Quelle différence entre phishing, spear phishing et fraude au président ?

Le phishing est une attaque de masse visant à capturer des identifiants. Le spear phishing est un phishing ciblé et personnalisé. La fraude au président (BEC) est une variante spécifique de spear phishing dont l'objectif est un virement bancaire frauduleux, obtenu en se faisant passer pour un dirigeant ou un interlocuteur de confiance. Toutes les fraudes au président sont du spear phishing ; tous les spear phishings ne sont pas des fraudes au président.

Combien coûte la fraude au président en France ?

Les pertes déclarées en France sont estimées à plusieurs centaines de millions d'euros par an, avec des montants unitaires allant de quelques dizaines de milliers à plusieurs dizaines de millions d'euros. À l'échelle mondiale, le FBI chiffre les pertes BEC à plus de 50 milliards de dollars cumulés sur la dernière décennie. En France, les FOVI sont régulièrement cités comme la première source de préjudice cyber en volume financier.

Peut-on récupérer l'argent envoyé après une fraude au président ?

Parfois, si vous agissez très vite. Dans les 24 à 48 heures, une procédure de rappel de virement (recall SWIFT) peut permettre de bloquer les fonds, surtout s'ils n'ont pas encore été transférés vers d'autres comptes ou convertis en cryptomonnaie. Au-delà, les chances de récupération chutent drastiquement. Le dépôt de plainte immédiat et la mobilisation du département anti-blanchiment de la banque sont les premiers réflexes.

Une petite entreprise peut-elle être visée ?

Absolument, et c'est même une tendance en progression. Les PME sont des cibles rentables : contrôles moins stricts, dirigeant souvent joignable directement, fournisseurs moins nombreux donc plus faciles à identifier. Les attaques contre les PME sont préparées en quelques jours et peuvent rapporter des montants considérables au regard de l'effort investi. Aucune taille d'entreprise n'est à l'abri.

Fraude au président (BEC) : définition, scénarios et comment s'en protéger

Pertes mondiales cumulées: > 50 Md$ sur la décennie (FBI/IC3)
France (estimations): Plusieurs centaines de M€/an
Montant médian (France): Entre 100 k€ et 500 k€ par incident
Cibles privilégiées: DAF, comptable, trésorier, RH
Classification juridique: Escroquerie en bande organisée (art. 313-1 et 313-2)

01 — DéfinitionQu'est-ce que la fraude au président ?

La fraude au président — connue internationalement sous le terme Business Email Compromise (BEC) et en France aussi sous l'acronyme FOVI (faux ordre de virement international) — est une attaque d'ingénierie sociale dont l'objectif est exclusivement financier. L'attaquant se fait passer pour le PDG, le directeur financier, un avocat mandaté par la direction ou un fournisseur de confiance, afin d'obtenir d'un collaborateur autorisé à virer des fonds un transfert bancaire urgent et confidentiel vers un compte qu'il contrôle.

C'est l'une des attaques les plus coûteuses du paysage cyber. Contrairement au ransomware qui impose une rançon négociable, la fraude au président se solde par un virement immédiat et souvent irrécupérable. Les montants vont de quelques dizaines de milliers d'euros dans une PME à plusieurs dizaines de millions dans des grands groupes.

Aucune faille technique n'est exploitée. L'attaquant n'a pas besoin de pirater quoi que ce soit : il manipule simplement la hiérarchie et l'urgence pour que l'argent sorte tout seul.

02 — MécaniqueComment se déroule l'attaque

1. Reconnaissance

L'attaquant identifie sa cible et son organisation via OSINT : qui est le PDG, qui est le DAF, comment communiquent-ils, qui signe les virements ? Il recoupe ces informations avec des fuites de données, des publications LinkedIn, le site de l'entreprise, la presse économique. Dans les cas avancés, il surveille les calendriers publics des dirigeants pour identifier les créneaux d'absence propices à l'attaque.

2. Positionnement

Deux options principales :

Usurpation externe — création d'une adresse email ressemblante (.co au lieu de .com, lettre manquante dans le nom de domaine) ou simple spoofing (usurpation du champ From) si DMARC n'est pas configuré en reject.
Compromission réelle (account takeover) — l'attaquant a pris le contrôle du vrai compte email du dirigeant via phishing. C'est la version la plus dangereuse : impossible à détecter par les filtres, l'email vient bien de la bonne adresse.

3. Déclenchement

L'attaquant envoie un email au collaborateur cible, typiquement la DAF, un comptable ou un trésorier. Le ton imite celui du dirigeant habituel. Le prétexte est souvent : opération d'acquisition confidentielle, règlement urgent à un nouveau fournisseur, blocage douanier à débloquer, avocat mandaté par la direction.

4. Entretien de la pression

La victime pose des questions — l'attaquant répond en conservant la posture d'autorité et en renforçant l'urgence. Dans les cas sophistiqués, un complice joue le rôle de l'avocat mandaté ou appelle au téléphone pour « confirmer » les instructions. Les clones vocaux par IA rendent cette phase de plus en plus dangereuse.

