Le jeudi 14 mars 2024, Carole Bédard, contrôleure financière d’une firme de génie-conseil à Sherbrooke, a reçu un courriel de leur fournisseur de matériaux de construction habituel. Le message lui demandait de mettre à jour les coordonnées bancaires pour les paiements à venir — le fournisseur avait changé d’institution financière. La demande était formulée exactement comme les précédentes, avec la même signature, le même logo, le même ton professionnel.
Carole a mis à jour les informations dans leur système. Deux semaines plus tard, la facture mensuelle de 78 400 $ est envoyée au nouveau compte.
Le vrai fournisseur appelle deux semaines après pour savoir pourquoi il n’a pas été payé.
L’argent était parti dans un compte ouvert en Ontario sous un nom fictif. Il a disparu en 48 heures, transféré en plusieurs virements vers des comptes à l’étranger. La firme de Sherbrooke n’a jamais récupéré un centime.
Ce type de fraude s’appelle Business Email Compromise — BEC en anglais, ou fraude au virement par compromis de courriel. C’est aujourd’hui la cybermenace qui coûte le plus cher aux entreprises au monde, et les PME québécoises ne sont pas épargnées.
Ce que disent les chiffres
En 2023, le FBI Internet Crime Complaint Center (IC3) a recensé 21 489 plaintes de fraude BEC aux États-Unis, pour des pertes ajustées de 2,9 milliards de dollars — soit une moyenne de 134 000 $ par incident. C’est la catégorie de cybercrime la plus coûteuse, devant les ransomwares.
Au Canada, le Centre antifraude du Canada (CAFC) a rapporté 1 099 cas de fraude aux entreprises par manipulation (catégorie qui inclut les BEC) en 2023, pour des pertes déclarées de 49,2 millions de dollars. Ces chiffres sont largement sous-estimés : la grande majorité des fraudes d’entreprise ne sont pas signalées, par honte ou parce que les victimes ignorent à qui s’adresser.
Ce qui rend les BEC particulièrement redoutables, c’est leur sophistication croissante. Ce ne sont plus des arnaques grossières avec des fautes de français flagrantes. Les fraudeurs passent des semaines à surveiller les boîtes courriel compromises, à apprendre le vocabulaire de l’entreprise, les noms des fournisseurs, les montants habituels des transactions, les cycles de paiement.
Comment fonctionne une attaque BEC — étape par étape
Phase 1 : La reconnaissance (semaines à mois)
Tout commence par une collecte de données publiques. LinkedIn permet d’identifier qui s’occupe des finances dans une PME. Le site web de l’entreprise révèle souvent les noms des dirigeants. Des outils automatisés scrapent ces informations à grande échelle.
Les fraudeurs identifient ensuite les fournisseurs réguliers de l’entreprise cible — parfois en achetant des listes d’entreprises liées dans des bases de données commerciales, parfois simplement en observant les signatures de courriels dans des échanges capturés.
Phase 2 : La compromission du courriel
Pour accéder à une boîte courriel professionnelle, les méthodes les plus courantes sont :
Le phishing ciblé (spear phishing) : un courriel convaincant, personnalisé pour ressembler à une communication interne ou d’un service utilisé par l’entreprise (Microsoft 365, DocuSign, un portail bancaire). La victime entre ses identifiants sur une fausse page de connexion.
Les mots de passe exposés : des milliards de combinaisons email/mot de passe circulent dans des bases de données piratées. Si un employé utilise le même mot de passe sur LinkedIn (piraté en 2016) et sur sa messagerie professionnelle, le fraudeur peut entrer sans effort.
L’absence de MFA : sans authentification à deux facteurs, un mot de passe volé suffit. C’est encore le cas pour une proportion inquiétante de PME québécoises.
Une fois dans la boîte, le fraudeur se met à lire en silence. Pendant des jours ou des semaines, il observe les échanges, note les noms, les montants, les formulations. Il attend le bon moment.
