Les dirigeants sont la cible la plus rentable pour un attaquant. Pas les serveurs, pas les bases de données — les personnes qui ont l’autorité de déclencher un virement, d’accorder un accès ou de contourner une procédure.

Ce guide s’adresse aux responsables IT et sécurité qui ont la charge de protéger le COMEX. Il couvre les mécanismes d’attaque spécifiques aux cadres dirigeants, les protections techniques à déployer en priorité, et la façon de concevoir des simulations adaptées à ce public particulier.

Avant d’aller plus loin, testez la configuration email de votre domaine. Un DMARC mal configuré permet à n’importe qui d’envoyer des emails en usurpant l’adresse de votre PDG — vérifiez en 30 secondes où vous en êtes.

Pourquoi les dirigeants sont la cible numéro un

Un attaquant qui prépare une fraude financière a deux options : compromettre techniquement un système, ou convaincre une personne autorisée d’agir. La seconde option est plus rapide, moins détectable et souvent plus efficace. Les dirigeants concentrent précisément ce que l’attaquant cherche.

L’autorité qui court-circuite les procédures

Un email du PDG demandant un virement urgent vers un nouveau compte fournisseur est exécuté. La comptable ne rappelle pas son directeur général pour confirmer. Le processus d’approbation habituel est court-circuité parce que l’instruction vient du sommet. Cette asymétrie d’autorité est le fondement de la fraude au président : l’attaquant n’a pas besoin d’accès technique, il lui suffit de convaincre un intermédiaire en usurpant l’identité du décideur.

L’accès aux systèmes critiques

Les comptes email des dirigeants ont souvent des droits élargis — parfois accordés sans réflexion parce que “c’est le PDG”. L’accès aux outils financiers, aux bases de données RH, aux serveurs de fichiers stratégiques. Un compte dirigeant compromis est une clé maîtresse. Sa compromission n’est pas une fin en soi pour l’attaquant : c’est le point d’entrée vers les actifs de valeur.

L’exposition publique et le LinkedIn mining

Les informations sur les dirigeants sont partiellement publiques par nature. LinkedIn affiche le titre, le parcours, les connexions. Les communiqués de presse mentionnent les partenariats en cours, les acquisitions, les nominations. Les rapports annuels listent les membres du conseil. Les conférences et événements publient les programmes.

Un attaquant qui prépare une campagne de spear phishing passe une heure sur ces sources et en ressort avec un prétexte crédible : il sait avec qui le directeur financier négocie en ce moment, quel voyage d’affaires est prévu, quel partenaire stratégique vient d’être annoncé. Cette matière première est gratuite et légale à collecter.

Whaling : anatomie d’une attaque ciblée sur un dirigeant

Le whaling — de l’anglais “chasse à la baleine” — est le terme utilisé pour les attaques de phishing qui ciblent spécifiquement les hauts dirigeants. La métaphore n’est pas anodine : l’investissement dans la préparation est plus important, mais la prise potentielle l’est aussi.

La phase de reconnaissance

Avant d’envoyer le premier email, l’attaquant investit du temps. Il cartographie l’organigramme, identifie qui rapporte à qui, repère les assistantes de direction (point d’entrée souvent négligé), liste les fournisseurs, avocats, banques et cabinets de conseil mentionnés publiquement. Il consulte le Kbis pour les mandataires sociaux, scrute les réseaux sociaux pour des indices d’agenda, et si la cible est cotée, lit les publications réglementaires.

Cette phase de reconnaissance peut durer plusieurs jours pour une cible de valeur. Le résultat est un profil précis qui permet de construire un prétexte que la cible reconnaîtra comme plausible.

La fabrication du prétexte

Le prétexte d’une attaque whaling reproduit un contexte que la cible considérerait comme normal. Un email qui semble venir du président du conseil d’administration demandant une mise à jour confidentielle avant la prochaine réunion. Un message du conseiller juridique externe sur un aspect sensible d’une acquisition. Une demande d’un journaliste du Figaro ou des Échos pour un commentaire sur une actualité sectorielle.

La qualité rédactionnelle de ces emails est sans commune mesure avec le phishing de masse. Pas de fautes d’orthographe, pas de formulations approximatives. Le registre, le ton et le contexte sont calibrés pour la cible.

