Les attaques de Business Email Compromise (BEC) sont devenues l’une des menaces cyber les plus dévastatrices sur le plan financier auxquelles les organisations sont confrontées aujourd’hui. Rien qu’en 2024, les attaques BEC ont engendré près de 2,8 milliards de dollars de pertes signalées, alors que les attaquants adoptent des techniques toujours plus sophistiquées pour créer des communications frauduleuses plus convaincantes et personnalisées [1].

Alors que les cybercriminels font évoluer leurs méthodes, les mesures de sécurité traditionnelles s’avèrent insuffisantes. La clé pour stopper les attaques BEC réside dans la mise en œuvre de protocoles d’authentification des emails robustes empêchant les usurpateurs de se faire passer pour votre organisation dès le départ.

Contrairement aux attaques classiques basées sur des malwares, les schémas BEC exploitent la psychologie humaine plutôt que des failles techniques. Les attaquants étudient minutieusement les hiérarchies d’entreprise, les modèles de communication et les processus métier pour concevoir des tentatives d’usurpation crédibles qui contournent les contrôles de sécurité traditionnels.

• Ne contiennent ni pièce jointe malveillante ni lien frauduleux, ce qui leur permet de paraître légitimes et de ne pas être bloquées par les filtres de sécurité classiques
• Exploite les relations de confiance en se faisant passer pour des dirigeants, fournisseurs ou partenaires fiables
• Ciblent les transactions à forte valeur ajoutée comme les virements bancaires, le règlement de factures ou des demandes de données sensibles
• Utilisent l’ingénierie sociale plutôt que des indicateurs techniques de compromission, ce qui les rend difficiles à repérer

Les statistiques dressent un constat alarmant de l’impact croissant du BEC :

• Les attaques BEC coûtent en moyenne 4,89 millions de dollars par incident, ce qui en fait le deuxième type de violation le plus coûteux et elles représentaient 73 % de tous les incidents cyber signalés en 2024 [2].
• Le montant moyen demandé lors d’un virement bancaire illicite via une attaque BEC était de 24 586 $ début 2025
• Au cours des trois dernières années, les pertes liées au BEC ont atteint près de 8,5 milliards de dollars rien qu’aux États-Unis [3]

• Les attaques BEC ont augmenté de 30 % d’une année sur l’autre à mars 2025 [2]
• Elles représentent plus de 50 % de tous les incidents d’ingénierie sociale
• Même les petites organisations (moins de 1 000 employés) ont 70 % de chances par semaine de subir au moins une tentative de BEC

• Les attaques BEC par virement ont augmenté de 24 % par rapport au trimestre précédent [4]
• Les attaquants recourent de plus en plus à des outils d’IA pour élaborer des communications frauduleuses sophistiquées et crédibles [1]
• Les attaques VEC (Vendor Email Compromise) ont bondi de 66 % au premier semestre 2024 [5]

Comprendre le fonctionnement des attaques BEC est essentiel pour bâtir des défenses efficaces. Le FBI identifie cinq grands types d’escroqueries BEC :

Des attaquants se font passer pour des dirigeants afin de demander des virements urgents ou des informations sensibles. Ces attaques exploitent la tendance des employés à obéir à l’autorité, utilisant souvent un langage pressant pour contourner les procédures habituelles de vérification.

Des cybercriminels accèdent à des comptes email légitimes d’employés pour exiger des paiements fournisseurs ou détourner des fonds vers des comptes frauduleux. Cette méthode est particulièrement dangereuse, car les emails proviennent de comptes réels, les rendant difficiles à détecter.

Des escrocs se font passer pour des fournisseurs et transmettent de fausses factures ou demandent un changement de coordonnées bancaires. Ces attaques visent souvent les services comptables et exploitent le caractère routinier des paiements.

Des attaquants se font passer pour des avocats ou des représentants juridiques, s’attaquant généralement à des employés subalternes qui ne remettront pas en cause la légitimité de la demande. Ces attaques coïncident souvent avec des opérations importantes comme des fusions ou acquisitions.

Ces attaques ciblent les ressources humaines pour obtenir des informations personnelles sur les dirigeants ou les employés, qui pourront servir lors de futures attaques ou être revendues sur le dark web.

Si les attaques BEC exploitent les failles humaines, la stratégie de prévention la plus efficace commence par des contrôles techniques empêchant toute usurpation de votre organisation. C’est là que Red Sift OnDMARC [6] prend tout son sens.

