Reconnaître et éviter une fraude au PDG en 2022

Laptop with 2 hands reaching out holding a contract that's being signed
Cliquez ici pour un résumé de cet article
Comment reconnaître et éviter une fraude au PDG en 2022 : guide rapide

La fraude au PDG est une forme de fraude par courriel en entreprise. Cette fraude repose sur l’envoi de courriels frauduleux à des salariés. Dans ces courriels, les fraudeurs demandent souvent le virement urgent d’une somme d’argent.

En raison de l’urgence exprimée dans les courriels, de leur « authenticité » et du pouvoir (présumé) de l’expéditeur au sein de l’organisation, les salariés qui reçoivent ces messages s’exécutent souvent.

Examinez minutieusement les courriels contenant des demandes financières (virements, modification des informations de paiement, etc.). Portez une attention particulière aux éléments suivants :

  • L’expéditeur : les fraudeurs utilisent généralement des adresses électroniques très proches de la véritable adresse du PDG ou d’un cadre, mais celles-ci présentent de légères différences.
  • Liens et pièces jointes : cliquez uniquement sur les liens auxquels vous accordez une totale confiance et dont l’expéditeur est fiable. Il en va de même pour l’ouverture des pièces jointes. Les fraudeurs intègrent souvent des liens et des pièces jointes contenant des programmes malveillants dans leurs courriels en vue de dérober les données de votre entreprise.
  • Urgence : en règle générale, les fraudeurs essaieront de générer un sentiment d’urgence avec leurs courriels. Ils peuvent vous demander d’effectuer un virement important le jour même en précisant qu’il est urgent. Ils affirment également être trop occupés (« Je participe à une longue réunion ») pour aborder la demande plus en détail.
  • Secret : les fraudeurs feront souvent croire à leurs victimes que ce qu’elles sont sur le point de faire est « top secret ». Ils peuvent par exemple indiquer que la fausse fusion à laquelle les fonds sont destinés est censée rester secrète jusqu’à sa finalisation. Ils invitent en outre les victimes à ne pas évoquer les demandes frauduleuses avec des collègues ou des supérieurs hiérarchiques.

Vous souhaitez en apprendre davantage sur la fraude au PDG, découvrir des conseils pour l’éviter et les mesures à prendre si vous en êtes victime ? Consultez l’article complet ci-dessous !

Des fraudeurs ciblent des citoyens innocents quasiment depuis l’apparition d’internet. Et il est très peu probable que ce phénomène disparaisse. De nombreux fraudeurs sélectionnent aujourd’hui leurs victimes avec le plus grand soin et tentent de piéger de « gros poissons » en ciblant les (grandes) entreprises. Cette pratique est connue sous le nom de fraude au PDG.

Mais en quoi consiste-t-elle précisément ? Comment fonctionne-t-il ? Comment éviter la fraude au PDG ? Que faire si vous en êtes victime ? Quels sont les exemples de grandes entreprises victimes de cette technique ? On estime que les cas de fraude au PDG ne feront qu’augmenter en 2022. Voici ce qu’il vous faut savoir sur cette pratique.

Qu’est-ce que la fraude au PDG ?

What is a CEO fraud iconLa fraude au PDG est (en règle générale) une méthode sophistiquée pour escroquer de grandes entreprises et organisations. Le but est de tromper des salariés et les pousser à virer des fonds aux fraudeurs. Pour ce faire, le fraudeur se fait passer pour le PDG, le fondateur ou un cadre de l’entreprise.

La différence de statut au sein de l’organisation peut intimider des « employés subalternes » et les inciter à faire ce que leur « PDG » leur demande. Les cybercriminels contactent souvent un employé par courriel et demandent un virement bancaire urgent. Ce courriel peut ressembler à l’exemple ci-dessous.

Fake email showing example of CEO fraud

Les salariés autorisés à effectuer des paiements ou à signer des documents devraient être particulièrement sensibilisés aux dangers de cette fraude. Tous les employés d’une organisation peuvent, en théorie, constituer une cible. En fait, selon la firme de cybersécurité Barracuda, 77 % de ces attaques visent des salariés n’ayant pas de rôles financiers ou d’encadrement !

La fraude par courriel en entreprise

Email with hacking icon, compromisedLa fraude au PDG est une forme de fraude par courriel en entreprise. Ce type d’escroquerie repose sur la manipulation du comportement humain (ou ingénierie sociale) en envoyant un courriel affirmant provenir d’un membre de l’entreprise ou d’une partie apparentée, comme un fournisseur.

