Cybersécurité pour la finance et l'assurance : protégez vos équipes contre le phishing

Le secteur financier dans le viseur des attaquants

Les services financiers occupent une place à part dans le paysage des cybermenaces. La raison est simple : l’argent est déjà là. Quand un attaquant compromet un email dans un cabinet de gestion de patrimoine, un courtier en assurances ou une fintech, il n’a pas besoin de revendre des données sur un marché parallèle. Il peut déclencher un virement, détourner un paiement client ou modifier des coordonnées bancaires. La monétisation est directe et immédiate.

C’est ce qui distingue la finance des autres secteurs. Dans la santé, les données médicales volées doivent être revendues. Dans l’industrie, les plans volés n’ont de valeur que pour un concurrent précis. Dans la finance, un email bien rédigé suffit à déplacer des centaines de milliers d’euros en quelques heures.

La fraude au président : une épidémie française

La fraude au président (ou BEC, Business Email Compromise) reste l’attaque la plus dévastatrice pour le secteur. L’affaire Pathé en 2018 est le cas le plus médiatisé : 19,2 millions d’euros détournés par un escroc se faisant passer pour le PDG auprès de la filiale néerlandaise. Mais pour chaque affaire Pathé qui fait la une, des dizaines de cas touchent des PME financières sans être rendus publics. Un DAF qui reçoit un email prétendument urgent de son dirigeant, un comptable qui modifie un RIB fournisseur sur la base d’un email falsifié — ces situations se produisent chaque semaine en France.

Le vishing : quand le régulateur appelle

Le vishing (phishing vocal) prend une ampleur particulière dans la finance. Les attaquants se font passer pour des agents de l’AMF (Autorité des Marchés Financiers), de l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) ou de la Banque de France. L’appel est crédible : le faux régulateur cite un numéro de dossier, mentionne une « vérification de conformité urgente » et demande des identifiants d’accès ou un transfert vers un « compte de sécurisation ». L’ACPR publie régulièrement des alertes sur ces usurpations d’identité.

Les accès aux plateformes comme cible

Au-delà des virements, les attaquants cherchent les identifiants des plateformes financières. Un accès Bloomberg Terminal compromis, un login de plateforme de trading volé, un compte de back-office bancaire détourné — chacun ouvre la porte à des opérations frauduleuses. Le phishing classique par page de connexion contrefaite reste la méthode la plus utilisée, souvent combiné avec du spear phishing ciblant nommément le collaborateur visé.

Ce que disent les chiffres

Les données convergent : le secteur financier est le plus ciblé par les cyberattaques, et les pertes y sont les plus élevées.

Notre analyse : 2 874 entreprises financières passées au crible

Nous avons analysé les configurations de sécurité email (SPF, DKIM, DMARC) des domaines de 2 874 entreprises du secteur finance et assurance en France. Le constat : 52 % obtiennent un score de C ou pire. Cela signifie que plus de la moitié des cabinets de gestion, courtiers, fintechs et assureurs analysés présentent des failles dans leurs protections email qui facilitent l’usurpation de leur identité par des attaquants. Un domaine mal configuré en DMARC ou en SPF permet à n’importe qui d’envoyer des emails en se faisant passer pour l’entreprise.

Nous avons également recensé 10 incidents de cyberattaques documentés dans notre base : 5 dans le secteur financier et 5 dans le secteur assurantiel. Ces incidents — qui ne représentent que la partie visible — couvrent des fraudes au virement, des compromissions de messagerie et des attaques par ransomware.

Les statistiques du secteur

L’ANSSI classe le secteur financier parmi les cibles prioritaires dans son panorama annuel de la cybermenace. Le rapport 2024 de l’ANSSI confirme que les entités du secteur financier figurent dans le top 3 des secteurs les plus visés, avec une augmentation des attaques par ingénierie sociale.

