Comment prévenir la compromission de messagerie professionnelle (BEC) en 2026
L'essentiel
Pour éviter la compromission de messagerie professionnelle, appliquez DMARC avec une politique p=reject afin que les serveurs de réception rejettent tout email qui échoue à l'authentification. Ajoutez ensuite une surveillance DNS, la détection d'usurpation de marque, des étapes de vérification de paiement et la formation du personnel. DMARC appliqué en mode d'exécution empêche les attaquants d'envoyer des emails semblant provenir de votre domaine exact, ce qui est à la base de la plupart des fraudes BEC. Les autres couches comblent les failles qui subsistent une fois l'usurpation exacte de domaine impossible.
Guide de protection rapide
Ce que vous bloquez | Le contrôle qui l'arrête | Produit Red Sift adapté |
Usurpation de domaine exact | DMARC en p=reject (avec SPF et DKIM) | Red Sift OnDMARC |
Usurpation de domaine ressemblant | Détection et suppression des lookalikes | Red Sift Brand Trust |
Détournement de sous-domaine, DNS orphelin, abus de domaine en parking | Surveillance DNS continue | DNS Guardian (via OnDMARC) |
Mauvaise configuration identifiée avant que les attaquants ne la trouvent | Correction de sécurité optimisée par l'IA | Red Sift Radar (via OnDMARC) |
Qu'est-ce que la compromission de messagerie professionnelle ?
La compromission de messagerie professionnelle (BEC) est une cyberattaque où des criminels se font passer par email pour un cadre, un fournisseur ou un partenaire de confiance afin de pousser un salarié à transférer des fonds, modifier des coordonnées de paiement ou transmettre des données sensibles. Contrairement aux attaques par malware, les emails BEC ne contiennent aucune pièce jointe ou URL malveillante, ils ne déclenchent donc pas les filtres de sécurité classiques. Ces attaques exploitent la psychologie humaine, la confiance et l'urgence plutôt qu'une faille technique.
En 2025, le BEC représentait 3,05 milliards de dollars de pertes signalées, faisant de ce type l'une des catégories de cybercriminalité les plus coûteuses [1]. La raison de son succès tient à l'économie : une demande de virement bancaire réussie rapporte de l'argent réel à l'attaquant pour le prix d'un simple email bien rédigé, et les personnes ciblées suivent normalement les procédures de leur poste.
Pourquoi les attaques BEC sont-elles si dangereuses ?
Contrairement aux attaques classiques basées sur des malwares, les attaques BEC exploitent la psychologie plutôt que la technique. Les attaquants étudient minutieusement les hiérarchies organisationnelles, les habitudes de communication et les processus métier pour concevoir des usurpations convaincantes qui passent les contrôles traditionnels.
Les attaques BEC sont particulièrement dangereuses car elles contournent les contrôles sur lesquels la plupart des entreprises comptent.
Ces attaques :
- Ne comportent ni pièce jointe ni lien malveillant, paraissent légitimes et franchissent les filtres standards
- Exploitent la confiance en usurpant l'identité de dirigeants, fournisseurs ou partenaires connus
- Ciblent les moments à fort enjeu : virements, règlements de factures, demandes de données
- Utilisent l'ingénierie sociale sans indices techniques, les rendant difficiles à détecter a posteriori
BEC, spoofing email et usurpation d'identité : comment sont-ils liés ?
L’email spoofing et l’usurpation d’identité sont des techniques. La compromission de messagerie professionnelle est le résultat qu’ils visent. Préciser les termes est important car chaque défense est différente.
Email spoofing consiste à falsifier l'adresse « From » afin qu’un message semble venir d’un domaine que l’attaquant ne possède pas. Lorsqu’un attaquant usurpe votre domaine exact (yourcompany.com), l’email devient indiscernable d’un vrai à moins que vous n’ayez publié une politique DMARC qui indique aux destinataires de le rejeter.
Usurpation d'identité par email désigne la catégorie plus large. Cela englobe l’usurpation de domaine exact, les domaines ressemblants (yourc0mpany.com), les astuces sur le nom affiché et les comptes compromis. Il faut donc plusieurs contrôles pour s’en prémunir.
Voici la répartition pratique. Un DMARC en p=reject élimine complètement l'usurpation du domaine exact, car les serveurs de réception rejettent tout email non authentifié comme venant de vous. L’usurpation ressemblante requiert une surveillance de marque pour détecter et supprimer les domaines conçus pour imiter le vôtre. Les attaques par compte compromis nécessitent une authentification multifacteur et des filtres entrants. Une défense complète BEC couvre les trois, mais la plupart des entreprises ne traitent qu’un seul aspect.
