Guide pour repérer les arnaques par usurpation d'identité de hauts dirigeants avant que le faux PDG ne reçoive un véritable virement bancaire.
Vous recevez un courriel ou un appel. Le nom affiché est celui de votre PDG ou de votre directeur financier. Le ton est grave. Une transaction confidentielle est en cours : une acquisition, une question réglementaire, quelque chose d’important. On vous demande d’agir vite, discrètement et sans en informer personne.
On ressent une urgence. On ressent une réalité. Et c'est précisément là l'essentiel.
L'usurpation d'identité de cadres supérieurs est l'une des formes de fraude financière les plus courantes ciblant les entreprises aujourd'hui. Les escrocs prennent le temps de se renseigner sur votre entreprise, d'apprendre les noms, les organigrammes et les styles de communication avant même de vous contacter. Lorsqu'ils vous contactent, ils semblent être une personne que vous connaissez et en qui vous avez confiance. Mais ce n'est pas le cas. Ce sont des imposteurs.
La bonne nouvelle, c'est qu'une fois qu'on sait quoi chercher, ces arnaques sont étonnamment faciles à repérer.
Les escrocs suivent un schéma prévisible. Le connaître vous donne une longueur d'avance sur eux.
Ils commencent par l'imitationLes pirates informatiques étudient en détail votre équipe dirigeante et se font passer pour des PDG, des directeurs financiers ou des cadres supérieurs. Ils vous contactent par appels mobiles, messageries instantanées ou adresses électroniques ressemblant fortement à des adresses légitimes. Dans certains cas, ils utilisent même l'identité volée de véritables dirigeants ou font référence à des avocats externes pour donner une apparence de légitimité à leur demande.
Vient ensuite l'histoire. Elle est presque toujours présentée comme un projet hautement confidentielFusions, acquisitions, investissements ou restructurations urgentes sont des thèmes récurrents. On entend souvent des phrases comme « confidentiel », « le service juridique est impliqué » ou « vous seul pouvez le savoir ». Ce ne sont pas des signes légitimes d'un véritable dirigeant. Ces techniques visent à vous isoler et à vous empêcher de vérifier la demande.
Ils vous excluront également des chaînes officielles.Au lieu d'utiliser la messagerie professionnelle ou les systèmes approuvés, ils poursuivent la conversation par le biais de comptes de messagerie privés, d'applications de messagerie instantanée ou d'appels téléphoniques. Cela leur permet de contourner les contrôles de sécurité et de ne laisser aucune trace.
Attendez-vous à de la pressionDes termes comme « urgent », « nécessaire aujourd'hui » ou « cela doit être terminé avant la fin de la journée » sont utilisés pour vous inciter à agir rapidement. Les véritables dirigeants ne vous demanderont jamais de contourner les procédures sous la pression. Les escrocs comptent sur votre réaction impulsive pour vous empêcher de faire preuve de discernement.
Dans les attaques plus sophistiquées, les escrocs mettent en scène des réunions entières.Ils organisent de faux appels vidéo avec des participants qui semblent être de véritables cadres, avocats ou employés du secteur financier. Certains utilisent même… deepfake L'utilisation de technologies ou de photos de profil issues de LinkedIn peut donner l'impression d'une interaction authentique. Si vous avez un mauvais pressentiment, fiez-vous à votre intuition et vérifiez auprès de la personne concernée par d'autres moyens de communication.
Enfin, ils fournissent souvent des documents à l'appui de leur demande.Cela peut inclure de faux contrats, des approbations de conseil d'administration falsifiées, des lettres d'offre ou d'autorisation. Ces documents paraissent convaincants au premier abord, mais contiennent souvent des erreurs subtiles, une mise en page incohérente, des coordonnées d'expéditeur suspectes ou tout simplement des circonstances inhabituelles.
Si vous avez un mauvais pressentiment, prenez le temps de réfléchir avant d'agir : faites une pause (P), évaluez la situation (A) et signalez tout problème (R) à votre responsable, à votre direction ou au service informatique. PAR est un acronyme simple et utile à retenir pour tous, à tout moment.
Pour évaluer la situation, appelez directement la personne concernée à un numéro que vous avez déjà enregistré. N'utilisez aucune information de contact figurant dans le message suspect. Un simple appel vers un numéro vérifié ne prend que deux minutes et pourrait faire économiser des milliers d'euros à votre entreprise.
Signalez vos inquiétudes à un collègue ou à votre équipe informatique. Les escrocs comptent sur votre sentiment de solitude. L'intervention d'une autre personne dans la conversation change immédiatement la donne. Les véritables responsables n'ont aucun problème à ce qu'une autre personne vérifie une demande inhabituelle. Dans une entreprise où règne une bonne culture, ces vérifications sont valorisées et non remises en question ou stigmatisées.
Si une demande vous enjoint de contourner votre procédure d'approbation habituelle, c'est le signal le plus clair qui soit. Les virements bancaires, les paiements aux nouveaux fournisseurs et les modifications de compte sont tous soumis à des contrôles, et ce n'est pas sans raison. Les escrocs prétendent souvent que des conséquences graves s'ensuivront si vous ralentissez le processus ou si vous signalez le problème. Ils veulent vous faire croire à une réelle urgence et à une situation personnelle. Aucune urgence véritable ne justifie de déroger à votre procédure d'approbation, et aucun dirigeant sérieux ne vous demandera de dissimuler une transaction financière à votre équipe.
Le meilleur moment pour en parler à votre équipe, c'est avant que cela ne se produise. Évitez de créer un document de procédure complexe de 30 pages que personne ne lira. Il vous faut une compréhension simple et partagée : toute demande financière inhabituelle fait l'objet d'une vérification téléphonique, quel que soit l'expéditeur.
Formez votre personnel à reconnaître les signaux d'alerte : adresses électroniques personnelles ou comptes externes utilisés pour des demandes urgentes, exigences de confidentialité et pressions pour agir immédiatement.
Les escrocs misent sur la rapidité et le silence. Un simple coup de fil de deux minutes et une culture où la vérification est non seulement bienvenue, mais aussi encouragée et même exigée, vous permettent de les déjouer.
Partagez cet article avec les membres de votre équipe en charge des paiements, des virements ou des demandes fournisseurs. Discutez brièvement de la procédure à suivre si l'un d'eux reçoit un message similaire à ceux décrits ci-dessus. Définissez ensemble une règle simple : toute demande financière urgente émanant d'un cadre supérieur fera l'objet d'une vérification vocale avant d'être traitée. Consignez cette procédure dans un document de politique ou de processus financier concis.
Cette simple habitude est une mesure efficace que votre organisation peut prendre dès aujourd'hui, et le meilleur, c'est qu'elle ne nécessite aucun budget supplémentaire !
Découvrez et partagez les dernières tendances, conseils et meilleures pratiques en matière de cybersécurité, ainsi que les nouvelles menaces à surveiller.
Les jetons OAuth n'expirent pas lorsque des employés quittent l'entreprise, que des mots de passe changent ou que des applications deviennent malveillantes. Votre programme de sécurité a besoin de…
Lire la suite
La plupart des violations de données ne commencent pas par un pirate informatique en sweat à capuche qui déchiffre un code à 3 heures du matin. Elles commencent par votre nom d'utilisateur et…
Lire la suite
Mises à jour de l'article : À compter du 6 mai 2026, tous les principaux laboratoires d'IA américains, y compris Google DeepMind, Microsoft, xAI…
Lire la suiteAyez une vision plus précise des risques humains, grâce à une approche positive qui surpasse les tests de phishing traditionnels.