À l’échelle mondiale, le FBI Internet Crime Complaint Center (IC3) a mesuré 2,9 milliards de dollars de pertes liées au BEC en 2023 — et c’est le chiffre officiel, qui ne couvre que les plaintes déposées aux États-Unis. Le BEC reste la catégorie de cybercriminalité la plus coûteuse devant le ransomware, les fraudes à l’investissement et le vol d’identité.

En France, la Banque de France et l’ACPR ont signalé une hausse continue des tentatives de fraude visant les établissements financiers, en particulier les acteurs de taille intermédiaire qui ne disposent pas des mêmes moyens de défense que les grands groupes.

Le coût moyen d’une violation de données dans le secteur financier atteint 5,9 millions de dollars selon le rapport IBM Cost of a Data Breach 2024, le deuxième secteur le plus coûteux après la santé. Pour une PME financière française, un seul incident de fraude au virement se situe entre 50 000 et 300 000 euros — sans compter la remédiation, la perte de confiance client et les sanctions réglementaires.

Pour aller plus loin sur les cas réels de fraude au président en France, consultez notre analyse des cas les plus coûteux.

Les attaques qui visent votre secteur

Chaque secteur a ses propres scénarios d’attaque. Voici ceux que les attaquants déploient contre les entreprises financières et assurantielles.

Fraude au président et faux ordres de virement

C’est l’attaque la plus rentable. L’attaquant usurpe l’identité du dirigeant (par email ou par téléphone) et demande un virement urgent à la comptabilité ou au DAF. Les variantes incluent le « faux avocat » qui appelle pour confirmer la demande, et le « faux client VIP » qui demande un transfert depuis son portefeuille géré. Dans un cabinet de gestion de patrimoine où les ordres de mouvement par email sont courants, la frontière entre demande légitime et fraude est mince.

Arnaque au changement de coordonnées bancaires

L’attaquant se fait passer pour un fournisseur ou un prestataire IT et demande la modification du RIB pour les prochains règlements. Dans le secteur assurantiel, cette attaque cible aussi les versements d’indemnités : le fraudeur usurpe l’identité d’un assuré et transmet de nouvelles coordonnées bancaires. C’est une forme de BEC qui exploite les processus de paiement existants.

Vol d’identifiants sur les plateformes financières

Les pages de connexion contrefaites imitent les portails d’accès aux outils du quotidien : Bloomberg, Reuters Eikon, plateformes de courtage, portails bancaires internes, outils de gestion d’actifs. L’email de phishing classique (« Votre session a expiré, reconnectez-vous ») est souvent suffisant pour piéger un collaborateur pressé. Les attaquants utilisent aussi des techniques de typosquatting sur les noms de domaine (bIoomberg.com avec un « i » majuscule au lieu du « l ») pour rendre la contrefaçon plus crédible.

Ransomware ciblant les structures intermédiaires

Les grands groupes bancaires disposent de SOC internes et d’équipes cybersécurité structurées. Pas les cabinets de gestion de 30 personnes ni les courtiers de 50 collaborateurs. Ce sont ces structures intermédiaires que le ransomware cible : suffisamment riches pour payer une rançon, pas assez protégées pour résister. L’attaque commence presque toujours par un email de phishing ou de spear phishing qui installe un accès initial.

SIM swapping contre les dirigeants

Le SIM swapping cible les dirigeants et les gestionnaires de portefeuilles. L’attaquant obtient un duplicata de la carte SIM auprès de l’opérateur (par ingénierie sociale ou complicité interne), puis intercepte les SMS d’authentification à deux facteurs (MFA). Cela lui donne accès aux comptes bancaires, aux plateformes de trading et aux outils de gestion protégés par SMS — une méthode d’authentification encore répandue dans le secteur.

