Attaque financière Catégorie générique Coût mondial > 50 Md$ Mis à jour · Avril 2026

BEC

Signification : Business Email Compromise · inclut fraude au président, FOVI, EAC, fraude fournisseur
Réponse rapide

Catégorie d’attaques par email ciblant les entreprises pour détourner des paiements, voler des données ou obtenir des accès, en usurpant l’identité d’un interlocuteur de confiance.

En une phrase — Le BEC est la catégorie générale des attaques email qui ciblent les entreprises pour détourner des paiements, voler des données ou obtenir des accès, en usurpant l'identité d'un interlocuteur de confiance. C'est aujourd'hui le cybercrime le plus coûteux au monde en volume financier.
Pertes mondiales cumulées
> 50 Md$ (FBI IC3, 2013-2023)
Pertes France estimées
Plusieurs centaines de M€/an
Variantes principales
CEO fraud · EAC · fraude fournisseur · fraude avocat · vol de données
Vecteur dominant
Spear phishing (+ compromission de compte)
Défense clé
Procédures de double validation + MFA FIDO2

01 — DéfinitionQu'est-ce que le BEC ?

Le BEC, pour Business Email Compromise, est une catégorie générique d'attaques informatiques qui ciblent les entreprises via email. Elle regroupe toutes les opérations dans lesquelles un attaquant usurpe l'identité d'un interlocuteur de confiance (dirigeant, collègue, fournisseur, avocat) pour obtenir un bénéfice financier ou informationnel : détournement de virement, changement d'IBAN frauduleux, vol de données, accès à des systèmes.

Le terme BEC vient du FBI, qui l'a popularisé dès 2013 via ses rapports IC3. Il englobe plusieurs variantes désignées par des termes plus spécifiques selon les pays et les contextes :

  • Fraude au président ou FOVI en France, CEO fraud en anglais — usurpation d'un dirigeant.
  • EAC (Email Account Compromise) — prise de contrôle effective d'une boîte email légitime.
  • Fraude au fournisseur — changement d'IBAN frauduleux sur des factures habituelles.
  • Fraude à l'avocat — faux conseil mandaté pour une opération confidentielle.
  • Vol de données RH — demande de bulletins de paie ou numéros de sécurité sociale au nom du dirigeant.

Le BEC est aujourd'hui la catégorie de cybercrime la plus coûteuse au monde en volume financier, devant le ransomware. Les pertes cumulées recensées par le FBI dépassent 50 milliards de dollars sur dix ans, sans compter les cas non déclarés ni les pays qui ne remontent pas leurs statistiques.

Le BEC ne nécessite aucune faille technique. Il n'exploite pas les systèmes, il exploite les procédures. Une entreprise parfaitement à jour techniquement peut perdre des millions en une matinée.

02 — VariantesLes 5 formes reconnues par le FBI

1. CEO fraud (fraude au président)

L'attaquant se fait passer pour un dirigeant (PDG, directeur général, DAF) auprès d'un collaborateur autorisé à exécuter des virements. Le prétexte : opération confidentielle (M&A), urgence à l'étranger, blocage douanier. L'exécution demande discrétion et rapidité. C'est la variante la plus médiatisée. Voir la fiche dédiée fraude au président.

2. EAC — Email Account Compromise

L'attaquant a pris le contrôle effectif d'une boîte email légitime (via phishing, credential stuffing, ou vol de token). Il peut alors lire la correspondance, configurer des règles de transfert silencieuses, et intervenir au moment opportun pour détourner une transaction réelle. C'est la variante la plus dangereuse car techniquement indétectable : les emails viennent bien de la vraie adresse.

3. Fraude au fournisseur (false invoice scheme)

L'attaquant se fait passer pour un fournisseur habituel de l'entreprise et signale un « changement d'IBAN » dû à une réorganisation bancaire. Les factures suivantes sont payées sur le compte frauduleux. C'est aujourd'hui le vecteur le plus volumineux du BEC en France, souvent couplé à un EAC chez le fournisseur (l'attaquant lit la correspondance pour choisir le bon moment).

4. Fraude à l'avocat (attorney impersonation)

Un faux avocat ou cabinet de conseil, prétendument mandaté par la direction, prend contact pour gérer une opération confidentielle (règlement de litige, acquisition, arbitrage). L'argument : le dirigeant ne peut pas confirmer directement à cause du secret de l'opération. Variante particulièrement efficace contre les trésoreries qui ne connaissent pas personnellement le conseil habituel.

5. Vol de données (data theft BEC)

L'attaquant, usurpant un dirigeant, demande au service RH l'envoi des bulletins de paie, des déclarations fiscales W-2 (États-Unis) ou d'un fichier d'employés. Les données servent ensuite à l'usurpation d'identité à grande échelle, à la fraude fiscale, ou à la revente sur les marchés cybercriminels.