Ce type de pratique exploite souvent des techniques et stratégies très ingénieuses. Les criminels peuvent parfois pirater le compte de messagerie du PDG (ou celui d’un cadre, par exemple). Ils observeront et analyseront ensuite la façon dont le PDG ou le cadre communique. Avant de tromper d’autres membres de l’organisation à l’aide d’une adresse électronique et une façon de s’exprimer qui leur est familière.

L’hameçonnage au PDG devient de plus en plus courant

CEO phishing icon, two hooks with email iconSelon Barracuda, en moyenne, une organisation est la cible de 700 courriels exploitant des techniques d’ingénierie sociale par an. Comme indiqué précédemment, les cybercriminels ne se font pas toujours passer pour le PDG, mais parfois pour d’autres cadres. Quelle que soit l’identité qu’ils choisissent d’endosser, le préjudice est souvent conséquent ; selon le FBI (article en anglais), de telles fraudes peuvent coûter des milliards.

Les chiffres réels sont très probablement plus élevés. Après tout, toutes les tentatives ne sont pas signalées aux autorités. Il en va probablement de même pour les cas où le préjudice financier est relativement faible.

En outre, l’essor du télétravail pendant et après la pandémie a sans aucun doute accru notre dépendance aux moyens de communication. Il est donc fort probable que la fraude au PDG ne fasse qu’augmenter.


Comment fonctionne la fraude au PDG ?

Ce type de fraude repose sur deux stratégies principales. La première est d’envoyer un courriel depuis un domaine (la partie qui suit le « @ ») presque identique au véritable nom de domaine de l’entreprise.

Infographic showing main strategies used in CEO fraud

Cette pratique s’appelle l’usurpation de nom de domaine. Les méthodes employées peuvent être exceptionnellement astucieuses. Par exemple, MediaMarkt est une grande entreprise opérant dans toute l’Europe et vendant des produits électroniques. Pouvez-vous vraiment repérer facilement la différence entre « [email protected] » et « [email protected] » ? Cet exemple montre à quel point les fraudeurs peuvent utiliser des noms de domaines proches de l’original.

La seconde stratégie est sans aucun doute plus dangereuse : elle repose sur le piratage du compte de messagerie professionnel d’un salarié, ou pire encore, d’un cadre afin d’envoyer des courriels frauduleux crédibles et pousser des employés disposant des accès nécessaires à effectuer des paiements.

Ces piratages peuvent être menés de différentes façons. L’une des plus courantes est l’hameçonnage ciblé : une attaque par hameçonnage préparée visant un salarié précis. Les fraudeurs duperont ce dernier en lui envoyant un courriel semblant lui être destiné et parfaitement crédible. Il sera invité à cliquer sur un lien ou une pièce jointe contenant un dangereux programme malveillant. Ce dernier permettra aux criminels de pirater les comptes de la victime, dont son compte de messagerie.

Fake email mockup showing example of CEO confirm receipt fraud

La pièce jointe du courriel frauduleux ci-dessus contient un programme malveillant. En cliquant sur le fichier, vous serez invité à télécharger un exécutable de vol de données.


Reconnaître la fraude au PDG

Il est essentiel de reconnaître la fraude au PDG pour éviter des pertes substantielles. Les criminels rédigent souvent des courriels convaincants qui rendent cette fraude difficilement repérable. Il existe toutefois des indices susceptibles de la trahir.

Les stratégies fréquemment utilisées par les fraudeurs

Avant de cibler un salarié, les fraudeurs effectuent des recherches. Une fois qu’ils connaissent la personne, les responsabilités qui sont les siennes et ce qu’elle est autorisée à faire ou non, ils l’approchent avec une demande « adaptée ».

Par exemple, il est peu probable qu’un gestionnaire de compte puisse virer des millions de dollars sans autorisation. Les fraudeurs peuvent toutefois l’inciter à acheter des cartes cadeaux pour des « partenaires commerciaux » ou à traiter des dépenses comme des frais de représentation. Ils peuvent pousser le responsable à modifier des informations de paiement et fournir aux criminels un accès facile aux fonds de l’entreprise.

