Skip to content
Glossaire

BEC (Fraude au président)

Le BEC (Business Email Compromise), ou fraude au président, est une attaque dans laquelle l'attaquant usurpe l'identité d'un dirigeant, d'un fournisseur ou d'un partenaire pour demander un virement frauduleux ou détourner un paiement. C'est la forme de cybercriminalité la plus coûteuse selon le FBI, avec des pertes mondiales de 55 milliards de dollars entre 2013 et 2023.

5 min de lecture Thomas Ferreira

Comment fonctionne la fraude au président

La fraude au président est un spear phishing financier. L’attaquant ne cherche pas à voler des identifiants ou à installer un malware — il veut directement un virement bancaire.

Les variantes principales

1. L’usurpation du dirigeant (CEO Fraud)

L’attaquant se fait passer pour le PDG ou le DG et contacte le DAF ou la comptabilité :

“Bonjour Marie, je suis en négociation confidentielle pour une acquisition. J’ai besoin d’un virement de 180 000 € aujourd’hui. C’est strictement confidentiel — n’en parlez à personne dans l’entreprise. Le cabinet qui gère le dossier va vous envoyer les coordonnées.”

Les éléments clés : urgence (aujourd’hui), autorité (le PDG), confidentialité (ne parlez à personne = pas de vérification possible).

2. L’arnaque au changement de RIB (Vendor Email Compromise)

L’attaquant se fait passer pour un fournisseur et demande de modifier les coordonnées bancaires pour les prochains paiements. Deux variantes :

  • Domaine usurpé : l’email vient de facturation@fournisseur-sas.fr au lieu de fournisseur.fr
  • Compte compromis : l’attaquant a vraiment piraté la boîte email du fournisseur et envoie depuis le vrai compte — indétectable par les filtres

3. La fraude à la paie

L’attaquant se fait passer pour un employé et envoie un email aux RH : “J’ai changé de banque, voici mon nouveau RIB pour le prochain virement de salaire.” Les RH modifient le RIB sans vérification, et le salaire suivant part sur le compte de l’attaquant.

4. La fausse facture avocat / cabinet conseil

L’attaquant se fait passer pour l’avocat de l’entreprise ou un cabinet de conseil et envoie une facture pour une “mission confidentielle” approuvée par la direction. Le DAF règle sans vérifier auprès du PDG (puisque c’est “confidentiel”).

Cas réels en France

Pathé — 19,2 millions d’euros (2018)

Le cas le plus spectaculaire en France. Des escrocs se sont fait passer pour le PDG de Pathé et ont convaincu le directeur de la filiale néerlandaise de transférer 19,2 millions d’euros en plusieurs virements pour une “acquisition confidentielle.” Les emails usurpaient l’adresse du PDG et invoquaient à chaque fois l’urgence et le secret absolu.

KPMG — Fraude détectée à temps (2016)

Un faux email du “managing partner” de KPMG a demandé un virement à un employé du département financier. La tentative a été détectée grâce aux procédures de double vérification en place.

PME de Loire-Atlantique — 480 000 euros (2023)

Un directeur financier a effectué un virement de 480 000 euros après un appel téléphonique du “PDG” combiné à des emails. L’attaque a combiné vishing et BEC classique. La voix était suffisamment crédible pour que le DAF ne remette pas en question la demande.

Industrie automobile — 42 millions d’euros (FACC, Autriche, 2016)

L’équipementier automobile autrichien FACC a perdu 42 millions d’euros après que son département comptable a transféré des fonds sur la base d’emails frauduleux se faisant passer pour le PDG. Le PDG et le DAF ont tous les deux été licenciés.

Pourquoi le BEC est si difficile à détecter

Le BEC contourne la quasi-totalité des protections techniques classiques :

ProtectionEfficacité contre le BEC
Filtre anti-spamInefficace — pas de marqueurs de spam
AntivirusInefficace — pas de malware
SPF/DKIM/DMARCPartiellement efficace — bloque l’usurpation de domaine mais pas les comptes compromis
Filtrage d’URLInefficace — souvent aucun lien
Analyse comportementale emailPartiellement efficace — peut détecter des anomalies

Le BEC est fondamentalement une attaque d’ingénierie sociale, pas une attaque technique. La défense doit être humaine et organisationnelle.

Comment protéger votre entreprise

Processus de vérification des virements

La mesure la plus efficace est aussi la plus simple : ne jamais exécuter un virement sur la base d’un seul email ou appel.

