Fraude au président : le courriel à 123 000 $
Un courriel du président, un virement urgent, une demande de discrétion. Pas de virus, pas de pièce jointe — et 3 milliards $ de pertes par année. Voici comment la fraude au président fonctionne à l'ère des deepfakes, et la seule habitude qui la bloque.
L'adjointe aux finances reçoit un courriel du président, en déplacement à l'étranger : une acquisition confidentielle se conclut aujourd'hui, un virement doit partir avant 15 h, « je compte sur ta discrétion ». Ailleurs, un fournisseur de longue date écrit : nouvelles coordonnées bancaires, merci d'utiliser ce compte pour la prochaine facture. Et à Hong Kong, un employé du groupe d'ingénierie Arup participe à une vidéoconférence avec son directeur financier et plusieurs collègues, puis exécute des virements totalisant 25 millions $ US. Personne dans cet appel n'était réel : tous les participants étaient des deepfakes.
Les deux premières scènes, nous en voyons passer chaque mois. La troisième est arrivée pour vrai, en 2024.
Le crime le plus rentable que vous ne verrez pas venir
La fraude au président — business email compromise, ou BEC — ne ressemble à rien de ce qu'on imagine d'une cyberattaque. Pas de virus, pas de lien piégé, pas de pièce jointe suspecte. Juste un courriel propre, bien écrit, qui actionne trois leviers psychologiques : l'autorité, l'urgence et la confidentialité. C'est précisément pour ça que les filtres techniques ne l'arrêtent pas : il n'y a rien à détecter. La faille exploitée n'est pas dans vos systèmes, elle est dans vos processus.
Trois milliards par année — et l'IA vient d'entrer dans la partie
Le rapport 2025 du centre de plaintes du FBI (IC3) chiffre les dégâts : 3,05 milliards $ US de pertes déclarées en un an, deuxième catégorie de cybercrime la plus coûteuse. Rapporté aux 24 768 plaintes, ça donne environ 123 000 $ par incident. Et 86 % de ces fonds partent par virement bancaire — c'est-à-dire, dans la plupart des cas, irrécupérables après quelques heures.
Pour la première fois en 25 ans, ce même rapport consacre une section entière à l'intelligence artificielle : 893 millions $ de pertes liées à des fraudes assistées par l'IA, dont plus de 30 millions en fraude au président avec composante IA confirmée. Concrètement : des générateurs de texte qui imitent le style d'écriture du PDG à la perfection, et des voix clonées qui « confirment » la demande au téléphone. Les fautes d'orthographe et le français approximatif qui trahissaient les fraudeurs? De l'histoire ancienne. L'IA en entreprise a maintenant deux visages : celui que vos équipes adoptent — parfois sans encadrement — et celui que les fraudeurs pointent vers vous.
Les quatre scénarios à connaître
Le premier, c'est le virement urgent du dirigeant : le classique décrit plus haut, qui frappe de préférence le vendredi après-midi et pendant les vacances , quand les circuits d'approbation tournent au ralenti.
Le deuxième est plus sournois : le fournisseur qui change de compte. Ici, le courriel vient souvent du vrai fournisseur, dont la boîte courriel a été compromise — souvent à partir d'un mot de passe réutilisé, un problème qui se règle . La facture est authentique, le montant est exact, l'historique de conversation est réel — seules les coordonnées bancaires ont changé.
Le troisième vise les RH : le détournement de paie. Une demande de changement de dépôt direct arrive « de la part » d'un employé, et sa prochaine paie s'envole vers le compte d'un fraudeur.
Le quatrième joue la carte du prestige : le faux avocat ou notaire qui appelle pour une transaction confidentielle, en insistant sur le secret absolu — ce qui isole commodément la victime de toute personne qui pourrait la faire douter.
La défense tient en une habitude
Aucune technologie ne remplace ceci : toute demande de virement inhabituelle ou de changement de coordonnées bancaires se vérifie par un rappel téléphonique à un numéro déjà connu — jamais celui fourni dans le courriel ou par l'interlocuteur. C'est tout. Cette seule habitude, appliquée sans exception, aurait bloqué l'essentiel des trois milliards perdus l'an dernier.
Autour de cette habitude, quatre renforts : une double approbation obligatoire pour tout virement au-delà d'un seuil défini; les protocoles DMARC, SPF et DKIM correctement configurés, pour qu'aucun fraudeur ne puisse envoyer de courriels en usurpant votre propre domaine; des simulations d'hameçonnage régulières pour entraîner le réflexe plutôt que la théorie; et surtout, une culture où vérifier n'est pas offenser. L'employé qui rappelle le président pour confirmer un virement devrait être félicité publiquement — c'est le meilleur investissement en sécurité que vous ferez cette année.
Si le virement est déjà parti
Chaque minute compte. Appelez votre banque immédiatement pour demander le rappel des fonds, puis signalez l'incident au Centre antifraude du Canada et à votre service de police. La fenêtre est courte mais réelle : aux États-Unis, l'équipe de recouvrement du FBI a gelé 679 millions $ en 2025, avec un taux de succès de 58 % — presque uniquement dans les cas signalés durant les premières heures.
Le mot de la fin
La question n'est pas de savoir si votre entreprise recevra un de ces courriels — elle en reçoit probablement déjà. La question est de savoir si la personne qui l'ouvrira aura le réflexe de décrocher le téléphone avant de faire le virement.
Chez MMO Techno, nous attaquons le problème par les deux bouts : la technique — protection courriel avancée, DMARC en mode strict, détection des usurpations — et l'humain, avec des formations et des simulations qui installent le réflexe de vérification dans votre équipe.
Si votre adjointe aux finances recevait ce courriel demain matin, sauriez-vous dire, sans hésiter, ce qu'elle ferait?