En fonction de leur cible, les fraudeurs tentent généralement de convaincre leurs victimes de faire l’une des choses suivantes :

  • Virer des fonds pour une fusion (évidemment fausse), pour payer des actionnaires ou pour un projet quelconque
  • Acheter des cartes cadeaux, en affirmant qu’elles sont destinées à des partenaires ou des collègues
  • Modifier des informations de paiement en raison d’un problème fictif ou de modification d’un bénéficiaire
  • Payer de fausses factures minutieusement rédigées en fonction des projets actuels de l’entreprise ou de factures antérieures

Indices de fraude par courriel

Outre les stratégies fréquemment utilisées, il existe d’autres signes permettant d’identifier un courriel d’hameçonnage ciblé. Nous vous recommandons donc de prêter attention aux éléments suivants :

  • L’expéditeur : les fraudeurs tentent souvent de tromper les destinataires en envoyant des courriels à l’aide d’un domaine (la partie située après le « @ ») très proche du véritable nom de domaine de l’entreprise. Avant d’effectuer la moindre action, examinez l’adresse électronique d’expédition. La plupart des fournisseurs de messagerie, comme Gmail, vous permettent de la consulter en cliquant sur le nom de l’expéditeur.
  • Les liens : soyez attentif aux liens contenus dans les courriels. De nombreux fraudeurs utilisent des liens malveillants pour diffuser des programmes malveillants ou dérober des identifiants. Faites preuve d’une grande prudence face aux liens raccourcis (comme les liens bit.ly). Vous pouvez vérifier la destination de celui-ci en passant votre souris dessus. Nous vous recommandons également de vérifier si un lien est sûr à l’aide d’un outil conçu à cette fin, comme Norton Safe Web.
  • Les pièces jointes : comme les liens, les pièces jointes sont également souvent utilisées pour diffuser des programmes malveillants et dérober des données. Il est donc préférable de n’ouvrir que les pièces jointes que vous attendez et celles provenant de sources fiables.

Indices présents dans le texte du courriel

Le texte des courriels frauduleux de « PDG » partage souvent les caractéristiques communes suivantes.

  • Autorité : de tels courriels misent sur une autorité de façade, en exhortant quelqu’un à faire quelque chose (plutôt qu’en demandant), comme un supérieur pourrait le faire. En d’autres termes, les criminels exploiteront la position hiérarchique de la personne dont ils usurpent l’identité.
  • Confidentialité : les fraudeurs vous incitent fortement à ne pas évoquer leur demande avec vos collègues ou responsables. Ils prétexteront le secret ou une surprise. Par exemple, en vous demandant d’acheter des cartes cadeaux pour faire une surprise à des collègues ou des partenaires.
  • Urgence : quelle que soit la demande, les fraudeurs souligneront son urgence. Après tout, accorder peu de temps de réflexion à un salarié est une part importante de l’escroquerie. Ils présenteront également la tâche attribuée au salarié comme d’une grande importance. Ce dernier pense alors qu’il va jouer un rôle important en s’exécutant.
  • Flatterie : bien que la pression soit un élément important de ces fraudes, il en va de même pour les compliments adressés à la victime et le fait de lui faire croire qu’elle est spéciale. Les criminels lui diront que c’est la seule personne en qui « ils peuvent confier cette tâche ».
  • Assurance (« tout va bien ») : en règle générale, les criminels trouveront une excuse pour ne pas évoquer la tâche en détail. Le « PDG » peut affirmer qu’il participe à une réunion importante. Pour assurer à la victime que tout va bien, il peut même fournir une fausse méthode de vérification. Par exemple, sous la forme du numéro de téléphone d’un faux cabinet juridique. Comme il s’agit de complices, ils confirmeront au salarié que tout est normal.

Prévenir la fraude au PDG

Maintenant que vous connaissez des exemples de fraude au PDG et les indices à repérer, la prochaine étape est de découvrir comment la prévenir. Il existe différentes méthodes pour vous protéger contre ces fraudes, mais la plus importante est de sensibiliser l’intégralité de votre organisation.

Nous vous fournirons des conseils spécifiques pour les salariés et les entreprises pour vous prémunir contre la fraude au PDG.

Conseils destinés aux salariés

En tant que salarié d’une (grande) entreprise, vous êtes susceptible de recevoir plusieurs courriels d’hameçonnage au cours de votre carrière. Nous avons donc compilé plusieurs conseils ci-après.

  • Vérifiez toujours l’expéditeur du courriel. Cliquez sur son nom pour consulter son adresse électronique complète. Cherchez les anomalies.
  • Si l’expéditeur mentionne un compte bancaire ou une facture dans le courriel, vérifiez que le numéro de compte est connu du service financier.
  • Renseignez-vous sur les dernières fraudes au PDG et attaques par hameçonnage ciblé.
  • Évoquez les courriels suspects avec un collègue ou un supérieur, même si le courriel vous incite à ne pas le faire. Si un secret de l’entreprise vous est transmis, vous aurez probablement à signer un accord de confidentialité.
  • Dans l’idéal, parlez de la demande à l’expéditeur du courriel, réel ou présumé, par téléphone ou en personne. Il peut sembler intimidant de contacter votre PDG ou votre supérieur hiérarchique, mais il s’agit du meilleur moyen de vous prémunir d’une fraude au PDG.