Vishing : faux appels de régulateurs

Les appels téléphoniques imitant l’AMF, l’ACPR ou la Banque de France sont en forte progression. L’attaquant crée un sentiment d’urgence réglementaire : « Nous avons identifié une anomalie dans vos déclarations, nous devons vérifier vos accès au portail de reporting ». Dans un secteur où les professionnels sont habitués aux demandes des régulateurs, le réflexe de coopération joue contre la victime. L’AMF publie des listes noires de sites et acteurs frauduleux, mais les usurpations par téléphone sont plus difficiles à référencer.

DORA, NIS2 et vos obligations

Le cadre réglementaire européen a renforcé les exigences de cybersécurité pour le secteur financier depuis 2024. Trois textes majeurs impactent vos obligations en matière de sensibilisation.

DORA : la résilience opérationnelle numérique

Le règlement DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025. Il concerne toutes les entités financières de l’UE : banques, assureurs, sociétés de gestion d’actifs, prestataires de services de paiement, établissements de crédit, entreprises d’investissement et leurs prestataires IT critiques.

L’article 13 du règlement est sans ambiguïté sur la sensibilisation :

Les entités financières mettent en place des programmes de sensibilisation à la sécurité des TIC et des formations à la résilience opérationnelle numérique qui s’inscrivent dans le cadre de leurs programmes de formation du personnel. Ces programmes et formations sont obligatoires pour l’ensemble du personnel et des dirigeants.

Concrètement, DORA impose :

• Des programmes de sensibilisation aux risques cyber pour tous les collaborateurs, y compris les dirigeants
• Des tests de résilience réguliers (dont les simulations de phishing font partie)
• Une documentation des programmes et de leurs résultats, consultable par les autorités de supervision (ACPR en France)
• La gestion des risques liés aux tiers prestataires de services informatiques

Pour une PME financière, DORA signifie que la sensibilisation au phishing n’est plus une bonne pratique : c’est une obligation réglementaire avec des conséquences en cas de non-conformité.

NIS2 : les entités financières comme entités « importantes »

La directive NIS2, transposée en droit français, classe les infrastructures de marché financier et les entités bancaires parmi les entités « importantes » ou « essentielles » selon leur taille. Les obligations incluent la gestion des risques cyber, la notification des incidents significatifs et — là aussi — la sensibilisation et la formation du personnel.

NIS2 et DORA se complètent sans se contredire. DORA est spécifique au secteur financier et plus détaillé sur les exigences. Si vous êtes soumis à DORA, vous couvrez la plupart des exigences NIS2 applicables à votre activité.

LCB-FT et RGPD : les obligations complémentaires

Les obligations de Lutte Contre le Blanchiment et le Financement du Terrorisme (LCB-FT) imposent des procédures de vigilance qui recoupent la cybersécurité. Un accès compromis peut servir à valider des opérations de blanchiment. Les régulateurs attendent que les contrôles de sécurité couvrent les risques de détournement des systèmes internes.

Le RGPD ajoute une couche de protection des données personnelles financières. Un incident de phishing qui expose des données bancaires ou patrimoniales de clients déclenche la notification à la CNIL dans les 72 heures, avec les conséquences réputationnelles que cela implique pour un acteur dont le métier repose sur la confiance.

Pour un panorama complet de vos obligations de conformité et de la manière dont nos rapports y répondent, consultez notre page Conformité.

Des scénarios de simulation adaptés à la finance

Les simulations de phishing génériques (« Vous avez gagné un iPhone ») ne trompent plus personne dans un cabinet financier. Les attaquants utilisent des prétextes métier spécifiques. Vos simulations doivent faire de même. Voici les scénarios que nous déployons pour le secteur finance et assurance :

Faux ordres de virement

Un email imitant le dirigeant ou un client demande un virement urgent vers un nouveau bénéficiaire. Le message utilise le ton habituel du dirigeant, mentionne un dossier en cours et insiste sur la confidentialité. Ce scénario teste la capacité des collaborateurs à appliquer les procédures de double validation.