L'état actuel de la menace BEC
Les chiffres dressent un constat alarmant de l'évolution du BEC :
Impact financier
- Les attaques BEC coûtent en moyenne 4,89 millions $ par incident, ce qui en fait la 2ème violation la plus chère, et représentent 73 % des incidents de cybersécurité signalés en 2024. [2]
- La demande de virement moyenne suite à une attaque BEC était de 24 586 $ début 2025
- Au cours des trois dernières années, les pertes BEC déclarées ont atteint presque 8,5 milliards $ rien qu’aux États-Unis [3]
Fréquence des attaques
- Les attaques BEC ont augmenté de 30 % sur un an en mars 2025 [2]
- Elles représentent plus de 50 % de toutes les attaques d’ingénierie sociale
- Même les petites organisations (< 1 000 salariés) ont 70 % de chances chaque semaine de subir au moins une tentative BEC
Évolution des tactiques
- Les attaques BEC par virement bancaire ont augmenté de 24 % par rapport au trimestre précédent [4]
- Les attaquants utilisent de plus en plus l'IA pour écrire des communications frauduleuses sophistiquées [1]
- Les attaques VEC (« Vendor Email Compromise ») ont augmenté de 66 % au premier semestre 2024 [5]
Les cinq types d’attaques BEC
Le FBI distingue cinq formes courantes de BEC. Savoir lesquelles visent vos équipes permet de cibler la vérification et la formation.
1. Fraude au CEO
Les attaquants se font passer pour un cadre dirigeant et réclament un virement urgent ou des informations confidentielles. Ces attaques reposent sur l’autorité et l’urgence pour pousser à ignorer les contrôles habituels.
2. Compromission de compte
Les criminels prennent le contrôle d’un vrai compte email d’employé pour demander des paiements fournisseurs ou rediriger des fonds. Étant envoyé d’un compte légitime, le message échappe souvent à l’authentification.
3. Fausse facture
Les escrocs imitent un fournisseur : envoient une fausse facture ou demandent la modification d’un RIB. Les équipes comptables sont ciblées, et la routine des paiements joue avec le scénario de l’attaquant.
4. Usurpation d’avocat
Les attaquants se font passer pour un avocat ou un juriste, souvent pour piéger un salarié junior peu susceptible de contester la demande. Cela coïncide en général avec une opération sensible (fusion/acquisition...)
5. Vol de données
Ces attaques visent la RH et la finance pour obtenir des infos personnelles sur cadres et salariés, à revendre ou utiliser pour de futures attaques.
Comment se défendre contre la compromission de messagerie professionnelle
La défense anti-BEC repose sur des couches successives, de la source vers l’extérieur. Aucune mesure ne protège contre toutes les formes d’usurpation : une vraie défense combine authentification email, hygiène DNS, surveillance de marque, procédures de paiement et ressources humaines.
Couche 1 : Stopper l’usurpation exacte de domaine avec DMARC en mode enforcement
DMARC (Domain-based Message Authentication, Reporting, and Conformance) élimine la base de la plupart des attaques BEC. Avec la politique p=reject, il indique au serveur destinataire de rejeter tout email non authentifié, interdisant aux attaquants d’envoyer des messages provenant de votre domaine exact.
Procédez en trois étapes : publiez SPF et DKIM, vérifiez qu’ils sont alignés et passent l’authentification. Lancez DMARC en p=none pour voir qui envoie en votre nom. Passez en p=quarantine, puis p=reject une fois tous vos expéditeurs légitimes authentifiés. p=quarantine n’est pas suffisant, car les messages frauduleux atterrissent encore dans les spams et restent actionnables par les destinataires.
Red Sift OnDMARC automatise les étapes habituellement bloquantes et permet d’atteindre le mode enforcement en 6 à 8 semaines, contre six mois en manuel, beaucoup n’y parvenant jamais.
Couche 2 : Stopper les imitations de marque avec la surveillance de marque
Une fois votre domaine exact verrouillé, les attaquants utilisent des domaines ressemblants. DMARC ne peut rien, car ils contrôlent le domaine. Red Sift Brand Trust détecte les lookalikes nouvellement créés, évalue leur risque (logo, contenu, etc.) et orchestre la suppression avant qu'ils ne servent à tromper vos clients.