Red Sift OnDMARC est une application DMARC automatisée et primée [7] qui aide les organisations à stopper l’usurpation exacte de domaine et les fraudes BEC en :

• Mettre en œuvre la conformité DMARC facilement : DMARC (Domain-based Message Authentication, Reporting and Conformance) permet d’empêcher l’envoi d’emails malveillants au nom de votre organisation lorsqu’il est configuré avec une politique maximale de p-reject (application totale). Red Sift OnDMARC aide ses clients à atteindre cette conformité en seulement 6 à 8 semaines.
• Empêcher l’utilisation non autorisée de votre domaine : OnDMARC bloque les envois d’emails usurpant vos domaines, éliminant ainsi la base de la plupart des attaques BEC.
• Authentification email automatisée : La plateforme facilite le déploiement et la gestion de DMARC, DKIM et SPF, garantissant que seuls les emails légitimes émis par votre organisation atteignent leurs destinataires.
• Détection des menaces en temps réel : OnDMARC surveille en continu l’activité email et offre une visibilité sur les tentatives de spoofing, permettant une réaction rapide face aux menaces émergentes, grâce à la puissance des LLM via Red Sift Radar.
• Gestion dynamique des services : Contrairement à l’approche DNS classique, les Dynamic Services d’OnDMARC permettent de gérer tous vos enregistrements d’authentification email via une seule interface, limitant les erreurs de configuration et accélérant la mise en place.

• Investigate checker : La fonction exclusive Investigate d’OnDMARC vous permet de tester vos modifications de configuration en temps réel, sans attendre jusqu’à 24 heures pour les données DMARC, ce qui accélère considérablement le déploiement de DMARC.
• DNS Guardian : Cette fonctionnalité surveille en continu votre configuration DNS pour prévenir le SubdoMailing, les DNS orphelins et les compromissions de CNAMEs que des attaquants pourraient exploiter pour contourner DMARC.
• Analyses basées sur l’IA : Red Sift Radar fournit des analyses intelligentes pour détecter les mauvaises configurations et failles de sécurité avant qu’elles ne soient exploitées par des attaquants.
• Rapports détaillés : Des statistiques poussées vous aident à comprendre votre environnement email et à détecter les vulnérabilités ou activités suspectes.

L’authentification des emails est la pierre angulaire de la prévention BEC, mais une stratégie efficace doit s’appuyer sur plusieurs niveaux de défense :

1. Déployez DMARC avec la politique p=reject. Avec p=quarantine, les cybercriminels peuvent toujours nuire.
2. Utilisez Red Sift OnDMARC pour atteindre l’application totale en 6 à 8 semaines
3. Surveillez les rapports DMARC pour identifier les expéditeurs légitimes et les menaces potentielles

1. Mettez en œuvre la MFA sur tous les comptes email et systèmes critiques
2. Privilégiez la MFA résistante au phishing dès que possible
3. Révisez et mettez à jour régulièrement la configuration MFA

1. Utilisez des solutions de filtrage email basées sur l’IA analysant les comportements
2. Mettez en place de l’analyse comportementale utilisateur (UEBA) pour détecter les anomalies
3. Activez des réponses automatiques aux menaces

1. Exigez une vérification indépendante pour toute modification de paiement ou virement
2. Mettez en place un double contrôle pour les transactions au-delà d’un certain seuil
3. Définissez des procédures d’escalade claires pour les demandes suspectes

1. Prévoyez des procédures spécifiques pour traiter un soupçon d’attaque BEC
2. Fixez les protocoles de communication avec les banques et les forces de l’ordre
3. Exercez-vous régulièrement sur des scénarios de réponse à incident

1. Passez en revue périodiquement la configuration de sécurité email
2. Testez les procédures de vérification par de fausses attaques BEC
3. Auditez régulièrement les accès et permissions

1. Sensibilisez spécifiquement les départements à risque (Finance, RH, assistants de direction)
2. Utilisez des exemples réels et des simulations d’attaques BEC
3. Organisez des rappels réguliers et communiquez sur les menaces émergentes

1. Encouragez les employés à signaler tout email suspect sans peur de sanction
2. Mettez en avant et récompensez les bons comportements sécurité
3. Créez des canaux de communication clairs pour les questions de sécurité

1. Faites en sorte que les dirigeants comprennent et soutiennent les efforts de lutte contre BEC
2. Établissez des politiques claires de validation des transactions financières
3. Montrez l’exemple en matière de sécurité au sein de l’organisation

Chaque secteur présente des niveaux de risque BEC qui lui sont propres et exige donc des approches adaptées :

• Fortement ciblés en raison de l’accès à des flux financiers et données sensibles
• Nécessitent des procédures de vérification renforcées pour toutes les transactions
• Doivent respecter des exigences réglementaires strictes en matière de lutte contre la fraude

• Ciblé pour la fraude financière comme pour le vol de données
• Doivent protéger les informations patients tout en maintenant la fluidité opérationnelle
• Affrontent des défis liés à la diversité des réseaux et prestataires tiers

• Ciblée pour la complexité des chaînes de fournisseurs et des transactions importantes
• Besoin de sécuriser les communications de la chaîne d’approvisionnement
• Doit concilier sécurité et efficacité opérationnelle

• Cibles de grande valeur en raison du secret professionnel et des transactions financières
• Besoin de protection accrue pour les communications avec les clients
• Doit préserver le secret professionnel avocat-client tout en améliorant la sécurité

Pour valider l’efficacité de votre stratégie anti-BEC, mesurez ces indicateurs :

• Taux d’application de la politique DMARC (objectif : 100 % à p=reject)
• Taux de passes de l’authentification email pour les expéditeurs légitimes
• Délai de détection et de réponse face aux tentatives de spoofing
• Baisse de la livraison d’emails non authentifiés