Les déclencheurs d’urgence

L’efficacité d’une attaque whaling repose en grande partie sur la création d’urgence. “Avant ce soir, en stricte confidentialité, ne passez pas par les circuits habituels.” L’urgence suspend le recul critique. La demande de confidentialité isole la cible des collègues qui pourraient la mettre en garde. Ces deux éléments combinés reproduisent exactement les conditions dans lesquelles les décisions rapides et solitaires sont prises — et les erreurs commises.

Les attaques qui visent les dirigeants

La fraude au président et l’usurpation d’identité interne

La fraude BEC dans sa forme classique consiste à usurper l’identité d’un dirigeant pour demander à un collaborateur — souvent en comptabilité ou en direction financière — d’effectuer un virement urgent. L’email provient d’une adresse qui ressemble à celle du dirigeant : pdg@votre-enterprise.fr au lieu de pdg@votre-entreprise.fr, ou une adresse Gmail avec le nom complet du dirigeant.

Le FBI estime les pertes mondiales liées aux fraudes BEC à plus de 50 milliards de dollars cumulés depuis 2013. En France, le préjudice moyen par incident dépasse 100 000 euros pour les entreprises de taille intermédiaire.

Les fausses communications du conseil d’administration

Une variante plus sophistiquée consiste à usurper l’identité d’un membre du conseil ou d’un actionnaire de référence. La demande peut être financière, mais elle peut aussi viser l’accès à des informations confidentielles : résultats préliminaires avant publication, stratégie M&A, données de négociation salariale. Le canal email est contourné par des demandes de communication sur des messageries personnelles — “pour rester confidentiel”.

Les faux documents M&A

Les opérations de fusion-acquisition sont des périodes de vulnérabilité particulière. Les dirigeants sont habitués à recevoir des documents sensibles de contreparties et de cabinets externes. Un email qui semble venir du cabinet d’avocats mandaté sur l’opération, avec une pièce jointe au format PDF ou Word demandant une révision urgente, peut contenir un malware ou rediriger vers une fausse page d’authentification.

La crédibilité de ce scénario est renforcée par le fait que les opérations M&A impliquent précisément des échanges de documents sensibles sous contrainte de temps.

Les fausses notifications légales et réglementaires

Un email qui semble provenir de l’AMF, de la CNIL ou d’un huissier de justice, accompagné d’un document de mise en demeure. Le dirigeant qui clique sur le lien pour accéder au document est redirigé vers une fausse page d’authentification. L’urgence perçue d’une procédure judiciaire ou réglementaire contourne les réflexes de prudence habituels.

Les appels deepfake et le vishing dirigeant

Le deepfake vocal est le vecteur émergent le plus préoccupant. Des enregistrements audio de moins d’une minute publiés sur YouTube, LinkedIn ou lors de conférences permettent de cloner une voix avec une qualité suffisante pour tromper un interlocuteur non averti. Le scénario type : un appel qui semble venir du PDG, depuis un numéro inconnu, demandant une action urgente avant de raccrocher rapidement.

Le vishing — phishing par téléphone — touche désormais aussi les dirigeants directement, pas seulement leurs collaborateurs. Des appels qui usurpent l’identité d’un banquier, d’un administrateur, ou d’un régulateur peuvent cibler le PDG lui-même pour obtenir des informations stratégiques ou des accès.

Protections techniques : ce que vous devez déployer

MFA avec clés matérielles pour tous les comptes dirigeants

Le MFA standard — application d’authentification par code TOTP — protège contre le credential stuffing mais pas contre les attaques AiTM (Adversary-in-the-Middle) qui interceptent les codes en temps réel via un proxy. Pour les dirigeants, le niveau de protection requis est supérieur.

Les clés FIDO2 matérielles (YubiKey de Yubico, clés Google Titan) signent cryptographiquement l’authentification en vérifiant le domaine du site. Sur une fausse page de connexion qui imite outlook.com, la clé refuse de répondre — le domaine ne correspond pas. Cette vérification est automatique et ne dépend pas de la vigilance de l’utilisateur. C’est la seule méthode d’authentification réellement résistante au phishing avancé.

Déployez des clés FIDO2 sur les comptes email, les accès aux outils financiers, les plateformes RH et les accès cloud de chaque membre du COMEX et de leurs assistantes de direction. Budget : 50 à 70 euros par clé, deux clés par personne.