Phase 3 : L’attaque
Deux variantes principales existent :
La compromission réelle : le fraudeur envoie depuis la vraie boîte du fournisseur (ou de l’employé compromis) une demande de changement de coordonnées bancaires. C’est le scénario de Carole à Sherbrooke.
L’usurpation d’identité : sans accès réel au compte, le fraudeur crée une adresse similaire (fournisseur@acme-corp.com devient fournisseur@acme-corp.net, ou fournisseur@acmecorp.com). La différence est souvent invisible dans une boîte courriel occupée.
Dans les deux cas, la demande arrive au bon moment — quand une vraie facture est attendue, ou juste avant la fin d’un projet — et elle est formulée avec les codes de communication exacts de l’entreprise.
Phase 4 : Le transfert et la disparition
Une fois le virement effectué, les fonds passent rapidement par plusieurs comptes, souvent dans différents pays. Dans 72 heures, l’argent est typiquement irrécupérable. Les comptes utilisés sont ouverts avec de faux documents ou en utilisant des mules financières recrutées via des arnaques d’emploi.
Les variantes les plus courantes au Québec
La fraude au PDG (CEO fraud) : un courriel prétendument du directeur général demande à la comptabilité de faire un virement urgent et confidentiel. La pression hiérarchique et l’urgence désactivent les réflexes de vérification.
La fraude au fournisseur : le scénario décrit ci-dessus. Changement de coordonnées bancaires avant une grosse facture.
La fraude à l’avocat : un faux courriel d’un cabinet d’avocats ou d’un notaire impliqué dans une transaction immobilière ou une acquisition d’entreprise. Les sommes visées sont souvent très élevées.
La fraude à la paie : un employé (ou quelqu’un se faisant passer pour lui) demande de changer son compte bancaire pour le dépôt de salaire. La fraude est découverte seulement au prochain cycle de paie.
L’escroquerie aux dons : pendant des périodes de crise (pandémie, inondations), de faux courriels de dirigeants demandent des achats urgents de cartes-cadeaux ou des virements pour des causes charitables.
Pourquoi les PME québécoises sont particulièrement vulnérables
Les grandes entreprises ont des équipes de sécurité, des procédures formalisées, des systèmes de détection. Les PME fonctionnent différemment : les décisions sont rapides, les relations sont personnelles, et la confiance est la base du travail quotidien.
C’est exactement ce que les fraudeurs exploitent.
Dans une PME de 15 employés, quand le directeur envoie un courriel urgent, on ne lui demande pas de remplir un formulaire de validation en trois étapes. On fait confiance. Et cette confiance, forgée sur des années de travail ensemble, peut être retournée contre l’organisation en quelques minutes.
La pression temporelle est un autre facteur clé. Les arnaques BEC arrivent toujours avec une urgence : « Le fournisseur a besoin du paiement aujourd’hui pour ne pas annuler la commande. » « Le directeur est en voyage et a besoin que ce soit fait avant la fermeture. » Cette urgence court-circuite le jugement et empêche la vérification.
Les protocoles de prévention qui fonctionnent réellement
1. La vérification hors bande — la règle d’or
Pour tout changement de coordonnées bancaires et tout virement au-dessus d’un seuil défini, la règle est simple : décrocher le téléphone.
Pas répondre au courriel. Pas utiliser le numéro de téléphone fourni dans le courriel suspect. Appeler le contact au numéro que vous avez dans vos dossiers depuis le début de la relation d’affaires.
Cette vérification prend 90 secondes. Elle arrête 100 % des arnaques BEC.
Le problème : beaucoup d’entreprises trouvent ça gênant ou inefficace. « On va paraître paranoïaques. » La réalité est l’inverse — un fournisseur sérieux comprend et respecte cette précaution. C’est une marque de professionnalisme.
2. Des seuils d’autorisation à deux personnes
Définissez un montant au-dessus duquel tout virement nécessite l’autorisation d’une deuxième personne, indépendamment du demandeur. Si le « PDG » demande un virement de 50 000 $, le CFO doit confirmer verbalement — pas par courriel.