• Nombre de tentatives BEC détectées et bloquées
• Taux de signalement d’emails suspects par les employés
• Délai de vérification et de traitement des transactions légitimes
• Temps de réponse aux incidents BEC suspects

• Diminution des pertes financières dues à la fraude email
• Amélioration des taux de délivrabilité email
• Économies réalisées grâce aux processus sécurité automatisés
• Indicateurs de confiance client et de réputation de marque

Tandis que les attaques BEC évoluent, les organisations doivent anticiper les nouvelles menaces :

• Attendez-vous à des contenus IA plus sophistiqués, encore plus difficiles à détecter
• Préparez-vous à gérer des deepfakes vocaux ou vidéo dans des schémas BEC
• Investissez dans des défenses IA capables de détecter les anomalies subtiles

• Le BEC se propage au-delà de l’email : SMS, appels vocaux, plateformes collaboratives, exploitant divers leviers d’ingénierie sociale
• Sécurisez tous les canaux de communication
• Formez vos collaborateurs à repérer la menace sur l’ensemble des outils numériques

• Les attaquants visent de plus en plus les fournisseurs et partenaires
• Étendez vos mesures de sécurité aux communications de tiers
• Mettez en place des programmes de gestion du risque fournisseur

Pour préserver votre organisation des attaques BEC, il faut agir vite et maintenir la vigilance. Voici comment débuter :

• Lancez un test DMARC gratuit avec l’outil Investigate de Red Sift
• Identifiez les lacunes de votre configuration d’authentification des emails, pour cibler vos actions prioritaires
• Dressez la liste des sources d’émission email de votre organisation

• Instaurez une vérification externe pour tout virement
• Créez un processus de rappel téléphonique pour les demandes financières inhabituelles
• Informez les personnes-clés sur les méthodes d’attaque BEC (ce guide peut servir de support)

• Lancez un essai gratuit de 14 jours pour auditer votre environnement
• Demandez les conseils d’étapes suivants auprès de l’équipe Red Sift pour garantir votre sécurité
• Commencez votre parcours vers l’application totale de DMARC

• Organisez des formations ciblées BEC pour les services à risque
• Planifiez des simulations régulières de phishing pour affaiblir les tactiques d’ingénierie sociale
• Établissez des procédures claires de signalement des emails suspects

• Configurez la politique p=reject sur tous vos domaines
• Déployez BIMI pour accroître la délivrabilité et la reconnaissance de marque
• Étendez la protection à tous les sous-domaines et communications partenaires

• Déployez des solutions avancées de sécurité email
• Mettez en œuvre l’analytique comportementale et la détection de menace par IA
• Établissez un monitoring sécurité et une réponse aux incidents sur la durée

Le Business Email Compromise est l’une des menaces cyber majeures pesant sur les organisations. Avec des pertes atteignant 2,8 milliards de dollars en 2024 et des attaques toujours plus sophistiquées, les solutions classiques ne suffisent plus.

La clé d’une prévention efficace du BEC, c’est une stratégie englobant des contrôles techniques solides, des processus clairs et une sensibilisation continue. Cette stratégie repose avant tout sur l’authentification email via DMARC, bloquant l’usurpation de votre organisation à la source.

Red Sift OnDMARC offre une plateforme automatisée et intelligente permettant d’atteindre, rapidement et durablement, l’application totale de DMARC. Avec ses services dynamiques, la détection en temps réel des menaces et des analyses IA, OnDMARC stoppe les attaques BEC avant qu’elles ne causent des dégâts.

N’attendez pas d’être victime d’une attaque. Protégez dès maintenant votre organisation, vos collaborateurs et vos clients face à l’essor du Business Email Compromise.

Démarrez votre essai gratuit de 14 jours de Red Sift OnDMARC ou lancez un test DMARC gratuit pour évaluer votre niveau de sécurité actuel.

[1] VIPRE Security. « Business Email Compromise 2025: What, Who and Why. » https://vipre.com/blog/business-email-compromise-2025-what-who-and-why/

[2] Hoxhunt. « Business Email Compromise Statistics 2025 (+Prevention Guide). » https://hoxhunt.com/blog/business-email-compromise-statistics

[3] NACHA. « FBI's IC3 Finds Almost $8.5 Billion Lost to Business Email Compromise in Last Three Years. » https://www.nacha.org/news/fbis-ic3-finds-almost-85-billion-lost-business-email-compromise-last-three-years

[4] Trans Union. « Rising Incidents of BEC and Wire Fraud: Tales from the Front Lines. » https://www.transunion.com/blog/bec-wire-fraud-incidents 

[5] Business Email Compromise Statistics https://hoxhunt.com/blog/business-email-compromise-statistics 

[6] Red Sift. « Protect against phishing and BEC attacks with Red Sift OnDMARC. » https://redsift.com/pulse-platform/ondmarc

[7] Red Sift. « From Europe to Asia Pacific: OnDMARC earns global recognition in G2’s Fall Report. » https://blog.redsift.com/awards/from-europe-to-asia-pacific-ondmarc-earns-global-recognition-in-g2s-fall-report/