Les arnaques & Escroqueries bancaires 18 juillet 2025

Phishing et comptes professionnels : sécurité pour dirigeants

Le phishing vise à tromper les dirigeants et salariés en leur faisant croire qu’un message provient d’une source fiable, pour leur soutirer des informations confidentielles ou accéder à des comptes professionnels.

1. Principes généraux de la menace du phishing en entreprise

Le phishing, ou hameçonnage, est un terme désignant l'obtention des identifiants d'une personne, en se faisant passer auprès des victimes pour un individu, une entreprise ou une autorité publique ayant un besoin légitime de solliciter l'information demandée.

Une fois que la victime a révélé ses identifiants personnels, le fraudeur peut accéder au compte concerné (bancaire, boîte de réception, achats en ligne) et l'utiliser à des fins malveillantes, comme l'envoi de spam (courriels non sollicités en nombre), le vol d'argent ou tout autre délit.

L'usurpation d'identité vient alors aider à la constitution d'une infraction. Dans ces situations, les tribunaux recourent le plus souvent au délit d'accès frauduleux à un système de données informatiques ou de contrefaçon pour poursuivre le délinquant, mais l'usurpation d'identité en tant que telle n'est pas sanctionnée.

Les rançongiciels, qui touchent les entreprises comme les particuliers, rendent illisibles vos données et les délinquants exigent alors une rançon pour vous les restituer.

Nombreuses également sont les victimes d'attaques par hameçonnage (phishing). Là aussi souvent véhiculées par une pièce jointe de mail, destinées à vous voler vos identifiants et mots de passe.

2. Hameçonnage des dirigeants : une menace grandissante

Le phishing, ou hameçonnage, est une technique de fraude consistant à usurper l’identité d’une entreprise, d’un prestataire ou d’une autorité officielle pour inciter la victime à révéler ses identifiants de compte professionnels ou personnels. Lorsqu’il est ciblé, on parle de spear-phishing : des campagnes personnalisées visant les décideurs et les hauts responsables de l’entreprise, avec un objectif clair de compromission ou de vol des identifiants du compte.

Les mails spoofing, qui manipulent l’adresse de l’expéditeur pour donner l’illusion d’un message légitime, sont souvent utilisés dans ces attaques. Ils peuvent contenir des pièces jointes piégées ou des liens vers des sites de phishing, conçus pour recueillir des données sensibles ou installer des malwares.

3. Responsabilité juridique et obligations des dirigeants

Il est impératif de créer plusieurs niveaux de sensibilisation et d'associer à cette démarche :

  • non seulement, les fonctions métiers et supports directement concernées par des attaques de type phishing ou encore de fraude au président ;
  • les responsables des systèmes d'information pour confronter les mesures techniques de sécurité déployées ;
  • les dirigeants de l’entreprise, trop souvent laissés dans le brouillard sur une problématique majeure pouvant impacter leur propre responsabilité pénale.

La loi prévoit également des incriminations pénales spécifiques, telles que l’usurpation d’identité (article 226-4-1 du Code pénal), qui vise aussi bien la collecte que l’utilisation frauduleuse de données permettant d’identifier un tiers.

La peine encourue pour ce délit est d’un an d’emprisonnement et de 15 000 euros d’amende, aggravée si l’infraction est commise par le biais d’un réseau de communication au public en ligne.

4. Bonnes pratiques et mesures de sécurité recommandées

Pour les dirigeants, il est essentiel d’adopter une politique de sécurité informatique rigoureuse, comprenant notamment :

4.1. Sensibilisation et formation régulière

La plupart des attaques par ransomwares surviennent car grâce au phishing, les employés ont permis au virus de s'introduire. Sensibiliser l'ensemble des salariés est essentiel (de la personne qui travaille à l'accueil, jusqu'aux dirigeants).

De nombreuses entreprises proposent à leurs salariés des e-learnings ou des formations en présentiel afin d'alerter les salariés sur ces risques et leurs conséquences.

Il est également important de tester les salariés après ces séances de formation en faisant réaliser des faux e-mails avec pièces jointes ou lien inclus dans l'e-mail, et de mesurer ainsi l'efficacité des formations.

4.2. Mots de passe robustes et authentification forte

Les mots de passe doivent être soumis à certaines règles : longueur minimale, en général 6 caractères alphanumériques ; usage limité dans le temps (être régulièrement modifiés) ; circulation sur les réseaux et stockage sous forme chiffrée.

4.3. Utilisation d’outils de sécurité

Utiliser des antivirus à jour, pare-feu (firewalls), solutions de détection d’intrusion, et segmenter les accès pour limiter l’exposition des comptes à privilèges.

La sécurité logicielle ou « firewall » (coupe-feu) est un système de protection des réseaux locaux reliés à Internet, qui s'occupe de vérifier les entrées-sorties de données pour prévenir les attaques extérieures.

4.4. Surveillance régulière des logs

Je recommande de mettre en place une véritable politique de journalisation afin d'assurer une supervision des incidents de sécurité.

4.5. Plan de réponse aux incidents

Toute entreprise doit disposer d’un plan précis décrivant les démarches en cas de cyberattaque, incluant :

  • la gestion de crise,
  • la notification aux autorités compétentes,
  • la communication interne et externe,
  • la restauration des activités.

4.6. Souscription d’une assurance cyber

Il existe des contrats d'assurance nés il y a maintenant une dizaine d'années en France qui offrent des garanties étendues et proposent aussi tout un panel d'experts pour assister l'entreprise assurée dans la gestion de la crise.

Les coûts de ces experts sont pris en charge par le contrat d'assurance ainsi que l'ensemble des conséquences pour l'entreprise (pertes d'exploitation, pénalités contractuelles, dommages et intérêts versés aux tiers…).

5. Exemples d’attaques et implications pratiques

Les dirigeants sont particulièrement exposés à des techniques d’ingénierie sociale, telles que :

  • Le phishing ciblé (« spear phishing »), qui vise à obtenir des accès aux comptes stratégiques de l’entreprise ou à détourner des fonds.
  • Les entreprises sont directement concernées avec des méthodes de blocage de leur site professionnel contre la remise d'une rançon, mais les attaques jugées les plus coûteuses restent les fraudes à la carte bancaire.
  • Les fraudes dites « au président » ou « FOVI », où l’attaquant se fait passer pour un dirigeant afin d’ordonner à un collaborateur, souvent du service comptable, la réalisation d’un virement frauduleux sur un compte bancaire à l'étranger.
  • L’espionnage industriel, qui exploite l’accès privilégié des dirigeants à des informations stratégiques de l’entreprise.

En conclusion, les dirigeants ont un rôle central à jouer dans la protection de l’entreprise contre les attaques de phishing. Leur vigilance, alliée à des mesures concrètes de sécurité cyber, constitue une barrière essentielle contre le vol des identifiants du compte et les cybermenaces en général.

Avocat Pierre

Je suis Maître Pierre, avocat en droit bancaire inscrit au barreau de Paris depuis 2003. Vous rencontrez une problématique et avez besoin d'aide ? Discutons-en.

Me contacter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

map
Accéder à l'itinéraire
Me contacter