Mis à jour le 29 mars 2026

Business Email Compromise (BEC) : arnaques ciblées par email en 2026

Le FBI estime que le Business Email Compromise a causé plus de 55 milliards de dollars de pertes dans le monde depuis 2013. En France, les PME perdent en moyenne 130 000 euros par attaque BEC réussie. Cette arnaque sophistiquée cible vos emails professionnels pour détourner des virements et voler des données sensibles.

Sommaire

Qu’est-ce que le Business Email Compromise ?

Le Business Email Compromise (BEC) est une arnaque ciblée par email dans laquelle un cybercriminel usurpe l’identité d’un dirigeant, d’un fournisseur ou d’un partenaire commercial pour provoquer un transfert de fonds ou une fuite de données.

Contrairement au phishing de masse envoyé à des millions de personnes, le BEC est une attaque chirurgicale. L’attaquant étudie sa cible pendant des semaines : organigramme, habitudes de communication, relations commerciales, calendrier de paiements.

Le BEC est la forme la plus coûteuse de cybercriminalité. Son efficacité repose sur la manipulation psychologique plutôt que sur des failles techniques.

Les 5 types d’attaques BEC

Le BEC se décline en plusieurs variantes, chacune ciblant un point faible spécifique.

1. Arnaque au président (CEO Fraud)

L’attaquant se fait passer pour le PDG ou un cadre dirigeant et envoie un email au service comptabilité demandant un virement urgent et confidentiel. La pression hiérarchique et le secret empêchent la victime de vérifier.

2. Fraude au fournisseur

Le pirate intercepte ou imite les communications avec un fournisseur habituel. Il envoie une fausse facture ou informe d’un changement de coordonnées bancaires. Les paiements sont détournés vers le compte du fraudeur.

3. Compromission de compte email

L’attaquant prend le contrôle d’un compte email réel d’un collaborateur. Il utilise ce compte légitime pour envoyer des demandes de paiement ou des demandes d’informations aux contacts de la victime.

4. Usurpation d’identité d’avocat

Le fraudeur se fait passer pour un avocat ou un notaire gérant une transaction confidentielle (acquisition, fusion, litige). L’urgence et la confidentialité exigées rendent la vérification difficile.

5. Vol de données

Plutôt qu’un virement, l’attaquant cible les données. Il demande des W-2 (équivalent des bulletins de paie), des fichiers clients, des informations fiscales ou des données bancaires en se faisant passer pour un responsable RH ou un auditeur.

55 Mrd $Pertes mondiales cumulées depuis 2013
130 000 EURPerte moyenne par attaque BEC en PME française
+65%Augmentation des attaques BEC en 2025

Comment les attaquants procèdent

Le BEC est une attaque méthodique qui se déroule en plusieurs phases.

Phase 1 : Reconnaissance

L’attaquant collecte des informations via les sources publiques (OSINT) : site web, LinkedIn, registre du commerce, communiqués de presse. Il identifie les cibles (comptable, DAF, assistante de direction), comprend l’organigramme et repère les relations commerciales.

Phase 2 : Préparation

Le pirate prépare son infrastructure : domaine typosquatté (votre-entreprlse.fr au lieu de votre-entreprise.fr), adresses email crédibles, et parfois compromission d’un vrai compte email.

Phase 3 : Attaque

L’email est envoyé au moment opportun : pendant un déplacement du dirigeant, un vendredi après-midi, ou lors d’une période de facturation connue. Le message est parfaitement rédigé, sans faute, et fait référence à des éléments réels.

Phase 4 : Extraction

Si la victime exécute le virement, les fonds sont immédiatement transférés vers des comptes intermédiaires dans plusieurs pays, rendant la récupération extrêmement difficile au-delà de 24 à 48 heures.

Point clé : Le BEC n’utilise souvent aucun malware ni lien malveillant. C’est un email textuel simple, envoyé depuis une adresse crédible, contenant une demande apparemment légitime. Les filtres anti-spam et antivirus classiques ne le détectent pas car il n’y a techniquement rien de malveillant dans le message.

Reconnaître une tentative de BEC

Malgré leur sophistication, les attaques BEC présentent des indices révélateurs.

Signaux d’alerte

  • Urgence inhabituelle : « Il faut faire ce virement aujourd’hui impérativement »
  • Confidentialité exigée : « N’en parlez à personne, c’est confidentiel »
  • Changement de RIB : un fournisseur qui change de coordonnées bancaires par email
  • Adresse email subtilment différente : un caractère modifié dans le domaine
  • Demande hors processus : une procédure inhabituelle pour un virement
  • Ton différent : le style d’écriture ne correspond pas tout à fait à la personne
  • Pression temporelle : impossibilité de rappeler, réunion en cours, déplacement

Protéger votre entreprise contre le BEC

La protection contre le BEC repose sur trois piliers : technique, organisationnel et humain.

Mesures techniques

  • DMARC, SPF et DKIM : configurer ces protocoles pour empêcher l’usurpation de votre domaine email
  • MFA sur toutes les messageries : empêcher la compromission des comptes email
  • Solutions anti-BEC : outils d’IA qui analysent le contexte et le ton des emails pour détecter les anomalies
  • Alerte sur les domaines similaires : surveillance des enregistrements de domaines proches du vôtre
  • Marquage des emails externes : bannière visible identifiant les emails venant de l’extérieur

Mesures organisationnelles

  • Double signature : tout virement au-delà d’un seuil nécessite deux validateurs
  • Vérification téléphonique : tout changement de RIB doit être confirmé par appel au numéro connu
  • Procédure de virement formalisée : aucune exception, même pour le PDG
  • Délai de traitement : imposer un délai minimum avant exécution d’un virement exceptionnel
  • Liste blanche de bénéficiaires : tout nouveau bénéficiaire doit être validé en personne

Formation des équipes

  • Former spécifiquement les postes à risque (comptabilité, direction, assistanat)
  • Organiser des simulations de BEC régulières
  • Partager les retours d’expérience des tentatives détectées
  • Créer un réflexe de vérification systématique
Questions fréquentes
3 questions
C’est possible mais uniquement si vous agissez très rapidement. Contactez votre banque dans les 24 à 48 heures pour tenter un rappel de fonds (procédure SWIFT recall). Au-delà, les fonds sont généralement transférés hors d’atteinte. Déposez plainte immédiatement et signalez l’incident à votre banque, à la police et à l’ANSSI.
Non, un antivirus classique ne détecte pas les attaques BEC car il n’y a généralement ni malware, ni lien malveillant, ni pièce jointe dangereuse dans ces emails. Des solutions spécialisées anti-BEC utilisent l’IA pour analyser le contexte, le comportement de l’expéditeur et le contenu du message. Ces solutions sont un complément indispensable à l’antivirus.
Vérifiez les connexions récentes à votre compte (la plupart des messageries offrent cette fonctionnalité). Recherchez des règles de transfert ou de redirection créées à votre insu. Vérifiez les éléments envoyés pour des emails que vous n’avez pas rédigés. Activez les alertes de connexion depuis un nouvel appareil. En cas de doute, changez votre mot de passe et activez la MFA immédiatement.

Besoin d’accompagnement ?

Configuration DMARC, formation anti-BEC et mise en place de procédures de vérification : Odyssix protège vos flux financiers contre les arnaques par email les plus sophistiquées.

Contactez nos experts

Services associés

Odyssix peut vous accompagner

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter