Points clés
- Toutes les fonctions d'une organisation ne présentent pas le même profil de risque : certaines populations sont significativement plus ciblées et nécessitent des programmes de formation spécifiques et renforcés.
- En 2021, Ubiquiti Networks a perdu 46 millions USD via une fraude BEC ciblant exclusivement l'équipe financière — une cible prioritaire pour ce type d'attaque.
- Twitter (2020) a été compromis via un social engineering ciblant des employés du support ayant accès aux outils administratifs — une population spécifique dont l'accès privilégié en faisait une cible de choix.
- Verizon DBIR 2024 identifie les équipes financières, IT/IT privilégiés, RH et la direction comme les cibles les plus fréquentes des attaques sociales et des compromissions d'identifiants.
Un programme de formation uniforme — le même contenu pour l'ensemble des collaborateurs — traite un risque différencié de manière indifférenciée. Les attaquants ciblent les populations selon leur accès et leur valeur : les équipes financières pour les fraudes BEC et les virements frauduleux, les équipes IT pour les accès privilégiés aux systèmes, les équipes RH pour les données personnelles et les données de paie, la direction pour le whaling et l'espionnage économique.
Identifier les populations prioritaires et adapter le programme à leurs risques spécifiques est l'une des optimisations les plus efficaces d'un programme de formation. Cette approche permet de concentrer les investissements de formation là où le risque est le plus élevé, sans pour autant négliger la formation de base pour l'ensemble des collaborateurs.
Les équipes financières : cible principale des fraudes BEC
Les équipes financières — trésorerie, comptabilité, contrôle de gestion — sont les cibles prioritaires des fraudes BEC. Ces attaques usurpent l'identité de la direction générale, d'un client ou d'un fournisseur pour demander un virement urgent ou une modification de coordonnées bancaires. Le FBI IC3 Report 2023 chiffre les pertes mondiales liées au BEC à plus de 2,9 milliards USD — une fraude presque exclusivement humaine, sans malware.
La formation des équipes financières doit couvrir spécifiquement : la vérification des demandes de virement par un canal secondaire (appel téléphonique sur un numéro connu, pas par email), la détection des signaux d'urgence artificielle (caractéristique des fraudes BEC), la procédure de validation pour tout changement de coordonnées bancaires d'un fournisseur ou client, et les protocoles d'escalade en cas de doute.
Cette formation doit être complétée par des procédures organisationnelles : aucun virement au-delà d'un seuil défini sans validation sur deux canaux indépendants, liste blanche des bénéficiaires autorisés, délai de traitement qui empêche les virements impulsifs sous pression. La combinaison formation-procédure est significativement plus efficace que la formation seule.
Les équipes IT et les comptes privilégiés
Les administrateurs systèmes, les développeurs avec des accès à la production, et les équipes de sécurité sont les cibles prioritaires des attaques sur les comptes privilégiés. La compromission d'un compte administrateur donne aux attaquants les clés du système d'information — accès aux données, capacité de déployer des malwares, capacité de modifier les journaux d'audit.
La formation des équipes IT doit couvrir des risques spécifiques qui dépassent le phishing générique : spear-phishing technique (emails imitant des alertes système, des notifications de vulnérabilité, des communications de fournisseurs d'équipements), attaques sur les chaînes d'approvisionnement (mises à jour logicielles malveillantes, compromissions de bibliothèques open source), et techniques de mouvement latéral après compromission initiale.
Les comptes IT privilégiés doivent faire l'objet de contrôles techniques renforcés (authentification multifacteur résistante au phishing, principe de moindre privilège, journalisation complète) qui complètent la formation. La formation des équipes IT est d'autant plus efficace qu'elle est accompagnée de simulations de spear-phishing ciblées sur les vecteurs spécifiques auxquels elles sont exposées.
La direction comme cible du whaling
Le whaling désigne les attaques de phishing ciblant spécifiquement les dirigeants — PDG, DAF, DG, membres du conseil d'administration. Ces attaques sont particulièrement sophistiquées : elles exploitent des informations publiques (interviews, publications LinkedIn, rapports annuels) pour construire des emails personnalisés, et ciblent des personnes dont l'autorité permet de contourner les procédures habituelles de sécurité.
La formation des dirigeants présente des défis spécifiques : disponibilité limitée, perception que la sécurité est l'affaire des équipes IT, réticence à se soumettre aux mêmes exercices que les autres collaborateurs. Un programme efficace pour les dirigeants doit être court (30 minutes maximum), pertinent pour leur contexte (scénarios de whaling réalistes, pas de phishing générique), et délivré par un interlocuteur crédible (RSSI, cabinet de conseil en sécurité).
Les dirigeants qui ont été victimes d'un exercice de whaling contrôlé et en ont tiré des conclusions concrètes deviennent souvent les promoteurs les plus efficaces du programme de formation au sein de l'organisation — un effet de conversion par l'expérience que les formations théoriques ne produisent pas.
Ubiquiti Networks, fabricant américain d'équipements réseau, a perdu 46,7 millions USD en 2021 via une fraude BEC sophistiquée. Un employé de l'équipe financière a transféré des fonds vers des comptes contrôlés par les attaquants en réponse à des emails usurpant l'identité d'un cadre dirigeant. L'arnaque a été facilitée par l'absence de procédure de validation secondaire pour les virements importants. Ubiquiti a récupéré environ 15 millions USD grâce à une collaboration rapide avec le FBI. L'employé impliqué avait reçu une formation standard, mais celle-ci ne couvrait pas spécifiquement les techniques de BEC avec usurpation d'identité interne.
Pathé Films France a perdu 19,2 millions EUR en 2018 dans une fraude BEC. Des attaquants ont usurpé l'identité du CEO de Pathé International à Amsterdam pour demander à la direction de Pathé France plusieurs virements successifs dans le cadre d'une "acquisition confidentielle". Le directeur général de Pathé France et son directeur financier ont tous deux effectué les virements sans vérification suffisante auprès du siège. L'enquête a établi que ni le DG ni le DAF n'avaient reçu de formation spécifique aux fraudes BEC ciblant les dirigeants. Les deux dirigeants ont été licenciés pour faute grave.
Nikkei Inc, le groupe japonais de médias financiers, a annoncé en 2019 la perte de 29 millions USD dans une fraude BEC. Un employé du bureau de New York de Nikkei avait transféré des fonds suite à une demande par email usurpant l'identité d'un cadre dirigeant japonais. La fraude a été découverte plusieurs semaines après les virements. L'enquête interne a révélé l'absence de formation spécifique aux équipes financières internationales sur les fraudes BEC, et l'absence de procédure de validation bilatérale pour les virements internationaux importants. Nikkei a lancé après cet incident un programme de formation BEC spécifique pour ses équipes financières à travers le monde.