  • Double signature obligatoire au-delà d’un seuil (ex : 5 000 €)
  • Vérification systématique par un canal différent : si la demande vient par email, vérifier par téléphone au numéro habituel du demandeur (pas le numéro dans l’email)
  • Procédure écrite pour les changements de RIB fournisseur : appeler le contact connu chez le fournisseur, vérifier sur le site officiel, exiger un courrier en-tête
  • Délai de 24-48h pour tout changement de coordonnées bancaires : la plupart des fraudes exploitent l’urgence

Procédure anti-fraude au président

Mettre en place une procédure explicite connue de toute l’entreprise :

  1. Toute demande de virement “urgente et confidentielle” de la direction déclenche automatiquement une vérification
  2. L’employé ne sera jamais sanctionné pour avoir retardé un virement afin de vérifier (même si la demande était légitime)
  3. Un mot de passe oral convenu avec les dirigeants permet de valider les demandes téléphoniques sensibles
  4. L’absence du dirigeant (vacances, déplacement) est le moment de vigilance maximale, pas d’exécution rapide

Sensibilisation ciblée

Les populations à former en priorité :

  • Comptabilité et DAF : scénarios de fraude au virement, changement de RIB
  • RH : scénarios de fraude à la paie, faux salariés
  • Assistants de direction : scénarios d’usurpation du dirigeant
  • Service achats : scénarios de faux fournisseurs

Les simulations de phishing classiques (lien piégé) ne couvrent pas le BEC. Il faut des simulations spécifiques qui testent la réaction à une demande de virement par email, sans lien ni pièce jointe.

Protection technique complémentaire

  • DMARC en mode reject : empêche l’usurpation de votre propre domaine dans les emails sortants
  • Alertes sur les domaines similaires : surveiller l’enregistrement de domaines proches du vôtre (entreprise-sas.fr, entrepr1se.fr)
  • Règles de détection dans Microsoft 365 / Google Workspace : alerter quand un email externe utilise le nom d’un dirigeant interne comme display name
  • Revue des règles de transfert email : un attaquant qui compromet un compte crée souvent une règle automatique pour transférer les emails vers un compte externe

Le BEC en 2026 : l’effet IA

L’IA générative amplifie le BEC de trois manières :

  1. Emails parfaits : le ton, le style et les références contextuelles du dirigeant usurpé sont reproduits avec une fidélité inédite
  2. Deepfakes vocaux : un appel de confirmation avec la voix clonée du PDG valide la demande écrite
  3. Deepfakes vidéo : des visioconférences entières avec des avatars deepfake de collègues (cas Arup, 25 millions de dollars en 2024)

La combinaison email + appel deepfake rend la fraude au président presque indétectable par les sens humains. Seuls les processus formels de vérification — pas l’intuition — protègent l’entreprise.

Questions fréquentes

Qu'est-ce que la fraude au président ?

La fraude au président (aussi appelée BEC ou 'arnaque au faux PDG') est une attaque par ingénierie sociale où l'escroc se fait passer pour le dirigeant de l'entreprise (ou un autre décideur) pour convaincre un employé d'effectuer un virement urgent vers un compte contrôlé par l'attaquant. Le message invoque toujours l'urgence et la confidentialité pour empêcher la vérification.

Quelle est la différence entre BEC et phishing classique ?

Le phishing classique est envoyé en masse et vise à voler des identifiants. Le BEC cible une personne précise dans l'entreprise (comptable, DAF) avec un message personnalisé et un objectif financier direct : obtenir un virement ou détourner un paiement. Le BEC ne contient souvent aucun lien ni pièce jointe — juste du texte, ce qui le rend invisible pour les filtres anti-spam.

Combien coûte en moyenne une fraude au président ?

En France, les pertes varient de 50 000 à plusieurs millions d'euros par incident. Le cas Pathé (2018) a atteint 19,2 millions d'euros. Les PME sont touchées avec des montants de 50 000 à 300 000 euros en moyenne. Le BEC représente les pertes financières les plus élevées de toutes les formes de cybercriminalité au niveau mondial.

Pourquoi les filtres email ne détectent-ils pas le BEC ?

Le BEC est un email textuel, sans lien malveillant ni pièce jointe infectée. Si l'attaquant utilise un compte email compromis (pas un domaine usurpé), l'email passe l'authentification SPF/DKIM/DMARC normalement. Le contenu est un message professionnel ordinaire — seul le contexte humain permet de le détecter.

Mon assurance couvre-t-elle la fraude au président ?

Certaines assurances cyber couvrent la fraude par ingénierie sociale, mais avec des conditions strictes : procédures de vérification documentées, formation des employés, double validation des virements. Si vous n'avez pas de processus formel de vérification et que vous êtes victime, l'assureur peut refuser l'indemnisation pour négligence.

Testez la sécurité email de votre entreprise

Notre outil gratuit analyse votre domaine et vous donne un score de protection contre le phishing en 30 secondes.

Tester mon domaine Voir tout le glossaire