beazley.security
©2025 Beazley Security. Tous droits réservés
Les compromissions d’adresses mail professionnelles (BEC)
Bonnes pratiques en matière de prévention
Commencer
EN
DE
En quoi consiste la compromission d’une adresse mail professionnelle ?
La compromission d’e-mail professionnel (BEC) implique généralement des techniques d’ingénierie sociale. En règle générale, un cybercriminel utilise des identifiants volés ou une adresse mail usurpée qui ressemble à une adresse de confiance.
L’objectif est d’inciter un employé à contourner les procédures normales pour accéder à des biens ou des données de grande valeur.
Nous fournissons à nos clients l’expérience, la formation et les ressources technologiques nécessaires pour réduire le risque de pertes financières ou de données dues à une attaque BEC.
Le cybercriminel peut voler des fonds en détournant des paiements électroniques, ou voler des données sensibles comme des informations fiscales ou salariales. Il peut également convaincre l’employé d’ouvrir une pièce jointe ou un lien malveillant, de communiquer son mot de passe ou d’approuver un accès.
Comment survient une compromission d’adresse mail professionnelle
Formes courantes de BEC
Comment se protéger contre les attaques BEC
Comment réduire le risque de pertes financières ?
Nous contacter
Un cybercriminel mène une attaque par hameçonnage en utilisant une adresse électronique qui ressemble beaucoup à une source fiable, souvent en usurpant l'identité d'une entreprise ou d'une personne légitime. Pour accroître sa crédibilité, il peut également créer un faux site web ou un faux domaine de messagerie qui semble presque identique au vrai, avec des différences subtiles qui sont difficiles à détecter au premier coup d'œil, trompant ainsi la victime en lui faisant croire que la communication est authentique.
Usurpation de domaine et d'e-mail
Informations d’identification de messagerie volées
L’utilisation d’identifiants volés permet au cybercriminel d’accéder à toutes les conversations présentes dans la boîte de réception et de faciliter ainsi l’usurpation d’identité. Le cybercriminel peut également rechercher d’autres employés, surveiller les conversations en cours, notamment en ce qui concerne les factures ou les paiements, et prendre des mesures pour dissimuler ses activités.
Abus de confiance de la victime
Une fois la confiance établie, le cybercriminel peut encourager l’utilisateur à contourner les procédures normales et la sécurité par le biais de diverses techniques d’ingénierie sociale. Les employés visés par ces attaques travaillent souvent aux ressources humaines ou au service financier, ou sont habilités à approuver le transfert d’importantes sommes d’argent (notamment dans les petites entreprises).
La compromission d'un courriel professionnel est une cyberattaque ciblée dans laquelle les auteurs de la menace se font passer pour des contacts de confiance, tels que des cadres, des fournisseurs ou des partenaires, afin de tromper les employés et de les amener à transférer de l'argent, à partager des données sensibles ou à accorder un accès. Ces escroqueries sont souvent synchronisées avec des activités commerciales réelles, ce qui les rend difficiles à repérer. Nous examinons ci-dessous les méthodes les plus courantes utilisées par les attaquants.
Arnaque au PDG
Se faisant passer pour le PDG, le cybercriminel demande à l’employé d’effectuer un paiement immédiat au titre d’une transaction confidentielle : acquisition ou règlement judiciaire.
Instruction frauduleuse
Redirection de la paie
Manipulation des factures
Fraude au prêt
Demandes urgentes
Le cybercriminel se fait passer pour un vendeur ou un fournisseur et demande à l’employé de modifier les instructions d’un paiement électronique afin que ce dernier soit versé sur un compte qu’il contrôle. Les entreprises de services professionnels sont particulièrement exposées aux incidents dans lesquels le cybercriminel se fait passer pour un tiers dans une vente immobilière ou une autre transaction dans le but de détourner des paiements.
Le cybercriminel demande à un employé des ressources humaines de modifier les instructions de dépôt bancaire du salaire des employés.
Le cybercriminel peut se faire passer pour un vendeur ou un fournisseur et envoyer des factures frauduleuses afin de détourner les paiements. Il peut également demander le remboursement de transactions effectuées récemment.
