Le Business Email Compromise (BEC) demeure, selon le FBI Internet Crime Report 2024, l’un des premiers vecteurs de pertes financières directes au niveau mondial, avec des montants cumulés de plusieurs dizaines de milliards de dollars sur la dernière décennie.
Depuis 2023, plusieurs rapports institutionnels — notamment l’ENISA Threat Landscape, les analyses d’Europol EC3 et les rapports sectoriels de fournisseurs spécialisés en sécurité email — convergent vers un même constat :
les campagnes de phishing et de BEC intègrent désormais des capacités issues de l’IA générative.
Certaines études publiées en 2024 par des acteurs du marché (dont SlashNext et Proofpoint) indiquent une augmentation très significative des campagnes de phishing sophistiqué depuis l’accessibilité massive des modèles génératifs. Si les chiffres varient selon les méthodologies, la tendance est unanimement reconnue : la barrière technique à l’entrée a fortement diminué.
Une transformation qualitative plus que quantitative
Historiquement, les campagnes BEC reposaient sur :
l’usurpation d’identité simple,
des emails comportant parfois des incohérences linguistiques,
des scénarios relativement standards (urgence, confidentialité, pression hiérarchique).
L’intégration de l’IA générative modifie profondément cette dynamique.
Les attaquants peuvent désormais :
produire des messages exempts d’erreurs linguistiques, dans plusieurs langues ;
adopter un style rédactionnel cohérent avec celui d’un dirigeant ;
contextualiser les échanges à partir d’informations publiques (rapports annuels, communiqués financiers, profils LinkedIn, interviews publiques) ;
ajuster dynamiquement leurs réponses dans un échange interactif.
Selon l’ENISA, cette capacité d’adaptation réduit la détectabilité humaine traditionnelle basée sur des signaux faibles rédactionnels.
Un ciblage renforcé des fonctions financières
Les établissements bancaires et assurantiels présentent plusieurs caractéristiques structurelles favorables aux campagnes BEC :
Existence de workflows formalisés et documentés
Les processus de validation de virements, de modification de RIB fournisseurs ou de paiements exceptionnels suivent des circuits identifiables.Multiplicité des relations externes
Prestataires IT, fintechs, cabinets d’audit, infrastructures de marché : la surface d’échange est large.Enjeux opérationnels de réactivité
Les fonctions trésorerie et finance sont soumises à des contraintes temporelles fortes (clôtures, opérations de marché, transactions internationales).
Le FBI souligne que les attaques BEC exploitent fréquemment ces contextes de pression temporelle pour court-circuiter les contrôles internes.
Les scénarios observés incluent :
modification frauduleuse de coordonnées bancaires fournisseurs,
redirection temporaire de flux,
initiation de virements exceptionnels sur instruction supposée d’un dirigeant,
exploitation d’un compte email compromis pour renforcer la crédibilité du scénario.
Hybridation des vecteurs : email, voix et messageries internes
Les analyses d’Europol et plusieurs retours d’expérience de cabinets de réponse à incident montrent une tendance à la combinaison des vecteurs :
email initial généré par IA,
relance téléphonique avec voix synthétique,
utilisation de messageries collaboratives internes compromises,
exploitation de signatures numériques usurpées.
Le phishing augmenté devient ainsi un processus interactionnel, et non plus un message isolé.
Limites des approches traditionnelles de détection
Les systèmes historiques de filtrage reposaient principalement sur :
détection de domaines frauduleux,
réputation d’expéditeur,
signatures connues,
règles statiques.
Or, les modèles génératifs permettent :
la création rapide de domaines proches (typosquatting sophistiqué),
la variation dynamique des contenus,
l’adaptation en fonction des réponses de la cible.
Plusieurs éditeurs spécialisés en sécurité email ont indiqué dans leurs rapports 2024–2025 que les attaques BEC ne contiennent souvent ni pièce jointe malveillante ni lien suspect, rendant la détection purement technique plus complexe.
Réponse SOC : corrélation comportementale et gouvernance des flux
Dans ce contexte, les SOC bancaires doivent renforcer :
la corrélation entre contenu linguistique et métadonnées techniques ;
l’analyse comportementale des utilisateurs (horaires inhabituels, déviations de processus) ;
la surveillance spécifique des événements sensibles (modification de bénéficiaires, création de nouveaux tiers, changements de RIB) ;
l’intégration des scénarios BEC dans les playbooks d’incident.
L’ENISA rappelle que la détection des fraudes financières repose de plus en plus sur l’analyse comportementale et la corrélation multi-sources plutôt que sur la simple inspection du contenu.
Intégration dans la gouvernance DORA
Le règlement DORA impose aux établissements financiers :
une cartographie des risques ICT incluant les scénarios de fraude ;
des tests réguliers de résilience opérationnelle ;
une documentation des dépendances critiques ;
une capacité démontrable de gestion des incidents majeurs.
Les scénarios BEC augmentés par IA doivent désormais être explicitement intégrés dans :
les exercices de simulation de crise,
les contrôles de second niveau,
les dispositifs de validation des flux financiers critiques.
L’approche attendue par les régulateurs n’est pas seulement technique : elle est organisationnelle et procédurale.
Sensibilisation ciblée des fonctions à risque
Les recommandations issues de retours sectoriels convergent vers une priorisation des fonctions suivantes :
trésorerie,
comptabilité fournisseurs,
direction financière,
direction générale,
assistants exécutifs.
Les simulations génériques ne suffisent plus.
Les exercices doivent reproduire des scénarios réalistes contextualisés, incluant pression hiérarchique et contraintes temporelles.