03 — EACLe cas particulier de l'Email Account Compromise

L'EAC mérite un traitement séparé parce qu'il transforme radicalement la nature du BEC. Dans les autres variantes, l'attaquant imite une identité — l'email vient d'un domaine lookalike, d'un spoofing ou d'un compte tiers. Dans l'EAC, il est effectivement l'identité : l'email vient du bon domaine, du bon compte, avec la bonne signature.

Chaîne d'attaque typique

  1. Compromission initiale d'un compte via phishing ou credential stuffing.
  2. Établissement de persistance : règles de transfert discrètes, OAuth tokens, boîtes déléguées invisibles.
  3. Phase d'observation silencieuse (jours à semaines) pour comprendre les flux de paiement, les interlocuteurs, les processus.
  4. Identification d'une transaction réelle à intercepter (virement, facture, contrat).
  5. Intervention ciblée : détournement du virement via un changement d'IBAN inséré dans la vraie conversation.

Pourquoi c'est difficile à détecter

  • Les emails sont cryptographiquement valides (SPF, DKIM, DMARC passent).
  • Ils viennent du bon expéditeur, avec son style habituel.
  • Ils s'insèrent dans une conversation réelle, crédible par construction.
  • Les filtres anti-phishing modernes sont impuissants : rien d'objectivement frauduleux.

Signaux qui peuvent alerter

  • Règles de transfert inhabituelles apparaissant dans la boîte d'un collaborateur (surveiller systématiquement).
  • Connexions depuis des lieux géographiques incohérents (Conditional Access).
  • Modifications des métadonnées comportementales (heures de connexion, appareils inhabituels).
  • Changement d'IBAN dans une conversation email — déclencheur procédural à la vérification hors email.

04 — ChiffresL'ampleur du phénomène

Quelques données pour prendre la mesure du phénomène, principalement issues du FBI Internet Crime Complaint Center (IC3) et des retours d'expérience des cyber-assureurs.

  • > 50 milliards de dollars de pertes cumulées mondialement entre 2013 et 2023, selon le FBI.
  • ~2,9 milliards de dollars pour la seule année 2023 aux États-Unis (IC3 2024).
  • Plusieurs centaines de millions d'euros de pertes annuelles en France, source combinée (police judiciaire, cybermalveillance.gouv.fr, retours assureurs).
  • Montant médian : entre 100 000 et 500 000 €, avec une longue traîne pouvant dépasser plusieurs dizaines de millions pour les cas majeurs.
  • Catégorie la plus coûteuse de cybercrime en volume financier — supérieure au ransomware, au phishing de masse, aux fraudes à la carte, etc.
  • Taux de récupération des fonds très faible : environ 20 à 30% quand la procédure de recall SWIFT est déclenchée dans les 24 premières heures, quasi nul au-delà.

05 — CiblesQui est visé et pourquoi

Profils en entreprise

  • Direction financière : DAF, trésorier, comptable, contrôleur de gestion. Cible numéro un pour l'exécution des virements.
  • Ressources humaines : accès aux données salariés, RIB, bulletins de paie, fiches d'embauche. Cible du vol de données BEC.
  • Direction : PDG, DG, membres du comex. Cible indirecte via usurpation, ou directe via whaling préparatoire.
  • Achats : en relation avec des fournisseurs multiples, cible des fraudes au changement d'IBAN.
  • Juristes et assistants de direction : relais de confiance pour des opérations confidentielles.

Profils d'entreprises

  • ETI : combinaison idéale de volumes financiers significatifs et de procédures moins strictes qu'un grand groupe.
  • PME en forte croissance : processus pas encore formalisés, personnel récent peu formé.
  • Cabinets de conseil, avocats, experts-comptables : manipulent des fonds clients, vecteur d'attaque vers leurs propres clients.
  • Collectivités et associations : moins protégées, souvent soumises à des pressions d'urgence liées à leurs missions.
  • Grands groupes : ciblés sur des opérations précises via du spear phishing long et sophistiqué.

Pourquoi ces cibles ?

Le BEC n'est pas opportuniste, il est calculé. Les attaquants étudient leurs cibles via OSINT, choisissent les moments propices (vacances du PDG, opération connue en cours, clôture fiscale), et investissent plusieurs jours de préparation par campagne. Le retour sur investissement est extrêmement élevé, ce qui justifie le temps investi.

06 — DéfenseComment s'en protéger

Le BEC ne se bloque pas avec un seul outil. Il exige une combinaison de mesures procédurales, techniques et humaines qui se renforcent mutuellement.