Fausses notifications réglementaires

Un email prétendument envoyé par l’AMF ou l’ACPR informe d’un contrôle en cours et demande de se connecter à un portail pour télécharger les documents requis. Le lien mène à une page de connexion contrefaite. Les professionnels financiers sont conditionnés à répondre vite aux demandes des régulateurs, ce qui rend ce scénario redoutable.

Fausses pages de connexion Bloomberg ou Reuters

Un email signale une expiration de session ou un changement de mot de passe obligatoire sur une plateforme financière du quotidien. La page de connexion est une copie conforme. Ce scénario mesure le réflexe de vérification de l’URL avant saisie des identifiants.

Fausses factures fournisseurs avec nouveau RIB

Un email imite un fournisseur régulier (cabinet comptable, éditeur de logiciel, prestataire IT) et joint une facture avec des coordonnées bancaires modifiées. L’email mentionne un « changement de banque » ou une « mise à jour administrative ». Ce scénario teste les procédures de vérification des changements de RIB.

Fausses notifications d’audit de conformité

Un email interne prétend lancer un audit de conformité et demande aux collaborateurs de remplir un formulaire en ligne avec leurs identifiants réseau et leurs accès aux systèmes. Ce scénario exploite la pression hiérarchique et la culture de conformité propre au secteur.

Faux documents client partagés via portail

Un email imite un client qui partage un document (contrat, attestation, bordereau de sinistre) via un lien vers un faux espace de partage. Le lien demande une authentification. Ce scénario cible les gestionnaires de patrimoine, les courtiers et les gestionnaires de sinistres qui reçoivent quotidiennement des documents par email.

Chaque simulation ratée déclenche une micro-formation de 3 à 5 minutes sur les signaux d’alerte du scénario. Pas de vidéo de 45 minutes, pas de quiz générique : un retour contextuel et immédiat sur l’erreur commise.

Protéger votre entreprise financière

La protection contre le phishing dans une structure financière suit quatre étapes progressives.

Étape 1 : Auditer votre sécurité email

Avant de former les collaborateurs, vérifiez que votre domaine email n’est pas vulnérable à l’usurpation d’identité. Un domaine sans DMARC en mode « reject », sans DKIM correctement configuré ou avec un SPF trop permissif permet à n’importe qui d’envoyer des emails en votre nom. Nos données montrent que 52 % des entreprises financières analysées ont des configurations insuffisantes.

Testez gratuitement la sécurité email de votre domaine en 30 secondes. Le rapport détaille votre configuration SPF, DKIM, DMARC et MTA-STS, avec des recommandations de correction prioritaires.

Étape 2 : Lancer une simulation de référence

La première campagne de simulation établit votre taux de clic de référence (baseline). Nous utilisons des scénarios adaptés au secteur financier pour mesurer la vulnérabilité réelle de vos équipes. Selon nos données agrégées, le taux de clic initial dans les PME financières se situe entre 25 % et 40 % — des chiffres qui baissent significativement après trois mois de simulation et formation continues.

Étape 3 : Former par micro-learning contextuel

Chaque collaborateur qui échoue à une simulation reçoit immédiatement une micro-formation de 3 à 5 minutes sur les signaux d’alerte du scénario en question. Ce format court et contextuel est plus efficace que les sessions de formation annuelles de deux heures. Les dirigeants reçoivent des scénarios adaptés aux attaques qui les ciblent : whaling, fraude au président, vishing.

Étape 4 : Générer les rapports de conformité DORA

Chaque campagne produit automatiquement les métriques attendues par DORA : taux de participation, taux de signalement, évolution du taux de clic, couverture des équipes formées. Ces rapports sont formatés pour répondre aux demandes de l’ACPR lors des contrôles de conformité — les données sont structurées et exportables en un clic.

Votre domaine email est-il protégé contre l’usurpation d’identité ? 52 % des entreprises financières que nous avons analysées présentent des failles. Testez le vôtre gratuitement — le diagnostic prend 30 secondes et le rapport est immédiat.