Conseils pour les entreprises

En tant qu’entreprise, il est presque impossible de vous protéger contre les fraudes au PDG et les autres attaques reposant sur l’ingénierie sociale. Après tout, la sécurité d’une entreprise équivaut généralement à celle de son maillon faible (salarié). Il est donc essentiel de former vos salariés à reconnaître une fraude au PDG. Indépendamment de cela, veillez à suivre ces conseils.

  • Établissez des règles et protocoles clairs concernant le virement de montants importants. Un système de double vérification devrait également être mis en place.
  • Établissez et appliquez des règles et directives claires concernant la modification des informations de paiement. Dans l’idéal, contactez directement le partenaire, le fournisseur ou la partie concernés par cette modification.
  • Rendez la vérification en deux étapes obligatoire pour chaque compte de messagerie des salariés. Ainsi, même si les criminels obtiennent leurs identifiants, ils ne pourront pas accéder à leurs comptes.
  • Organisez un audit de sécurité de votre organisation. Vous pouvez le faire vous-même, en envoyant un courriel d’hameçonnage à vos salariés à un moment inattendu. Ensuite, il est essentiel de fournir une formation supplémentaire aux salariés piégés par ce courriel. Vous pouvez également engager une entreprise spécialisée, comme Cofense. Ce type de firme propose des audits de sécurité et des formations sur l’hameçonnage.
  • Veillez à ce que votre organisation procède aux investissements suffisants en matière de cybersécurité. Vous pouvez envisager d’acheter des logiciels conçus spécifiquement pour prévenir l’hameçonnage et la fraude au PDG, comme ceux proposés par Cofense.

Que faire si vous êtes victime d’une fraude au PDG ?

Les fraudeurs utilisent des moyens très astucieux pour piéger leurs victimes. Il est donc très probable qu’un de vos salariés finisse par être victime d’une fraude au PDG. Si c’est votre cas, voici ce que vous pouvez faire.

Infographic showing what to do if you are a CEO fraud victim

  1. Rassemblez toutes les preuves à votre disposition et signalez le crime à la police. Faites également état des préjudices estimés. Si vous êtes en Europe, consultez ce site internet d’Europol. Vous pouvez cliquer sur le pays dans lequel vous vivez pour trouver la structure à contacter et la marche à suivre. Si vous êtes aux États-Unis, signalez le crime via le Internet Crime Complaint Center du FBI.
  2. Contactez la banque de l’entreprise au plus vite (dans l’idéal, la personne désignée pour contacter la banque ou le PDG devrait le faire). Parfois, si la banque est prévenue d’une opération frauduleuse suffisamment rapidement, il est possible de l’annuler. Dans tous les cas, vous devez informer la banque afin que les mêmes criminels ne puissent à nouveau s’en prendre à votre compte bancaire.
  3. Alertez le service informatique de votre entreprise en cas d’attaques ou de courriels d’hameçonnage. Envoyez-lui les courriels en question afin de lui permettre de préparer les futures attaques. Il pourra ainsi renforcer la sécurité. Ou a minima évoquer les mesures à prendre avec la personne responsable.
  4. Informez également tous les tiers susceptibles de courir des risques après la compromission de vos systèmes, comme les fournisseurs et les autres entreprises pour lesquels vous disposez de données (confidentielles).
  5. Les fraudeurs peuvent s’être infiltrés dans vos systèmes. Ils peuvent avoir utilisé des programmes malveillants pour pirater le PC d’un salarié et accéder ainsi à d’autres ordinateurs de votre réseau. Il est donc vital que votre service informatique procède à des vérifications poussées de vos systèmes après chaque attaque. S’il ne dispose pas des moyens de le faire, vous devrez recourir aux services d’un professionnel.

Cas célèbres de fraudes au PDG/fraudes par courriel en entreprise

Nous allons maintenant évoquer certaines fraudes à grande échelle pour vous en apprendre davantage sur la façon dont ces opérations débutent et se déroulent. Elles visent souvent des sociétés pesant plusieurs millions de dollars et parfois même des gouvernements !

La fraude par courriel en entreprise ayant ciblé Toyota

Nous commençons par l’une des plus grosses fraudes par courriel de l’histoire. Le 14 août 2019, des fraudeurs ont convaincu un salarié de la direction financière et comptable de la filiale européenne de Toyota (Toyota Boshoku Europe N.V.) de transférer la somme astronomique de 37 millions de dollars (environ 4 milliards de yens) sur un autre compte !

