Lorsque l’on pense aux principales cyberattaques, le déploiement d’un ransomware est souvent évoqué en premier. Un scénario apocalyptique avec les ordinateurs des équipes verrouillés à leur arrivée au bureau, les sauvegardes chiffrées, parfois même les badges d’entrée en panne. 

Mais il existe un autre type d’attaque, moins médiatisé mais qui peut causer un dommage financier conséquent à votre entreprise - et qui est même plus facile à mettre en oeuvre pour les cyber criminels. 

Le Business Email Compromise (BEC) ou compromission de messagerie en français. 

Cet article répond à 3 questions sur les BEC : 

  • Qu’est ce que cette attaque et comment est elle mise en oeuvre ?  
  • Quels sont les impacts pour l’entreprise ? 
  • Comment s’en protéger ? 

Qu’est ce qu’une attaque Business Email Compromise ? 

Quelle est la définition du Business Email Compromise ? 

Une attaque BEC (Business Email Compromise ou compromission de messagerie d’entreprise) est une cyberattaque qui provient ou semble provenir d’une adresse mail légitime, le plus souvent du PDG de l’entreprise ou d’un membre du COMEX. Elle a pour objectif d’amener la cible a prendre certaines actions,, notamment de réaliser un virement ou des paiements aux hackers.

Un exemple basique : une personne du service compta reçoit une facture urgente assortie d’un nouveau RIB, pour un fournisseur régulier. Elle la règle. Le paiement est en fait parti aux hackers. 

Quelles formes le BEC peut-il prendre ? 

On peut distinguer deux grands types d’attaques BEC :

  • Les attaques par spoofing ou usurpation d'identité : dans ce cas, les hackers vont trouver le format de l’email d’entreprise et des éléments de fiabillisation (par exemple le format de signature électronique de l’entreprise, le nom et prénom du PDG…) via l’OSINT et vont imiter ces éléments et un utiliser un nom d'envoyeur similaire à l’adresse légitime pour convaincre leur cible
  • Les attaques par adresses compromises : les hackers ont déjà compromis un compte (de l’entreprise ou d’un de ses clients ou fournisseurs) et vont s’en servir pour l’attaque. Dans ce cas, l’adresse email est légitime : il est donc bien plus difficile pour la cible de détecter l’attaque.

Dans les cas les plus avancés, ces emails peuvent être assortis d’éléments complémentaires : faux SMS avec spoofing des numéros du PDG, faux appels utilisant des outils de maquillage de la voix… Les hackers déploient toute une panoplie d’ingéniérie sociale pour convaincre leur cible de passer à l’acte. 

Deux exemples de cyberattaques BEC

1. Une fraude a $21 millions pour Pathe

En 2018 l’équipe dirigeante de Pathé Pays Bas (CEO, CFO) a reçu un message urgent du CEO de Pathé France.

“Nous conduisons une opération d’acquisition d’une entité à Dubai. Cette opération doit rester secrète afin d’avoir un avantage sur nos compétiteurs”. 

Dans le cadre de cette (fausse) opération, il fallait un virement de €800 000 pour payer les frais de dossier. L’équipe de Pathé Pays Bas a fait ce premier paiement. 

S’en sont suivis plusieurs demandes de paiement, parfois accompagnés d’éléments de fiabilisation comme la signature du PDG de Pathé, et les signatures des membres du conseil d’administration. 

Au total, se sont près de $21 millions qui ont été escroqués dans cette attaque BEC.. Soit 10% du chiffre d’affaires annuel de l’entreprise.

2. Un paiement d'un million pour une PME française

Pas besoin d’être une entreprise leader dans son secteur pour être ciblée ! 

Une PME (anonyme) de la région lyonnaise, dans le secteur de la construction et de l’immobilier, a reçu une demande d’un de ses fournisseurs de paiement de factures. 

Le mail était assorti de factures au format habituel, provenait de l’adresse du fournisseur… et fournissait un nouveau RIB. Montant du paiement ? Environ €1 million.

