Des mots de passe divulgués circulent parfois pendant des années sur Internet ou sur le dark web. Comme de nombreuses personnes réutilisent les mêmes mots de passe sur différentes plateformes, les hackers peuvent parfois accéder directement à des boîtes mail, des comptes ou même des environnements professionnels.

Une fois à l’intérieur, ils observent les communications, analysent les processus et attendent le bon moment pour agir, souvent sans être remarqués.

Fraude à la facture ou Business Email Compromise

Une technique de plus en plus fréquente aujourd’hui est la fraude à la facture, également appelée « Business Email Compromise » (BEC). Les hackers accèdent à une boîte mail ou suivent des échanges existants entre entreprises, clients ou fournisseurs. Lorsqu’une facture est envoyée ou qu’un paiement est attendu, ils interviennent.

Ils envoient un e-mail presque identique depuis une adresse falsifiée, où seul le numéro de compte bancaire est généralement modifié. Par exemple, l’adresse info@vandessel.be peut être imitée par une adresse telle que infovandessel@mail.be.

Comme la communication repose sur de vrais échanges, des noms corrects et des factures existantes, l’ensemble paraît particulièrement crédible. Parfois, des règles automatiques sont même installées dans les boîtes mail afin de masquer les e-mails originaux ou de les rediriger vers les courriers indésirables.

Résultat : des paiements sont effectués vers des comptes frauduleux sans que personne ne s’en aperçoive immédiatement. Dans ce type de situation, l’obligation de paiement envers le véritable fournisseur reste généralement maintenue. Une entreprise qui effectue un virement erroné vers des fraudeurs devra donc souvent payer la facture légitime une seconde fois.

Phishing

Autrefois, le phishing était souvent reconnaissable à une mauvaise grammaire ou à des erreurs flagrantes. Aujourd’hui, les messages frauduleux sont parfois quasiment impossibles à distinguer des vrais.

Les hackers utilisent des logos professionnels, une langue correcte et des communications crédibles. Grâce aux réseaux sociaux ou aux informations publiques, les messages peuvent également être fortement personnalisés, donnant l’impression qu’ils proviennent d’une banque, d’un fournisseur, d’un collègue ou d’une administration.

Le spoofing est également de plus en plus fréquent. Dans ce cas, le nom visible de l’expéditeur est imité afin que l’e-mail semble fiable, alors que l’adresse réelle diffère légèrement. On observe aussi de plus en plus de « website spoofing » : des sites web falsifiés qui ressemblent presque parfaitement à de véritables pages de connexion. Les victimes pensent par exemple se connecter à un environnement Microsoft connu, alors qu’elles transmettent en réalité directement leur nom d’utilisateur et leur mot de passe aux hackers. Là encore, la différence réside souvent dans de petits détails au niveau de l’URL, comme une légère modification d’une lettre ou d’un chiffre.

La cyberfraude ne se limite plus aux e-mails

Aujourd’hui, les cybercriminels ne se limitent plus aux boîtes mail.

Les fraudes via WhatsApp, SMS ou réseaux sociaux sont également en forte augmentation. Pensons par exemple aux messages de « membres de la famille » utilisant un nouveau numéro de téléphone, aux fausses demandes de paiement ou aux faux messages de banques et de services de livraison.

Les attaquants tentent parfois aussi d’obtenir un accès aux systèmes via des logiciels de contrôle à distance comme TeamViewer ou des applications similaires. Lorsqu’un appareil reste sans surveillance ou déverrouillé, des données de paiement ou des factures peuvent même être modifiées directement dans l’environnement de l’entreprise.

Les cybercriminels jouent surtout sur la pression du temps, la confiance et les réflexes humains. Plus la communication paraît crédible et personnelle, plus les victimes risquent de tomber dans le piège.

Le danger se cache dans les petits détails

Ce qui rend la cyberfraude moderne si dangereuse, c’est que les signaux d’alerte classiques deviennent de moins en moins visibles.

La différence se situe souvent dans de petits détails :

  • Une adresse e-mail légèrement modifiée
  • Un numéro de compte différent
  • Une modification inattendue des coordonnées de paiement
  • Un changement subtil dans le style d’écriture
  • Une urgence inhabituelle dans la communication

Et ce sont précisément ces détails qui passent facilement inaperçus dans le cadre de journées chargées ou de tâches routinières.

Comment limiter les risques ?

Il est impossible d’exclure totalement la cybercriminalité, mais certaines mesures de base font une grande différence.

Des mots de passe forts et uniques, l’authentification multifactorielle (MFA) et des contrôles supplémentaires lors de modifications des données de paiement restent essentiels. Un numéro de compte, une adresse e-mail ou un contact est modifié ? Vérifiez toujours ces changements par téléphone via un numéro connu, et jamais via les coordonnées mentionnées dans l’e-mail reçu.

Il est également important de ne pas se limiter au nom visible de l’expéditeur, mais de contrôler l’adresse e-mail réelle. En passant la souris sur le nom de l’expéditeur, un lien ou un bouton, vous pouvez souvent voir l’adresse réelle ou le site web vers lequel vous serez redirigé.

Des habitudes simples permettent aussi de réduire les risques :

  • Verrouiller son écran en cas d’absence
  • Configurer une déconnexion automatique après une période d’inactivité
  • Limiter les droits d’accès lorsque cela est possible
  • Sensibiliser régulièrement les collaborateurs et les membres de la famille

De nombreux incidents cyber ne résultent pas d’erreurs techniques, mais d’erreurs humaines. La vigilance et la sensibilisation restent donc l’une des principales lignes de défense.

Que faire si vous êtes victime ?

Si vous pensez être victime de cyberfraude, il est essentiel d’agir rapidement.

Contactez immédiatement votre banque afin d’essayer de bloquer ou d’annuler le paiement. Déposez également plainte auprès de la police le plus rapidement possible afin que les adresses e-mail, sites web ou comptes frauduleux puissent être désactivés rapidement.

Lorsque votre propre nom de domaine ou adresse e-mail est utilisé de manière frauduleuse, il est également important d’en informer rapidement vos clients, fournisseurs ou contacts.

La vigilance reste essentielle

Même si les cyberattaques deviennent de plus en plus professionnelles, une grande partie de la fraude repose encore aujourd’hui sur la tromperie et la confiance.

C’est pourquoi l’attention aux détails reste l’une des formes de protection les plus importantes, tant pour les entreprises que pour les particuliers.

Car dans de nombreux cas, la différence entre un e-mail ordinaire et une perte financière importante tient encore à un tout petit détail.

Connaissances liées

cyberverzekering
11 mai 2026 1 min de lecture

L’IA comme arme pour les hackers

Lisez plus
Cyber
08 janvier 2026 2 min de lecture

Les cyberattaques resteront aussi en 2026 le principal risque pour les entreprises

Lisez plus

Vous voulez rester au courant des nouvelles les plus importantes en matière d'assurance ? Inscrivez-vous à notre newsletter trimestrielle.

Consultez nos newsletters précédentes