Le cybercriminel peut se faire passer pour plusieurs employés et contracter ensuite plusieurs prêts importants en leur nom, avec des pertes potentielles à six chiffres.
Parmi les autres formes courantes de BEC particulièrement fréquentes dans les petites entreprises figurent les demandes urgentes d’envoi de données sensibles, comme les déclarations fiscales des employés, ou d’achat de cartes-cadeaux.
La compromission du courrier électronique professionnel peut prendre plusieurs formes, chacune conçue pour manipuler la confiance et l'urgence. Voici les tactiques les plus fréquemment utilisées par les attaquants.
Les employés constituent la première ligne de défense
Formez vos employés à reconnaître les tentatives de BEC et s’y opposer, examinez attentivement les demandes inhabituelles, utilisez la vérification hors bande et résistez aux méthodes utilisées par les cybercriminels pour contourner l’authentification multifacteur (MFA).
Vérification des demandes
Formez les employés à vos procédures concernant les demandes autorisées. Les demandes de modification des instructions de paiement ou d’envoi de données sensibles doivent faire l’objet d’une vérification hors bande : ne vous fiez pas aux coordonnées fournies par le cybercriminel.
Évitez de réutiliser les mêmes mots de passe.
Formez les employés aux bonnes pratiques en matière de mots de passe, notamment en ne réutilisant pas les mêmes mots de passe sur des comptes différents. Ne réutilisez pas le même mot de passe dans différentes applications professionnelles ou avec des comptes professionnels et personnels. L’utilisation d’un gestionnaire de mots de passe facilite l’utilisation de mots de passe forts et uniques pour chaque compte.
Reconnaissance des mails de phishing et des tentatives de BEC
Formez les employés à détecter les noms de domaine usurpés et à ne pas se laisser tromper par les sousdomaines. Soyez attentif aux e-mails contenant des demandes inhabituelles, en particulier des demandes urgentes ou confidentielles.
Amélioration de la sécurité de votre messagerie
Une sécurisation adéquate des comptes de messagerie et une meilleure détection de l’hameçonnage amélioreront la protection contre les attaques BEC
Une MFA résistante à l’hameçonnage
Toutes les formes d’MFA n’offrent pas le même niveau de sécurité. L’MFA doit être configurée pour garantir la protection contre les attaques d’ingénierie sociale. Si les mots de passe à usage unique et les notifications basées sur la technologie « push » ne sont pas aussi résistants à ces attaques, les jetons matériels FIDO2 rencontrent plus de succès. Bloquez les anciens protocoles de messagerie qui ne prennent pas en charge l’authentification moderne.
Réduction de l’exposition aux mails de phishing
Mettez en oeuvre des mesures susceptibles de modifier le traitement des e-mails suspects (SPF, DKIM, DMARC). Pensez à bloquer les e-mails provenant de nouveaux domaines, qui peuvent avoir été créés par des cybercriminels à des fins d’hameçonnage. Appliquez les correctifs aux serveurs de messagerie sur site afin de compliquer la tâche des cybercriminels.
Surveillance active des tentatives de prise de contrôle des comptes
Comme les défauts de paiements peuvent passer inaperçus pendant 45 ou 60 jours, il est important de les repérer plus tôt.
Limitation des tentatives de connexion
Définissez une alerte pour plusieurs demandes d’MFA restées sans réponse afin d’éviter la fatigue de l’MFA. Vous pouvez définir une politique de blocage d’accès après 5 ou 10 tentatives sans réponse.
Contrôle des modifications apportées à l’enregistrement et à la configuration
Parmi les signes précurseurs d’une activité liée aux BEC figurent les modifications inhabituelles des règles existantes (telles que celles concernant le dossier RSS) ou de nouvelles règles de transfert externe.
La sensibilisation et la préparation sont les clés du succès
S’il n’existe pas de solution miracle, la compréhension des risques, la formation régulière du personnel et l’instauration de politiques bien définies concernant certains comportements constituent des étapes clés dans la prévention d’un événement de type BEC. Les outils et les technologies facilitent également l’identification et le filtrage des activités suspectes pour minimiser les risques potentiels avant toutes interactions humaines.