Le comptable a effectué les paiements avant d’appeler son fournisseur… et de se rendre compte de l’attaque BEC. Heureusement - dans ce cas précis - un contrôle effectué par la banque Turque en question a permis de geler le paiement et à la PME de récupérer son argent. 

De nos conversations avec des DSI et RSSI, ce type d’attaque ciblant des PME est extrêmement fréquent.

Quels sont les impacts pour l’entreprise dans une cyberattaque BEC ? 

Il y a trois impacts principaux des attaques BEC pour une entreprise : 

  • Risque financier :Comme évoqué dans les exemples ci-dessus, les paiements effectués par les entreprises dans le cadre des fraudes lors d’attaques BEC peuvent atteindre des montants conséquents. Le FBI évoque le chiffre de $43 milliards sur 6 ans (2016 - 2021) soit $7 milliards par an. Des chiffres pour la France ne sont pas disponibles, mais en janvier 2022 un promoteur immobilier français a été victime d’une arnaque à €33 millions.
  • Risque de réputation : Comme dans toute cyberattaque, il y a un risque de réputation pour l'entreprise et pour les victimes de l'attaque. Dans l'exemple de Pathe ci-dessus, les cadres qui ont effectué les paiements ont été licenciés après la révélation de la fraude.
    Ce risque est particulièrement important pour les entreprises dont les e-mails ont été compromis dans un premier temps, puis sont utilisés pour cibler leurs clients avec de fausses factures.
  • Risque cyber : Bien que les attaques BEC visent principalement à obtenir des paiements frauduleux, elles peuvent aussi servir pour obtenir des accès initiaux via le déploiement de malware (drive-by-download, pièces jointes malicieuses…) qui peuvent ensuite servir pour des cyberattaques

Comment protéger l’entreprise des attaques BEC ? 

Ce qui est particulièrement préoccupant avec une attaque BEC c’est que bien qu’il s’agisse d’une cyberattaque qui utilise des outils technologiques, il n’y a pas de réponse technologique à apporter. 

On pourrait penser que des antispams pourraient aider contre des spoofing d’adresse email (ils sont évidemment inopérants contre des emails provenant d’adresse email légitimes mais compromises) mais les hackers savent comment les contourner.  

Voici néanmoins des pistes de réponses à apporter pour parer cette menace : 

  • Procédures : Il est indispensable de mettre des procédures robuste en place pour le paiement de factures, qui plus est en cas de changement de RIB (double vérification, authentification par un canal de communication alternatif…). Malheureusement, cela ne suffit souvent pas car ces procédures peuvent ne pas être suivies (répétition, volume de factures à traiter) ou être contournées par l’ingéniérie sociale (urgence, peur, autorité)
  • Technique : La mise en place d’antispams, de l’authentification multi-factorilelle, de la protection du domaine avec le SPF, DMARC, DKIM est évidemment nécessaire. Elle permet de protéger ses clients et fournisseurs du spoofing de domaine et apporte des protections à l’entreprise. Mais, encore une fois, le BEC s’appuie sur des actions humaines qui peuvent invalider ou contourner ces protections automatisées

Il devient donc nécessaire d’ajouter des briques à cette défense :

  • Sensibilisation: La formation est un autre éléments indispensable d’une stratégie de protection contre les attaques BEC. Il faut informer les collaborateurs de ce risque, des tactiques des hackers (leviers psychologiques et ingéniérie sociale), leur expliquer les bonnes pratiques à suivre (analyse email, procédures, vérifications). Et le faire de manière régulière afin que le sujet demeure présent dans leur esprit 
  • Entraînement: Entraîner les collaborateurs à détecter les emails frauduleux permet de développer chez eux un réflexe d’analyse qui leur permettra de faire face de la bones manière aux emails des hackers

Enfin, l’analyse en temps réel de la dangerosité d’un email (au-delà des éléments pris en compte par un antispam) en proposant une alerte aux utilisateurs (dans le cas d’une adresse email légitime mais avec une nouveau RIB par exemple) leur donnera les armes pour prendre les bonnes décisions. 

Vous souhaitez découvrir la solution de Mantra pour protéger l’entreprise des risques liés aux attaques Business Email Compromise ? Cliquez ici pour prendre rendez-vous