Protection anti-usurpation dans Defender et Google

Microsoft Defender for Office 365 (plan 2) et Google Workspace disposent de fonctionnalités d’impersonation protection qui détectent les emails dont l’expéditeur ressemble à un dirigeant connu.

Sur Microsoft Defender : dans la console de sécurité, sous Anti-phishing → Impersonation protection, renseignez les noms complets et adresses email de chaque dirigeant. Configurez une action de quarantaine avec alerte, pas une suppression silencieuse — vous devez savoir quand une attaque est tentée.

Sur Google Workspace : dans la console d’administration, sous Sécurité → Paramètres avancés de la sécurité de la messagerie, activez la protection contre l’usurpation d’identité pour les domaines et les noms similaires. Renseignez les comptes dirigeants dans les listes de protection.

Ces protections interceptent les variantes de domaine (caractères similaires, préfixes supplémentaires) et les usurpations de nom d’affichage. Elles ne protègent pas contre les emails envoyés depuis des comptes tiers légitimes avec un prétexte d’ingénierie sociale — c’est pourquoi elles doivent être complétées par la formation.

DMARC en politique reject

Sans DMARC à p=reject, votre domaine peut être usurpé par n’importe qui. Un attaquant peut envoyer un email dont le champ “De” affiche pdg@votreentreprise.fr à votre directrice financière, sans contrôle possible côté récepteur.

DMARC (p=reject) ordonne aux serveurs de messagerie qui reçoivent des emails prétendant venir de votre domaine de les rejeter s’ils ne passent pas les contrôles SPF et DKIM. C’est la protection de base contre l’usurpation de domaine et le prérequis à toute protection anti-BEC sérieuse.

Si votre politique est actuellement en p=none ou p=quarantine, suivez notre guide de migration DMARC vers reject pour passer en production sans interruption des emails légitimes. Vérifiez votre configuration actuelle avec l’outil de test de sécurité email.

Bannière email externe visible

Configurer un avertissement visuel sur tous les emails entrant depuis l’extérieur de votre organisation est l’une des mesures les plus sous-estimées. Un bandeau “Expéditeur externe — vérifiez l’adresse avant de répondre ou de cliquer” placé en haut de l’email interrompt le passage en pilote automatique qui précède le clic.

Pour les attaques BEC qui usurpent l’identité d’un collègue ou d’un supérieur, cette bannière est la dernière ligne de défense visuelle : si un email semble venir du PDG depuis l’intérieur mais déclenche la bannière externe, l’anomalie est immédiatement visible.

Sur Microsoft 365 : configurez une règle de flux de courrier dans le centre d’administration Exchange pour ajouter un avertissement HTML aux emails externes. Des instructions détaillées sont dans notre guide de sécurisation Microsoft 365.

Sur Google Workspace : accédez à la console d’administration → Applications → Google Workspace → Gmail → Paramètres de sécurité avancée → Avertissement pour les e-mails externes.

Simulations de phishing adaptées aux cadres dirigeants

Pourquoi les scénarios standards ne suffisent pas

Une simulation standard — fausse réinitialisation de mot de passe, fausse facture fournisseur — reproduit les attaques qui ciblent l’ensemble de vos employés. Pour les dirigeants, les attaques réelles sont d’une autre nature : plus personnalisées, plus crédibles, contextuellement adaptées à leur périmètre de responsabilité.

Envoyer à votre DG le même email de simulation que vous avez envoyé au service comptable ne prépare pas au bon risque. Il faut des scénarios qui reproduisent ce qu’un attaquant ferait réellement avec la connaissance publique disponible sur votre dirigeant.

Scénarios adaptés au profil C-suite

Fausse invitation du conseil d’administration : email qui semble venir du secrétariat général ou d’un membre du conseil, avec un ordre du jour confidentiel à consulter via un lien. Le lien redirige vers une fausse page d’authentification Microsoft ou Google. Ce scénario reproduit les attaques de type “conseil en urgence” documentées contre des entreprises françaises.

Email d’investisseur sur une opération confidentielle : message qui semble venir d’un fonds d’investissement ou d’un actionnaire connu, demandant une réponse rapide sur une opportunité. Peut contenir une pièce jointe PDF ou un lien vers un document partagé. Cible la propension des dirigeants à répondre rapidement aux signaux d’intérêt d’investisseurs.