Couche 3 : Comblez vos failles DNS
Les attaquants exploitent aussi ce que vous avez oublié dans votre DNS. Trois failles majeures :
- Domaines en parking. Les domaines que vous possédez mais que vous n’utilisez pas souvent pour l’email n’ont pas de DMARC et peuvent être usurpés librement. Publiez DMARC à p=reject sur tous vos domaines, actifs ou non.
- DNS orphelin. Un enregistrement DNS (souvent CNAME) pointant vers un service que vous n’utilisez plus peut être récupéré par un attaquant, qui envoie alors des emails authentifiés ou héberge du contenu sur votre sous-domaine.
- Détournement de sous-domaine. En 2024, la campagne SubdoMailing a détourné des milliers de sous-domaines de grandes marques via ces failles, envoyant du phishing passant SPF, DKIM et DMARC car venant d’une infrastructure légitime.
DNS Guardian, intégré à OnDMARC, surveille en continu votre DNS pour détecter des sous-domaines dormants, CNAME orphelins et tout risque de prise de contrôle. Pour approfondir la protection multi-couches du domaine, consultez notre guide contre l'usurpation de domaine.
Couche 4 : Vérifiez les flux financiers
L’authentification stoppe l’usurpation, la procédure stoppe la perte si l’attaquant passe ailleurs (compte compromis). Exigez une vérification hors bande (appel à un numéro connu) pour toute modification de paiement et virement. Impliquez un double contrôle au-delà d’un certain seuil. Prévoyez une voie d’escalade claire pour qu’une demande suspecte soit traitée sans freiner le business.
Couche 5 : Former les premiers exposés
La finance, les RH et les assistants de direction sont les plus visés : formez-les spécifiquement aux scénarios qu’ils rencontreront, pas de simples modules génériques. Organisez des simulations de phishing. Facilitez le signalement d’un email suspect et assurez que personne n’est sanctionné pour avoir signalé à tort un message authentique.
Comment vérifier si votre domaine est usurpé
Pour contrôler si votre domaine est usurpé, faites un test DMARC gratuit avec Red Sift Investigate et analysez vos rapports agrégés DMARC pour repérer les sources d’envoi inconnues. La vérification prend environ 30 secondes et indique si SPF, DKIM et DMARC sont bien configurés et si la politique bloque bien les emails non authentifiés.
Les rapports DMARC agrégés sont le meilleur indicateur. Une fois en place, ils listent tous les émetteurs qui prétendent envoyer en votre nom. Toute source inconnue correspond à du shadow IT ou à un usurpateur. Un outil de monitoring convertit les rapports XML bruts en une liste lisible pour agir. Consultez notre guide pour repérer et empêcher l’usurpation email pour un accompagnement détaillé.
Comment Red Sift OnDMARC bloque la BEC à la source
Red Sift OnDMARC est une application DMARC automatisée qui permet d’atteindre rapidement et de conserver le mode enforcement. Elle prévient la BEC en éliminant la voie la plus simple de l’attaquant : envoyer depuis votre vrai domaine.
- Mise en application rapide. OnDMARC permet d’atteindre le p=reject en 6 à 8 semaines grâce à un tableau de bord lisible des expéditeurs.
- Services dynamiques. Gérez SPF, DKIM, DMARC et MTA-STS depuis une seule interface, supprimant les erreurs et dépassant la limite SPF de 10 recherches sans manipulation manuelle de DNS.
- DNS Guardian. Surveillance DNS continue pour détecter le détournement de sous-domaine, DNS orphelins et abus à la SubdoMailing avant exploitation.
- Radar. Analyse pilotée par l’IA qui signale les failles de configuration avant qu’elles ne deviennent un incident.
DMARC ou passerelle email sécurisée : qui arrête la BEC ?
C'est un point de confusion fréquent, donc une précision est utile. DMARC et les passerelles email sécurisées couvrent chacune une partie distincte du problème.
DMARC (authentification email) | Passerelle email sécurisée (SEG) | |
Ce que ça protège | L'identité sortante de votre domaine | Votre boîte de réception entrante |
Où ça agit | Sur les serveurs destinataires du monde entier | À la périphérie de votre messagerie |
Arrête l’usurpation exacte de votre domaine | Oui, en p=reject | Non |
Arrête les domaines ressemblants | Non (outil de surveillance de marque nécessaire) | Partiellement (souvent inefficace) |
Arrête les malwares entrants et liens malveillants | Non | Oui |
Rôle contre le BEC | Supprime l’usurpation à la source (protection de votre marque et de vos clients) | Filtre ce qui arrive réellement dans les boîtes de votre équipe |
Une passerelle filtre les emails malveillants reçus dans votre boîte de réception. DMARC empêche les attaquants d’utiliser votre domaine pour cibler tous les autres (vos clients et partenaires), qui ne verront jamais votre passerelle. Pour le BEC visant votre marque, DMARC en p=reject est le contrôle qui élimine l’attaque à la source. Les deux sont complémentaires, pas substituables.