Ce protocole existe dans presque toutes les grandes organisations. L’adapter à une PME est simple et ne coûte rien.
3. L’authentification à deux facteurs sur tous les comptes courriel
C’est la mesure technique la plus efficace pour empêcher la compromission initiale. Sans MFA, un mot de passe volé donne accès immédiat. Avec MFA, le fraudeur a besoin du code temporaire envoyé sur votre téléphone — ce qu’il n’a pas.
Microsoft 365 et Google Workspace permettent de forcer le MFA sur tous les comptes de l’organisation en quelques clics. Si ce n’est pas fait dans votre PME, c’est la priorité numéro un.
Pour comprendre pourquoi le MFA par SMS est moins robuste que les applications d’authentification, consultez notre article sur le 2FA SMS vs application.
4. Vérifier les en-têtes de courriel
Quand un courriel semble venir d’un contact connu mais demande quelque chose inhabituel, les en-têtes révèlent l’adresse réelle d’envoi. Dans Gmail : Afficher l’original. Dans Outlook : Afficher les propriétés du message.
L’adresse Reply-To est souvent différente de l’adresse d’envoi dans les tentatives de compromission.
5. Former régulièrement les employés qui touchent aux finances
La formation n’est pas un événement ponctuel. Les techniques changent. Une heure par trimestre sur des exemples récents vaut mieux qu’une journée de formation tous les deux ans.
Les employés en comptabilité, en approvisionnement, et les assistants de direction sont les cibles prioritaires. Ils doivent connaître les scénarios, savoir comment les identifier, et surtout savoir que poser des questions ne sera jamais une faiblesse dans votre organisation.
6. Configurer les alertes de connexion sur les comptes professionnels
Microsoft 365 et Google Workspace envoient des alertes quand un compte est accédé depuis un nouveau pays ou un nouvel appareil. Ces alertes permettent de détecter rapidement une compromission.
Si vous recevez une alerte de connexion depuis un pays où aucun de vos employés ne se trouve, c’est une urgence.
7. Politique zéro téléchargement de pièces jointes inattendues
Les fichiers PDF, Word ou Excel joints à des courriels non sollicités sont souvent des vecteurs d’accès. Une facture PDF peut contenir un script malveillant. Un document Word peut demander d’activer les macros — et ces macros installent un outil d’espionnage.
La règle : jamais d’activation de macros. Jamais d’ouverture d’une pièce jointe inattendue sans vérification verbale avec l’expéditeur.
Que faire si vous êtes victime
La vitesse est tout. Chaque heure compte.
Dans la première heure :
- Appelez votre institution financière pour demander un rappel du virement. Les banques ont des protocoles pour les fraudes en cours, mais la fenêtre d’action est courte.
- Contactez le Centre antifraude du Canada : 1-888-495-8501 ou antifraudcentre-centreantifraude.ca.
- Déposez une plainte à votre service de police local (et/ou à la GRC pour les montants importants).
Dans les 24-48 heures :
- Mandatez une firme de cybersécurité pour analyser la compromission — comment le fraudeur a accédé au compte, ce qu’il a vu, si d’autres données ont été exfiltrées.
- Avisez votre assureur si vous avez une couverture cybercrime.
- Prévenez vos autres fournisseurs qu’un compte a été compromis — d’autres virements frauduleux peuvent être en cours.
La vérité sur les chances de récupération : Elles sont mauvaises. Les études montrent que moins de 10 % des fonds BEC sont récupérés. Les virements interbancaires sont difficiles à inverser une fois traités. C’est pourquoi la prévention est la seule vraie stratégie.
L’aspect légal et la responsabilité
Au Québec, les entreprises victimes de BEC se posent rapidement la question : est-ce que c’est notre faute? Est-ce que notre banque aurait dû bloquer le virement?
