraudeurs, se faisant passer pour le Président ou un cadre dirigeant demandent à un salarié autorisé à effectuer des transferts de fonds vers un compte bancaire contrôlé par les criminels. Dans le mode opératoire frauduleux, on retrouve toujours la culture du secret et l’urgence de l’opération. La demande est souvent concomitante avec une période de congés du dirigeant en charge des finances.
La culture du secret car le fraudeur qui se fait passer pour le président invoque une opération secrète dont personne ne doit être informé, l’urgence car il s’agit de transférer les fonds le plus rapidement possible.

L’Échelle Mondiale de la Fraude au Président

Les montants en jeu dans les Fraudes au Président sont très importants. Selon le Federal Bureau of Investigation (FBI), les pertes mondiales dues à ces escroqueries s’élèvent à des milliards de dollars chaque année. Les entreprises de toutes tailles sont visées, des petites entreprises aux grandes multinationales.
En France, en février 2023, une fraude record ciblant un promoteur immobilier a fait perdre 38 millions à l’entreprise. Selon une étude Euler-Hermès, la Fraude au Président concernait 47% des tentatives de fraude en 2021.

Moyens de Lutter Contre la Fraude au Président

Pour l’entreprise :
  1. Maîtriser sa communication : L’entreprise doit s’assurer de la discrétion sur l’organigramme, et notamment afin de protéger les personnes ayant l’habilitation de réaliser des transferts de fonds.
  2. Sensibilisation et formation des salariés : Une formation régulière du personnel sur l’identification des escroqueries BEC est cruciale. Les salariés doivent être conscients des techniques utilisées par les fraudeurs pour mieux se prémunir contre ces attaques, et en particulier comment résister à la pression psychologique exercée par les fraudeurs, souvent révélatrice d’une escroquerie.
  3. Définition des processus de virements : Établir un protocole strict de vérification des demandes de virement, en particulier lorsqu’elles proviennent de sources inhabituelles ou impliquent des montants importants, peut aider à prévenir les transferts frauduleux.
  4. Utilisation d’une solution de protection du référentiel fournisseur : Le référentiel fournisseur, contenant notamment leurs coordonnées bancaires doit être protégé. Des solutions comme Trustpair permettent de vérifier automatiquement l’absence de fraude et d’anomalie avant envoi à la banque.
  5. Protection des infrastructures de communication de l’entreprise : Mise en œuvre de mécanisme de protection des comptes de messageries, par exemple l’authentification à deux facteurs, et surveillance de l’activité pour détecter de potentielles détections suspectes aux comptes de messageries.
  6. Collaboration avec les Autorités : une entreprise victime de Fraude au Président doit signaler toute tentative ou réussite de fraude. La plainte et la collaboration avec les autorités permet de tracer les flux, et si possible de récupérer les fonds possiblement envoyés à tort. La collaboration avec les organismes chargés de l’application de la loi est essentielle pour lutter contre ces cybercriminels à l’échelle mondiale.
Pour les banques et opérateurs de paiement :

La solution Heptalytics permet aux banques et opérateurs de paiements de se prémunir contre l’exécution indue d’ordre de virements transmis par l’entreprise, dans le cadre de potentielles fraudes au président : la solution Heptalytics vérifie ainsi systématiquement l’adéquation entre le destinataire d’un virement et ses coordonnées bancaires, et signale toute opération suspecte par rapport au niveau de seuils définis dans la délégation de compétences pour le salarié concerné.

En conclusion, la Fraude au Président, ou Business Email Compromise (BEC) représente une menace sérieuse voire vitale pour les entreprises ainsi que pour les banques et opérateurs de paiements. Il est donc important de mettre en place des protocoles de sécurité renforcée, à la fois au sein des entreprises et pour les banques et opérateurs de paiements.