Procédures financières strictes
  • Double validation obligatoire pour tout virement exceptionnel ou dépassant un seuil (à définir selon la taille).
  • Canal de vérification croisée imposé — rappel systématique sur un numéro connu, jamais celui fourni dans l'email suspect.
  • Délai de carence (24-48h) sur tout nouvel IBAN fournisseur avant premier paiement.
  • Procédure stricte de changement d'IBAN : vérification téléphonique sur le numéro habituel, jamais sur celui donné par email.
  • Aucun virement « à la discrétion » sur instruction verbale ou email seule d'un dirigeant. Formalisme documentaire systématique.
Mesures techniques
  • DMARC en mode reject sur tous les domaines — bloque l'usurpation exacte.
  • SPF et DKIM correctement configurés.
  • MFA FIDO2 sur toutes les boîtes email — bloque l'EAC en empêchant la compromission initiale.
  • Passerelle email avec détection BEC et d'impersonation (IA de cohérence expéditeur).
  • Alertes automatiques sur les emails externes affichant un nom de dirigeant.
  • Surveillance des domaines lookalikes via services spécialisés.
  • Journalisation des règles de transfert sur toutes les boîtes avec alerte en cas de création suspecte.
  • Conditional Access sur les connexions anormales (pays, appareil, heure).
Sensibilisation ciblée
  • Formation dédiée aux profils les plus exposés : finance, RH, direction, achats, assistants de direction.
  • Simulations BEC régulières (au moins 2 par an) avec scénarios incluant les variantes modernes.
  • Démonstration des clones vocaux IA et deepfakes — beaucoup sous-estiment sans avoir vu.
  • Culture de la vérification autorisée et valorisée, jamais sanctionnée même en cas de faux positif.
  • Protocole clair : face à une demande urgente inhabituelle, raccrocher ou ne pas répondre, vérifier par canal alternatif, puis agir.

07 — UrgenceRéagir si un BEC aboutit

Chaque heure compte. Voici les actions à enchaîner sans délai.

  1. Contacter immédiatement la banque émettrice pour demander un rappel de virement (recall). Appeler le service anti-fraude dédié, pas le conseiller commercial. Action impérative dans les premières 24 heures — au-delà, les chances de récupération s'effondrent.
  2. Déposer plainte immédiatement au commissariat ou via Thésée. Indispensable pour activer les procédures de recouvrement et la cyber-assurance.
  3. Informer la banque du bénéficiaire si l'IBAN est français ou européen. Elle peut bloquer les fonds tant qu'ils n'ont pas été transférés ailleurs.
  4. Activer le cyber-assureur si vous en avez un. Le BEC est couvert par la plupart des polices via la garantie fraude.
  5. Isoler les boîtes email potentiellement compromises — changer mots de passe, vérifier absence de règles de transfert, révoquer sessions actives, contrôler accès délégués.
  6. Lancer une investigation : l'attaquant a-t-il un accès persistant ? D'autres fraudes sont-elles en cours ou préparées ? Mobiliser le SOC ou un prestataire spécialisé.
  7. Communiquer en interne vers les autres collaborateurs exposés. Éviter qu'une deuxième tentative réussisse sur un autre service.
  8. Retour d'expérience structuré après la gestion de crise : quelle faille dans les procédures ? Quels ajustements à déployer pour éviter la récidive ?

08 — FAQQuestions fréquentes

Mon cyber-assureur couvrira-t-il les pertes ?

Probablement oui, sous la garantie « fraude » ou « FOVI » qui figure dans la plupart des contrats modernes. Les plafonds varient typiquement de 250 000 € à plusieurs millions. Attention : les assureurs exigent que vos procédures internes aient été respectées et que vous ayez un niveau de sécurité minimum (MFA, DMARC, sensibilisation documentée).

La banque a-t-elle une responsabilité ?

Rarement. Le BEC étant exécuté via un ordre validé par un collaborateur autorisé, la banque considère l'ordre comme légitime. Sa responsabilité ne peut être engagée que pour faute lourde ou défaut de vigilance manifeste. La responsabilité principale repose sur l'entreprise victime.

Les petites entreprises sont-elles vraiment ciblées ?

Oui, et de plus en plus. Pour un attaquant, une PME est une cible rentable : procédures moins strictes, personnel moins formé, dirigeant souvent joignable directement. Les montants sont moins élevés qu'en grand groupe, mais la préparation est plus rapide et le succès plus probable. Les cas de BEC contre des PME françaises pour 100 000 à 500 000 € sont quasi hebdomadaires.

L'IA rend-elle le BEC plus dangereux ?

Significativement. Les modèles génératifs rédigent des emails parfaitement au ton du dirigeant. Les clones vocaux crédibilisent par téléphone. Les deepfakes vidéo rendent possibles les fraudes par visio. L'IA abaisse drastiquement le coût de préparation et augmente le taux de succès. La défense doit basculer vers des procédures structurelles qui restent efficaces même face à un contenu parfait.

Le télétravail augmente-t-il le risque BEC ?

Oui. Les interactions directes en personne (valider un virement en passant dans le bureau du DAF) ont largement disparu. Les décisions se prennent par email, Slack, visio — autant de canaux exploitables par un attaquant. La formalisation des procédures de double validation à distance est devenue critique.