Thèmes
Services
Accueil > Fraude au PDG reste ...
FR
FR DE IT EN

La fraude du CEO reste un problème récurrent pour les PME

La fraude au CEO reste l'une des méthodes de fraude les plus fréquemment signalées au BACS et a augmenté l'année dernière de 719 à 971 cas par rapport à 2024. La semaine dernière, le BACS a de nouveau reçu des messages montrant que les malfaiteurs ne cessent d'affiner leur stratagème. Ils ne misent plus exclusivement sur des e-mails falsifiés, mais aussi de manière ciblée sur la manipulation psychologique et l'intelligence artificielle. La dernière rétrospective de la semaine met en lumière la manière dont vous pouvez reconnaître les signaux d'alarme subtils dans votre travail quotidien.

Rédaction - 6 février 2026
C'est surtout l'urgence feinte qui fait que les escrocs réussissent avec l'arnaque du CEO Photo : Depositphotos/LDProd

Dans l'agitation du quotidien professionnel, les e-mails des supérieurs donnent souvent le tempo des priorités. Lorsque la direction donne une instruction, celle-ci est généralement exécutée rapidement et sans trop de questions. C'est précisément ce réflexe que les cybercriminels exploitent dans le cadre de la fraude au CEO. Les attaques se déroulent souvent par vagues et touchent des PME ou des associations de toutes tailles. Pour ce faire, les escrocs utilisent surtout des données provenant de sources publiques. Les entreprises, associations ou communes qui publient des informations sur leurs collaborateurs ou leur équipe sur leur site Internet ou dans les médias sociaux sont donc particulièrement visées.

Tout commence par la recherche

Contrairement aux e-mails de phishing envoyés en masse, les auteurs de la fraude au CEO se préparent. Ils parcourent les réseaux sociaux comme LinkedIn ou le site web de l'entreprise ainsi que le registre du commerce pour analyser les hiérarchies, les responsabilités et les absences. Ils savent exactement qui a accès aux comptes dans le service comptable et qui est habilité à donner des instructions au sein de la direction.Le scénario typique, qui est régulièrement signalé au BACS, se déroule comme suit : Un collaborateur du service financier reçoit un e-mail qui semble provenir du CEO. Le nom de l'expéditeur est correct et l'adresse e-mail semble également fiable à première vue. Ce n'est qu'au deuxième coup d'œil que l'on remarque des incohérences. Les fraudeurs utilisent souvent des domaines avec «typosquatting», c'est-à-dire des erreurs de lettres minimes dans le domaine.

L'autorité se heurte à la pression du temps

Dans le message, on construit généralement un scénario formulé comme une «demande» qui exige de l'urgence. Les prétextes les plus courants sont

  • Un paiement urgent à un fournisseur étranger, généralement suivi d'une question sur le solde ouvert ou actuel du compte ;
  • L'achat de cartes-cadeaux ou de chèques-cadeaux pour les partenaires, qui doit être effectué immédiatement.

Les auteurs exercent ainsi une pression psychologique. Des formules telles que «Je compte sur votre discrétion», «Je suis incroyablement reconnaissant» ou «Effectuez le paiement immédiatement» visent à dissuader le collaborateur de respecter les consignes de sécurité habituelles ou de poser des questions.

Nouvelle variante via WhatsApp et avec IA

La fraude au CEO ne se fait pas uniquement par e-mail. Les tentatives de fraude se font également par WhatsApp ou par téléphone. L'utilisation croissante de l'intelligence artificielle (IA) constitue à cet égard une évolution inquiétante. Les criminels utilisent des outils d'IA pour imiter le style d'écriture du véritable supérieur, y compris les salutations ou les expressions typiques. Comme l'a montré un cas récemment rendu public dans le canton de Schwyz, dans lequel une entreprise a perdu plusieurs millions de francs, les appels audio deepfake ou les messages vocaux sont également de plus en plus utilisés. La voix du patron ou d'un partenaire commercial est imitée à s'y méprendre par l'intelligence artificielle.Des vidéoconférences manipulées par l'intelligence artificielle ont également déjà été observées. Mais leur mise en œuvre semble encore trop compliquée pour les escrocs. Il s'agit probablement encore de ballons d'essai. Les pirates se concentrent plutôt sur la variante téléphonique et le clonage de la voix.

Toujours des cabinets d'avocats

Le BACS reçoit également régulièrement des informations selon lesquelles le contact a lieu par l'intermédiaire d'avocats. Les noms de cabinets d'avocats existants et établis en Suisse sont alors utilisés abusivement afin d'inspirer confiance aux victimes. Dans ce cas, le prétendu supérieur demande à la victime si un avocat spécifique l'a déjà contactée pour une affaire confidentielle ou un mandat urgent. Cette mention d'une tierce personne vise à créer un sérieux supplémentaire et une pression juridique. De plus, les victimes ne connaissent pas aussi bien les caractéristiques et les habitudes de l'avocat que celles de leur patron ou de leurs propres collaborateurs. Les escrocs n'ont donc pas besoin de faire autant d'efforts pour imiter la personne. En règle générale, les escrocs se font ensuite passer pour ledit avocat afin de réclamer un virement urgent à l'étranger sous prétexte du plus grand secret.

Recommandations

Le BACS conseille aux entreprises de mettre en place des obstacles techniques et organisationnels :

  • Principe du double contrôle : Introduisez impérativement une signature collective ou une validation par une autre personne pour les paiements et pour les modifications des données de base (p. ex. nouvel IBAN d'un fournisseur).
  • Vérification par un deuxième canal : Si vous recevez une demande de paiement par e-mail - surtout si elle est «urgente» ou «secrète» - appelez le donneur d'ordre. Pour ce faire, n'utilisez pas le numéro figurant dans l'e-mail, mais le numéro que vous connaissez.
  • Pas d'exception : Convenez clairement que les processus de sécurité ne doivent pas être contournés, même (et surtout) en cas d'instructions de la direction. Dans la culture d'entreprise, un scepticisme sain devrait être considéré comme une force et non comme une désobéissance.
  • Marquage des e-mails externes : Configurez votre serveur de messagerie de manière à ce que les e-mails provenant d'expéditeurs externes soient clairement marqués dans l'objet ou le corps du message (par ex. «EXTERNAL»). Ainsi, on remarque tout de suite si un e-mail provient soi-disant du CEO interne, mais a en fait été envoyé depuis une adresse externe.

Source : BACS

(Visité 33 fois, 1 visites aujourd'hui)

Plus d'articles sur le sujet

Le BACS et la SIA mettent l'accent sur la cybersécurité lors de Swissbau 2026

Plus ciblées, plus complexes, plus raffinées - Près de 65 000 déclarations au BACS en 2025

Axis Communications : les quatre principales tendances technologiques pour le secteur de la sécurité en 2026

ACTUALITÉS SUR LA SÉCURITÉ

Restez informé sur les thèmes actuels de la sécurité - de manière pratique et fiable. Recevez des contenus exclusifs directement dans votre boîte de réception. Ne manquez aucune mise à jour.

Inscrivez-vous maintenant !
s'inscrire
Vous pouvez vous désinscrire à tout moment !
close-link