BEC

Ce qu’est une attaque BEC

Le BEC (Business Email Compromise) regroupe plusieurs scénarios d’attaque qui ont en commun l’exploitation d’une boîte mail professionnelle. Les plus fréquents observés en 2025-2026 :

• Fraude au président — usurpation de l’identité d’un dirigeant pour demander un virement urgent à la comptabilité.
• Faux ordre de virement — interception et modification de correspondances clients-fournisseurs pour rediriger un paiement légitime vers un compte attaquant.
• Vol de données via boîte mail compromise — lecture invisible des correspondances pendant des semaines avant action.
• Usurpation de banquier — faux mail au nom d’un interlocuteur bancaire connu, demandant validation d’une opération.

Comment ça arrive

Trois vecteurs initiaux dominent :

1. Phishing AiTM (Adversary-in-the-Middle) qui vole le cookie de session d’un utilisateur, même protégé par MFA standard.
2. Compromission de mot de passe réutilisé ailleurs, exploité depuis une fuite de données tierce.
3. Social engineering — un assistant qui clique sur un faux portail OneDrive ou Microsoft 365 cohérent avec son contexte de travail.

Comment se protéger

• MFA résistant au phishing (FIDO2 / WebAuthn) sur tous les comptes à privilèges.
• Conditional Access strict (géolocalisation, posture device, risque utilisateur).
• Surveillance des règles de boîte mail invisibles et des forwarding rules.
• Politique de double-validation hors-bande pour tout virement > N €.
• SOC 24/7 qui qualifie les anomalies d’authentification et la création de règles de boîte mail suspectes.

BEC chez Hexceos

Voir notre cas client forensique d’une intrusion BEC sur un cabinet d’expertise comptable.