Demande d’un journaliste de la presse économique : email qui semble provenir d’un journaliste des Échos, de BFM Business ou de l’AFP, demandant une réaction urgente à une actualité sectorielle. Le lien vers “l’article en question” est en réalité un lien de phishing. Exploite la gestion de la réputation qui est une préoccupation constante des dirigeants.

Fausse notification d’une procédure réglementaire : email qui semble venir de l’AMF, de la CNIL ou d’un cabinet d’avocats, avec un document à consulter en urgence. Les dirigeants habitués aux échanges réglementaires peuvent ne pas soupçonner ce type de prétexte.

Appel de vishing simulé : si votre démarche inclut des tests téléphoniques, simulez un appel d’un prétendu responsable de votre banque professionnelle demandant une confirmation urgente sur un virement. Ce scénario teste les réflexes de vérification out-of-band — le réflexe de rappeler le numéro officiel de la banque plutôt que d’utiliser le numéro de l’appelant.

Conduire des simulations pour les dirigeants : les précautions

Les dirigeants ne sont pas des employés standard dans le cadre d’une simulation. Plusieurs précautions s’imposent.

La gouvernance de l’exercice : impliquez le DRH et, selon les cas, le président du conseil ou le comité d’audit dans la décision de lancer des simulations sur le COMEX. Définissez en amont qui est informé des résultats, sous quelle forme et avec quelles protections de confidentialité. Un dirigeant qui découvre a posteriori qu’il a été testé à son insu sans que ce soit clairement établi dans la politique de sécurité peut réagir négativement — même si la démarche était légitime.

Le débriefing individuel : si un dirigeant clique, le débriefing doit être individuel et confidentiel, mené par le responsable sécurité ou le RSSI — pas un email automatisé. L’objectif est pédagogique, pas disciplinaire. Présentez l’attaque qui vient de fonctionner comme une démonstration de la menace réelle, pas comme un résultat d’évaluation personnelle.

L’absence de classement public : les résultats des simulations sur les dirigeants ne doivent pas être agrégés dans les tableaux de bord généraux visibles par toute l’équipe IT. Traitez ces données avec les mêmes précautions que des données RH sensibles.

La dimension pédagogique avant la dimension test : pour le COMEX, la valeur de la simulation est davantage dans la prise de conscience que dans la mesure du taux de clic. Un débrief collectif présentant les techniques d’attaque utilisées — avec ou sans révéler les résultats individuels — peut être plus utile qu’un tableau de bord de performances.

Consultez notre page sur les simulations de phishing pour les options de configuration adaptées aux profils dirigeants.

NIS2 article 20 : la formation des organes de direction est obligatoire

La directive NIS2, dont la transposition en droit français est effective depuis 2025, introduit une obligation qui concerne directement les dirigeants — pas seulement les équipes IT.

Ce que dit l’article 20

L’article 20 de NIS2 impose aux membres des organes de direction des entités concernées (entités essentielles et entités importantes) de valider les mesures de gestion des risques cyber et de suivre personnellement une formation pour être en mesure d’identifier les risques et d’évaluer les pratiques de gestion.

Ce n’est pas une obligation que le RSSI peut exécuter à la place de la direction. C’est une obligation personnelle des dirigeants. Un PDG ou un directeur général d’une entité NIS2 qui n’a pas suivi de formation cybersécurité est personnellement en défaut vis-à-vis de la directive.

Pour la conformité NIS2, la formation des dirigeants doit être documentée — dates, contenu, participants. Les simulations de phishing ciblant les dirigeants constituent une preuve de démarche active qui vient compléter les modules de formation théorique.

Ce que vous devez préparer

Pour remplir l’obligation de l’article 20, structurez un programme en deux volets.

Le volet formation : un module de sensibilisation aux risques cyber adapté au niveau et aux responsabilités des dirigeants. Pas un cours technique — une présentation des menaces réelles qui ciblent les profils de leur niveau : whaling, fraude BEC, compromission de compte, ingénierie sociale avancée. Durée recommandée : 90 minutes à 2 heures, en présentiel ou en format interactif en ligne. Documentez chaque session.

Le volet simulation : les campagnes de phishing ciblées sur les dirigeants, avec les rapports correspondants. Ces rapports constituent une preuve que l’organisation teste activement la résistance de ses membres les plus exposés. Ils viennent compléter la documentation de conformité exigée par l’article 21 sur les mesures de gestion des risques.