Prévention du BEC par secteur
Chaque secteur subit une pression BEC différente, d’où un changement de priorité.
- Services financiers : cibles premium, obligations de lutte anti-fraude, priorité sur la vérification systématique des transactions.
- Santé : ciblée à la fois pour la fraude et le vol de données, à travers des réseaux d’établissements et de prestataires tiers.
- Industrie/manufacture : chaînes de fournisseurs complexes, montants importants, communication supply-chain = principal point faible.
- Juridique : détient des documents clients confidentiels et gère des fonds, la confidentialité a autant de valeur que l’argent.
Mesurer le succès : indicateurs de prévention du BEC
Suivez ces éléments pour évaluer le niveau réel de votre défense, pas juste son déploiement.
Indicateurs techniques
- Taux de domaines à DMARC p=reject (objectif : 100 %)
- Taux d’authentification des émetteurs légitimes
- Diminution du nombre d’emails non authentifiés délivrés
Indicateurs opérationnels
- Nombre de tentatives BEC détectées et bloquées
- Taux de signalement d'emails suspects par les employés
- Délai de vérification/trajet des paiements légitimes
Indicateurs business
- Baisse des pertes dues à la fraude
- Amélioration de la délivrabilité des emails (bénéfice d’une authentification propre)
- Temps gagné grâce à l'automatisation de la gestion de l'authentification
L’évolution de la menace BEC
Le BEC évolue sans cesse, la défense doit suivre le rythme.
- Attaques pilotées par IA : Génération automatique de textes d’usurpation et voix par clonage pour légitimer les appels. Deepfakes vidéo en préparation sur les fraudes haut de gamme.
- Attaques multicanales : Le BEC déborde l’email pour toucher SMS, voix, outils collaboratifs : la défense doit suivre l’ensemble des canaux.
- Ciblage supply-chain : La compromission de fournisseurs ne cesse d’augmenter. Les relations avec les partenaires sont exploitées pour contourner vos barrières directes. Encouragez vos partenaires à passer également à DMARC.
Votre feuille de route prévention BEC
Voici une séquence d’actions pour se protéger efficacement, sans vouloir tout traiter d’un coup.
Semaine 1 : faites l’état des lieux
- Lancez une vérification DMARC gratuite avec Investigate et recensez toutes les sources envoyant en votre nom
- Mettez en place immédiatement la vérification hors bande des virements, avant toute solution technique
- Sensibilisez finance, RH et assistants de direction aux 5 types de BEC
Mois 1 à 2 : verrouillez le domaine
- Déployez OnDMARC et entamez la bascule vers l'enforcement
- Atteignez p=reject sur votre domaine principal et ajoutez DMARC sur les domaines en parking
- Lancez des simulations de phishing et mettez en place une procédure claire de remontée des signalements
Mois 3 à 6 : complétez la protection
- Étendez la protection à tous les sous-domaines et activez la surveillance DNS
- Ajoutez la détection de domaines ressemblants avec Brand Trust
- Ajoutez BIMI une fois le mode enforcement actif : améliore la délivrabilité et la reconnaissance de marque
Références
[1] Rapport FBI IC3. « FBI Internet Crime Report 2025 ». https://www.ic3.gov/AnnualReport/Reports/2025_IC3Report.pdf
[2] Hoxhunt. « Business Email Compromise Statistics 2025 (+Prevention Guide). » https://hoxhunt.com/blog/business-email-compromise-statistics
[3] NACHA. « FBI's IC3 Finds Almost $8.5 Billion Lost to Business Email Compromise in Last Three Years. » https://www.nacha.org/news/fbis-ic3-finds-almost-85-billion-lost-business-email-compromise-last-three-years
[4] Trans Union. « Rising Incidents of BEC and Wire Fraud: Tales from the Front Lines. » https://www.transunion.com/blog/bec-wire-fraud-incidents
[5] Business Email Compromise Statistics https://hoxhunt.com/blog/business-email-compromise-statistics
Votre organisation est-elle protégée contre la compromission de la messagerie professionnelle ?