Les détails précis de l’affaire restent inconnus. Certaines sources supposent toutefois que les fraudeurs ont poussé le salarié à payer en le faisant paniquer. Ils auraient fait cela en affirmant que la production de Toyota allait être considérablement ralentie si le paiement n’était pas effectué rapidement. Générer ce sentiment d’urgence est une astuce courante pour la fraude au PDG et l’hameçonnage.

Le géant du cinéma Pathé a inventé un nouveau genre, la « double fraude au PDG » : cyberdrame

Ce cas est un autre exemple que même les grandes multinationales peuvent être victimes d’une fraude au PDG. Il s’agit ici d’une « double fraude au PDG ». Une personne se faisant passer pour le PDG de la société mère française a piégé le PDG de la filiale néerlandaise. Il a affirmé avoir besoin d’une somme conséquente pour l’acquisition d’un concurrent basé à Dubaï.

Le PDG néerlandais est resté méfiant et a évoqué le sujet avec le directeur financier. Après avoir expliqué au criminel qu’une vérification supplémentaire était nécessaire, le fraudeur lui a envoyé un autre faux courriel habilement rédigé depuis un autre compte, déjouant ainsi la méfiance du PDG néerlandais. Le préjudice total des paiements frauduleux s’élevait à environ 22 millions de dollars. Ces faits remontent à 2018.

Le gouvernement portoricain victime d’hameçonnage

Cette affaire montre que les organisations et entreprises ne sont pas les seules à être victimes de la fraude au PDG et l’hameçonnage ciblé. Cela peut également arriver aux institutions gouvernementales.

Le 17 janvier 2020, la compagnie de développement industriel de Porto Rico a perdu plus de 2,6 millions de dollars au cours d’une attaque par hameçonnage. Elle a été contactée par une partie malveillante, se faisant passer pour un partenaire ou un prestataire. Les criminels ont demandé une modification du compte bancaire servant à l’encaissement des paiements. Un fonctionnaire de Porto Rico s’est exécuté, entraînant cette énorme perte financière.

Les fraudeurs font preuve d’une créativité toujours croissante

Ces exemples nous montrent que les fraudeurs sont toujours plus ingénieux. La fraude au PDG représente un problème majeur, en particulier pour les PME qui ne peuvent se permettre de telles pertes. D’autres types de fraudes sont également de plus en plus répandues, comme la fraude au centre d’assistance ou sur WhatsApp. Il est important de rester au courant des évolutions de ces phénomènes afin de vous protéger.

Fraude au PDG – FAQ

Vous avez une question précise à propos de la fraude au PDG ? Jetez un coup d’œil à notre FAQ ci-dessous. Cliquez simplement sur une question pour consulter la réponse. Votre question n’apparaît pas ? Posez-la-nous dans les commentaires et nous vous répondrons au plus vite !

La fraude au PDG est une forme d’hameçonnage dans laquelle la victime, un salarié, se fait piéger et vire des sommes (conséquentes) à un fraudeur. Cette pratique repose sur l’envoi d’un courriel dans lequel le fraudeur se fait passer pour le PDG ou un haut dirigeant d’une entreprise. Dans ce message, le fraudeur demandera un virement direct, la modification d’informations de paiement existantes ou utilisera d’autres astuces pour dérober de l’argent. La fraude au PDG est une forme de fraude par courriel en entreprise et d’ingénierie sociale.

La fraude par courriel en entreprise est un terme générique pour désigner la manipulation de salariés ou de personnes importantes au sein d’une entreprise par des fraudeurs en leur envoyant un courriel frauduleux dans lequel ils se font passer pour une autre personne. Ainsi, la fraude au PDG est un type de fraude par courriel en entreprise. Cette dernière désigne également les cas où des fraudeurs se font passer pour un prestataire ou un fournisseur de l’entreprise et affirment que leur compte bancaire a changé par exemple.

Se prémunir de la fraude au PDG n’a rien de facile, car les criminels semblent toujours faire preuve de plus d’ingéniosité. Voici toutefois quelques conseils qui vous permettront d’être moins susceptible d’en être victime :

  • Examinez toujours attentivement l’adresse électronique des courriels que vous recevez. Les fraudeurs utilisent généralement des adresses légèrement différentes de celles de la personne dont ils usurpent l’identité.
  • Évoquez les courriels suspects avec votre supérieur ou vos collègues. Dans l’idéal, abordez la demande que vous avez reçue par courriel avec l’expéditeur (présumé) en personne ou par téléphone.
  • Établissez et appliquez des règles claires concernant les paiements au sein de votre organisation.
International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.
Soumettre un commentaire
Soumettre un commentaire