Définition et principes de l’arnaque au président

Selon le CERT-FR et l’ANSSI, l’arnaque au président (aussi appelée Business Email Compromise ou BEC fraud) consiste à usurper l’identité d’un dirigeant (PDG, DAF, directeur juridique, etc.) afin de convaincre un employé de réaliser une opération financière urgente et confidentielle.
L’attaquant se fait passer pour une figure d’autorité légitime et exploite le contexte hiérarchique pour créer un climat de pression psychologique.

Schéma type de l’attaque

1. Collecte d’informations : le cybercriminel recueille des données publiques (site web, réseaux sociaux, communiqués de presse, organigramme interne).

2. Usurpation d’identité : il falsifie une adresse e-mail proche de celle du dirigeant ou du partenaire (ex. : pdg@domaine.com au lieu de pdg@domaine.fr).

3. Message frauduleux : il contacte une personne ciblée en invoquant l’urgence et la confidentialité.

4. Manipulation émotionnelle : le ton est directif, valorisant ou menaçant selon le profil de la victime.

5. Virement ou divulgation : la victime procède à l’action demandée sans vérification, pensant obéir à une consigne légitime.

Exemples concrets d’attaques

• Une PME reçoit un e-mail prétendument envoyé par son PDG, en déplacement à l’étranger, demandant un virement “stratégique” urgent.

• Un faux avocat contacte le service financier pour une “opération confidentielle de fusion-acquisition”.

• Un directeur comptable est incité à transférer plusieurs centaines de milliers d’euros vers un compte à l’étranger avant vérification.

Selon l’ENISA, ces attaques représentent plusieurs centaines de millions d’euros de pertes chaque année en Europe, souvent impossibles à recouvrer une fois les fonds transférés.

Signes révélateurs d’une tentative d’arnaque au président

• Adresse e-mail ou nom de domaine légèrement modifié

• Ton inhabituel, insistant sur la confidentialité ou l’urgence

• Absence de procédure habituelle de validation interne

• Demande de virement international ou de changement de bénéficiaire

• Refus d’échanges téléphoniques directs

Ces indices doivent immédiatement déclencher un signalement interne au service sécurité ou à la direction cybersécurité.

Pourquoi ces attaques réussissent-elles encore ?

L’arnaque au président exploite la dimension humaine de la cybersécurité. Contrairement à une intrusion technique, elle contourne les défenses numériques en s’appuyant sur la manipulation psychologique.
Même les systèmes les plus sécurisés restent vulnérables sans une culture de cybersécurité solidement ancrée dans l’entreprise.

Mesures de prévention recommandées

1. Sensibilisation et formation des équipes

Les campagnes de phishing simulation et de cyber awareness sont essentielles. Les collaborateurs doivent être capables d’identifier les tentatives d’usurpation et de réagir sans précipitation.

2. Procédures de validation renforcées

Toute demande exceptionnelle de transfert ou de partage de données sensibles doit faire l’objet d’une double vérification, notamment par un canal différent (appel téléphonique, messagerie interne).

3. Sécurisation technique

• Authentification multifacteur (MFA)

• Surveillance des domaines similaires (typosquatting)

• Détection d’anomalies dans les flux financiers

• Filtrage avancé des e-mails (anti-spoofing, SPF, DKIM, DMARC)

4. Supervision et réponse aux incidents

La mise en place d’un SOC (Security Operations Center) ou d’une solution de détection comportementale telle que Reveelium d’ITrust permet d’identifier en temps réel les comportements suspects et de bloquer les opérations à risque.