La jurisprudence canadienne est généralement défavorable aux victimes quand les procédures internes n’ont pas été respectées. Si votre organisation n’avait aucun protocole de vérification et a effectué un virement sans validation, la responsabilité reste largement la vôtre.
Certaines banques offrent maintenant des couches de vérification supplémentaires pour les virements inhabituels. Ces services valent la peine d’être demandés.
La Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25 au Québec) peut également entrer en jeu si la compromission a conduit à la fuite de données personnelles de clients ou d’employés. Notre article sur la Loi 25 et la cybersécurité détaille les obligations de divulgation.
Les signaux d’alarme à ne jamais ignorer
Voici les patterns qui doivent déclencher une vérification systématique, sans exception :
- Toute demande de changement de coordonnées bancaires, quelle que soit la source apparente
- Un courriel d’un contact habituel avec une demande inhabituelle
- Une urgence soudaine qui nécessite un virement immédiat
- Une demande de confidentialité sur un paiement (“ne pas en parler au comptable”)
- Un montant légèrement différent d’une facture habituelle
- Un courriel qui arrive avec des fautes inhabituelles de la part d’un contact normalement soigné
- Une adresse courriel avec une lettre différente du domaine habituel (acme.ca vs acme.co)
Aucun de ces signaux, pris isolément, ne confirme une fraude. Mais tous méritent une vérification verbale avant toute action financière.
Ce que les fraudeurs savent que vous ignorez
Les opérations BEC les plus sophistiquées ont accès à votre boîte courriel depuis des semaines avant l’attaque. Ils savent que votre principal fournisseur de bois s’appelle Martin Tremblay. Ils savent que vous payez habituellement entre le 15 et le 20 du mois. Ils savent que votre directeur est en voyage à Toronto cette semaine parce qu’il l’a mentionné dans un courriel interne.
Ces détails rendent l’attaque chirurgicale. Ce n’est plus un message générique — c’est un message conçu pour vous, au bon moment, avec les bonnes informations.
Face à ça, les procédures rigides sont votre seule défense. Pas parce que vous manquez de jugement, mais parce que le jugement peut être trompé par une information parfaitement fabriquée. La procédure, elle, ne l’est pas.
Construire une culture de vérification dans votre PME
Le plus grand obstacle à la prévention BEC n’est pas technique. C’est culturel.
Dans beaucoup de PME, demander à vérifier verbalement une demande du PDG est perçu comme un manque de confiance. Ralentir un paiement pour confirmer par téléphone avec le fournisseur semble excessif dans le contexte d’une relation bien établie.
Cette culture doit changer. Et elle change plus facilement quand les dirigeants eux-mêmes adoptent publiquement les protocoles — quand le PDG dit à son équipe : « Si jamais vous recevez un courriel qui semble venir de moi et qui demande un virement urgent, appelez-moi directement. Toujours. »
Ce type de déclaration, faite une fois clairement, protège l’organisation bien plus efficacement que n’importe quel logiciel.
Le coût réel d’une attaque BEC
Au-delà des montants virés directement, les coûts d’une attaque BEC incluent :
- Les frais d’investigation forensique (5 000 $ à 25 000 $ selon la complexité)
- Les frais légaux si des clients ou partenaires sont impliqués
- La perte de temps opérationnelle pendant la gestion de l’incident
- Les dommages à la réputation si l’incident devient public
- Le coût psychologique sur les employés impliqués
Pour une PME de 10 à 50 employés, un incident BEC peut mettre en péril la viabilité de l’entreprise. Ce n’est pas exagéré — c’est ce que les statistiques montrent.
La bonne nouvelle : les mesures de prévention efficaces ne coûtent presque rien. Un protocole écrit, une formation d’équipe d’une heure, et le MFA activé sur tous les comptes suffisent à éliminer la grande majorité du risque.
Vous avez des doutes sur la sécurité de vos communications d’affaires, ou vous voulez mettre en place des protocoles de prévention adaptés à votre PME? Contactez Sequr ou via sequr.ca/contact. Une conversation de 30 minutes peut valoir 80 000 $.