5. Exfiltration

Le virement part. L'argent transite rapidement par plusieurs comptes relais (souvent dans des pays sans entraide judiciaire rapide), puis est converti en cryptomonnaie ou retiré en espèces. En moins de 24 heures, les fonds peuvent être définitivement hors de portée.

03 — VariantesLes différentes formes de BEC

CEO fraud — la forme classique

L'attaquant se fait passer directement pour le PDG auprès d'un collaborateur de confiance. « Jean, je suis en réunion confidentielle, peux-tu faire ce virement pour l'acquisition en cours ? ».

Fraude à l'avocat / au cabinet

L'attaquant se présente comme un avocat ou un conseil mandaté par la direction pour une opération confidentielle. L'argument : le dirigeant ne peut pas confirmer directement à cause du secret de l'opération, mais l'avocat dispose des pleins pouvoirs.

Fraude au changement d'IBAN fournisseur

Le vecteur le plus volumineux en 2025-2026. L'attaquant se fait passer pour un fournisseur habituel et informe la comptabilité d'un changement d'IBAN. Les factures suivantes sont payées sur le compte frauduleux. Variante très dangereuse car sans urgence apparente, elle peut passer inaperçue pendant plusieurs cycles de paiement.

Fraude aux salaires (payroll redirection)

L'attaquant se fait passer pour un salarié auprès des RH et demande un changement de RIB pour le versement de son salaire. Le prélèvement mensuel suivant va sur le compte frauduleux.

Compromission de messagerie (EAC)

L'attaquant prend d'abord le contrôle d'une boîte email légitime (souvent d'un dirigeant ou d'un commercial grand compte), puis observe la correspondance en silence pour identifier les transactions à venir, et détourne un virement au moment opportun. Variante difficile à détecter parce que les emails proviennent d'une vraie adresse.

04 — PsychologieLes ressorts utilisés

Toutes les fraudes au président s'appuient sur un cocktail récurrent de leviers psychologiques. Les reconnaître, c'est déjà commencer à résister.

Autorité — usurpation hiérarchique explicite ou implicite. Le collaborateur qui reçoit la demande hésite à contredire ou à vérifier auprès du « dirigeant ».
Urgence — délai artificiellement serré, échéance imposée, impossibilité d'attendre une procédure normale.
Confidentialité — consigne de ne parler à personne en interne. Neutralise la vérification croisée qui aurait révélé la fraude.
Exclusivité — « je te fais confiance pour cette mission sensible ». Flatte et engage la victime.
Plausibilité — référence à un projet réel, à une opération d'acquisition connue, à un fournisseur habituel. Le contexte crédible désarme le doute.
Escalade contrôlée — la demande commence parfois par un échange anodin (validation d'une information) pour amorcer le lien, avant la vraie demande financière.

05 — ExemplesCas réels en France

Groupe Pathé — 19 millions d'euros (2018)

Probablement la fraude au président la plus médiatisée en France. La filiale néerlandaise de Pathé a reçu des emails prétendument envoyés par le PDG du groupe, demandant des virements urgents et confidentiels pour une opération d'acquisition à Dubaï. 19 millions d'euros ont été virés en plusieurs tranches avant que le stratagème ne soit découvert. Les deux dirigeants néerlandais ont été licenciés pour manquement aux procédures.

PME industrielle — 340 000 € (2023)

Une ETI industrielle familiale de 180 salariés reçoit un email semblant venir du PDG, en déplacement aux États-Unis. Il évoque une opportunité confidentielle d'acquisition d'un brevet auprès d'un concurrent américain, avec consigne expresse de ne pas en parler à la direction financière historique « pour éviter les indiscrétions ». La trésorière effectue trois virements successifs totalisant 340 000 €. Le PDG, joint le lendemain matin, découvre la fraude. Récupération partielle (80 000 €) via rappel SWIFT déclenché dans les 24h.

Collectivité territoriale — 1,2 M€ (2024)

Une communauté de communes reçoit un email prétendument de son prestataire de travaux publics, signalant un changement d'IBAN suite à une « réorganisation bancaire ». Le changement est enregistré sans vérification par téléphone. Les trois paiements suivants, totalisant 1,2 M€, sont versés sur le compte frauduleux. La fraude n'est découverte qu'à la relance du vrai prestataire. Recouvrement quasi nul.

Multinationale à Hong Kong — 25 M$ via deepfake (2024)

Exemple international mais documenté qui illustre l'évolution de la menace : un employé de la filiale hongkongaise d'Arup (groupe britannique d'ingénierie) est invité à une visioconférence avec son directeur financier et plusieurs cadres. Tous sont des deepfakes vidéo et vocaux générés par IA. À l'issue de la réunion, l'employé effectue 15 virements totalisant 25 millions de dollars. Premier cas documenté à grande échelle de BEC en visio assisté par IA.

06 — ProtectionComment s'en protéger

La fraude au président ne se combat pas techniquement : les meilleurs outils ne bloqueront pas un virement validé par un humain. La défense repose sur la combinaison procédure + technique + humain.