Mettez en place une procédure de vérification hors bande pour confirmer l’identité de la personne qui demande un transfert de fonds. Si la demande est envoyée par e-mail, contactez directement la personne en composant un numéro de téléphone préétabli pour obtenir une confirmation verbale. Si la demande est faite par téléphone ou par fax, demandez une confirmation par e-mail en envoyant un message sur une adresse mail dont l’exactitude est connue. Ne répondez pas à l’e-mail et n’effectuez pas de « vérification » en contactant directement le numéro de téléphone figurant dans cet e-mail. Si la demande est frauduleuse, le criminel aura également fourni de fausses coordonnées. Mettez en place un processus de confirmation des demandes pour les employés fréquemment en déplacement et habilités à demander des transferts de fonds. Par exemple, définissez un code prédéterminé à inclure dans toute demande et non documenté au sein du réseau. Dispensez périodiquement des formations anti-fraude qui apprennent aux employés à détecter et à éviter les escroqueries par hameçonnage et ingénierie sociale. Limitez le nombre d’employés habilités à soumettre ou à approuver des virements bancaires. Mettez en place une double approbation pour les transactions financières. Les deux parties responsables des doubles approbations ne doivent pas avoir de relation superviseur/subordonné, car cela nuirait à l’efficacité du processus. Mettez en place une authentification à deux facteurs pour accéder à distance à votre système de messagerie. Si vous ne disposez pas de procédures écrites, élaborez-en. Vérifiez périodiquement vos procédures et processus écrits pour vous assurer qu’ils sont adaptés à l’évolution des techniques d’ingénierie sociale.
Formation de votre personnel à la vigilance et à la vérification des demandes
Formez les employés à votre processus de vérification hors bande. Si un vendeur ou un fournisseur demande à modifier des détails de son compte (y compris, mais sans s’y limiter, les numéros d’acheminement bancaire, les numéros de compte, les numéros de téléphone ou les coordonnées) : Confirmez toutes les demandes en appelant directement le vendeur ou le fournisseur. Veillez à utiliser un numéro de téléphone que le vendeur ou le fournisseur a fourni avant la réception de la demande. Avant d’apporter des modifications, envoyez un avis de réception de la demande à une autre personne que le demandeur initial. Exigez l’examen de toutes les demandes par un superviseur ou un approbateur de niveau supérieur avant d’apporter des modifications. Si la demande émane d’un fournisseur, vérifiez si les pratiques commerciales ont changé : Les factures précédentes ont-elles été envoyées par la poste avant de recevoir la dernière par e-mail ? Les paiements antérieurs étaient-ils effectués par chèque tandis que la demande concerne un virement bancaire ? Un contact professionnel actuel a-t-il demandé à être contacté via son adresse e-mail personnelle alors que toute la correspondance officielle antérieure passait par l’adresse e-mail de l’entreprise ? L’adresse ou le compte bancaire auquel le paiement doit être envoyé diffèrent-ils des paiements précédents effectués à ce vendeur ? Méfiez-vous des petites modifications d’adresses e-mails qui imitent des adresses e-mails légitimes : Par exemple : .co vs. .com ; abc-company.com vs. abc_company.com ; ou hijkl.com vs. hljkl.com. Signalez tout cas suspect à l’InfoSec ou au service informatique pour examen. Si la demande concerne un transfert de fonds, assurez-vous qu’elle soit conforme à la manière dont les instructions de transfert de fonds précédentes ont été demandées : Le directeur général ou le directeur financier demande-t-il directement un virement bancaire ? La demande est-elle cohérente avec les virements antérieurs : y compris le moment, la fréquence, le destinataire et le pays vers lequel les virements antérieurs ont été envoyés
Mise en place des processus appropriés pour minimiser les pertes potentielles
Nous aidons nos clients à renforcer leur résilience cyber
Beazley Security est une société internationale de cybersécurité qui s’engage à aider ses clients à développer une véritable résilience cyber : la capacité de faire face à une attaque cyber, et de s’en remettre.
Nous combinons des décennies d’expertise en matière de protection, de détection et de réponse aux incidents cyber avec la précision actuarielle et la capacité d’atténuation des risques de notre société mère, Beazley Insurance.
En savoir plus sur nos solutions de sécurité cyber.