L’ANSSI, dont les publications de référence sont disponibles sur cyber.gouv.fr, a publié des guides sur la mise en conformité NIS2 qui détaillent les attentes documentaires pour les entités concernées.

FAQ

Pourquoi les dirigeants sont-ils plus ciblés que les autres employés ?

Parce qu’ils cumulent trois avantages pour l’attaquant : l’autorité (leur signature suffit à déclencher un virement ou à contourner une procédure), l’accès (ils ont des droits sur les systèmes financiers, les données sensibles, les plateformes RH) et la visibilité (leur identité, leur poste et souvent leur agenda sont partiellement publics). Les attaques BEC qui ciblent les dirigeants génèrent en moyenne des pertes bien supérieures aux tentatives de phishing généralistes.

Quelle différence entre spear phishing, whaling et BEC ?

Le spear phishing est un phishing ciblé sur une personne précise, avec un prétexte personnalisé. Le whaling est un sous-ensemble du spear phishing qui vise spécifiquement les hauts dirigeants. La BEC désigne les fraudes qui exploitent un email d’entreprise compromis ou usurpé pour déclencher des virements frauduleux ou détourner des informations sensibles. Ces trois catégories se chevauchent : une attaque BEC réussie contre un PDG relève simultanément du whaling.

Un dirigeant peut-il vraiment être trompé par un email frauduleux ?

Oui — et plus facilement que la plupart ne le pensent. Les dirigeants sont exposés à des volumes élevés d’emails légitimes urgents, travaillent souvent sur mobile dans des contextes où la vérification est difficile, et sont habitués à prendre des décisions rapides sur la foi de leur messagerie. Un email qui reprend un contexte connu peut passer sous le radar même d’une personne expérimentée. La sensibilisation au whaling n’est pas une question d’intelligence : c’est une question d’entraînement aux signaux d’alerte spécifiques.

La protection anti-usurpation de Microsoft ou Google suffit-elle ?

Elle réduit significativement le risque, mais ne suffit pas seule. Ces outils interceptent les emails dont l’expéditeur ressemble à un dirigeant connu. Ils ne protègent pas contre un compte de messagerie légitimement compromis, contre les attaques qui passent par des services tiers avec des prétextes d’ingénierie sociale, ni contre l’ingénierie sociale par téléphone — le vishing. La protection technique doit être complétée par la formation et des procédures de vérification hors messagerie pour tout ordre financier.

Comment organiser une simulation de phishing pour des dirigeants sans créer de tensions ?

Informez en amont le DRH et la personne qui supervise la démarche, sans révéler les dates précises des campagnes. Définissez un protocole de débriefing individuel et confidentiel pour les dirigeants qui ont cliqué. Présentez l’exercice comme une démonstration des techniques d’attaque réelles plutôt qu’un test de vigilance personnelle. Un dirigeant qui comprend qu’il vient de voir fonctionner une attaque réelle retient la leçon sans se sentir jugé.

NIS2 oblige-t-elle vraiment les dirigeants à se former personnellement ?

Oui. L’article 20 de NIS2 est explicite : les membres des organes de direction des entités concernées doivent approuver les mesures de gestion des risques et suivre une formation pour être en mesure d’identifier les risques et d’évaluer les pratiques de gestion. Ce n’est pas une obligation délégable à l’IT. Un dirigeant d’une entité NIS2 qui n’a pas suivi de formation cybersécurité est personnellement en défaut. Consultez notre page sur la conformité NIS2 pour vérifier si votre organisation est dans le périmètre.

Les deepfakes vocaux sont-ils un risque réel pour les entreprises françaises ?

Ce vecteur est passé du domaine théorique à des incidents documentés. Des entreprises ont effectué des virements après avoir reçu des appels audio imitant la voix de leur PDG, générés par IA à partir d’enregistrements publics. La parade n’est pas technique : c’est un mot de code ou une procédure de rappel obligatoire pour tout ordre financier reçu par téléphone, quel que soit l’appelant déclaré. Formez vos dirigeants et vos équipes financières à ce scénario — c’est là que le deepfake est le plus dangereux.

La protection des comptes dirigeants est un périmètre à part entière, qui requiert des mesures techniques dédiées et une approche de sensibilisation adaptée. Commencez par l’outil de test de sécurité email pour vérifier votre configuration DMARC, puis lancez une simulation de phishing avec des scénarios conçus pour le profil C-suite.