Procédures financières

Règle d'or : aucun virement exceptionnel ne se déclenche sur la seule base d'un email, quelle que soit l'origine apparente.
Double validation obligatoire pour tout virement dépassant un seuil (à définir selon la taille).
Canal de vérification croisée imposé : rappel systématique du dirigeant sur un numéro connu (pas celui de l'email).
Procédure stricte de changement d'IBAN fournisseur : vérification par téléphone sur le numéro habituel, jamais sur celui transmis dans le nouvel email.
Délai de carence (24-48h) sur les nouveaux IBAN avant premier paiement.
Pas de virements « à la discrétion » sur instruction verbale d'un dirigeant sans trace documentée.

Mesures techniques

DMARC en mode reject sur tous les domaines d'entreprise.
MFA FIDO2 sur toutes les boîtes email de dirigeants et de la direction financière.
Passerelle email avec détection BEC et d'impersonation (IA de cohérence expéditeur).
Alertes automatiques sur les emails externes affichant un nom d'expéditeur correspondant à un dirigeant.
Surveillance des domaines lookalikes via des services spécialisés.
Journalisation et surveillance des boîtes email des dirigeants (règles de transfert, nouvelles boîtes déléguées).

Sensibilisation ciblée

Formation dédiée aux profils les plus exposés : DAF, trésorier, comptable, RH, direction.
Simulations de fraude au président régulières (au moins 2 par an).
Scénarios intégrant les variantes modernes : changement d'IBAN, avocat mandaté, appel deepfake vocal.
Culture explicite autorisant (et valorisant) la remise en question d'une demande hiérarchique suspecte, même si elle s'avère légitime.
Retours d'expérience anonymisés en cas de tentative détectée.

07 — UrgenceQue faire si ça arrive

Si un virement frauduleux vient de partir, chaque minute compte. Voici les actions à mener dans l'heure qui suit.

Contacter immédiatement la banque émettrice pour demander un rappel de virement (recall). Plus c'est rapide, plus les chances sont élevées. Appeler le service anti-fraude dédié, pas le conseiller commercial habituel.
Déposer plainte dans la foulée au commissariat ou en ligne sur Thésée. Obligatoire pour engager toute procédure de récupération et pour bénéficier de la couverture cyber-assurance.
Informer la banque du bénéficiaire : si l'IBAN est français ou européen, la banque destinataire peut bloquer les fonds tant qu'ils n'ont pas été reversés.
Activer le cyber-assureur si vous en avez un. Le BEC est couvert par la plupart des polices modernes sous réserve du respect des procédures internes.
Isoler les boîtes email potentiellement compromises : changer mots de passe, vérifier absence de règles de transfert, révoquer les sessions actives, contrôler les accès délégués.
Lancer une investigation interne : l'attaquant a-t-il un accès persistant ? D'autres fraudes sont-elles en cours ou préparées ? Mobiliser le SOC ou un prestataire d'investigation.
Communiquer en interne vers les autres collaborateurs exposés, pour éviter qu'une deuxième tentative ne réussisse sur un autre service.

08 — FAQQuestions fréquentes

La banque me remboursera-t-elle ?

Rarement. Contrairement aux fraudes bancaires grand public couvertes par la DSP2, les virements professionnels validés par un collaborateur autorisé sont juridiquement considérés comme des ordres légitimes. La banque n'a pas d'obligation de remboursement, sauf faute lourde prouvée de sa part. La responsabilité repose principalement sur l'entreprise victime.

La cyber-assurance couvre-t-elle la fraude au président ?

Oui, la plupart des contrats modernes couvrent le BEC, souvent via une garantie spécifique « fraude » distincte de la garantie cyber principale. Les plafonds sont variables (généralement 250 k€ à quelques millions), et le respect des procédures internes de validation est une condition de couverture.

Pourquoi les dirigeants sont-ils ciblés ?

Parce qu'ils ont l'autorité pour exiger un virement sans passer par les procédures habituelles. Le collaborateur qui reçoit la demande est placé dans un dilemme : désobéir au PDG ou contourner la procédure. Dans le doute, sous pression, beaucoup choisissent de valider. Les attaquants exploitent précisément cette asymétrie.

L'IA rend-elle ces attaques plus difficiles à contrer ?

Profondément. Les clones vocaux permettent de « confirmer » par téléphone avec la voix exacte du PDG. Les deepfakes vidéo rendent les visioconférences de validation trompeuses. Les modèles génératifs rédigent des emails parfaitement adaptés au ton de chaque dirigeant. Tous les signaux traditionnels de détection (faute, ton inhabituel) disparaissent. La défense doit basculer du « détecter le faux » vers le « vérifier systématiquement par canal alternatif indépendant ».

Le dirigeant visé peut-il être tenu pour responsable ?

Pas personnellement en tant que victime usurpée. En revanche, en cas de carence grave dans la mise en place de procédures ou de contrôles — notamment dans les entités soumises à NIS2 ou dans les secteurs régulés — la responsabilité de la direction peut être engagée pour manquement à l'obligation de vigilance.