La compromission du courrier électronique des entreprises reste l'une des techniques de cybercriminalité les plus efficaces et les plus préjudiciables utilisées aujourd'hui. Contrairement aux ransomwares ou aux attaques par logiciels malveillants, la BEC ne repose pas sur des exploits ou des charges utiles malveillantes. Elle s'appuie sur les personnes, la confiance et les processus commerciaux habituels. C'est précisément pour cette raison qu'elle continue de réussir, même dans les organisations dotées de contrôles de sécurité techniques matures.
Les attaques modernes de type BEC ont évolué bien au-delà des simples courriels d'hameçonnage. Les attaquants ciblent désormais les identités, détournent les sessions en direct, contournent l'authentification multifactorielle et persistent discrètement dans les boîtes aux lettres pendant des semaines, voire des mois. Dans cet environnement, la formation traditionnelle de sensibilisation n'est plus suffisante. Ce qu'il faut, c'est une approche gérée et adaptative de la sensibilisation à la sécurité, qui évolue avec le comportement des attaquants et réduit activement les risques.
À la base, une attaque BEC est une intrusion basée sur l'identité et conçue pour manipuler des communications professionnelles légitimes. L'objectif du pirate est rarement le vol immédiat. Il cherche plutôt à accéder à des boîtes de réception fiables, à des conversations internes et à des flux de travail financiers. Grâce à des outils d'intelligence artificielle, les attaquants peuvent donner une apparence professionnelle aux courriels et aux communications de phishing et utiliser des imitations profondes pour duper les individus.
Une fois à l'intérieur, les attaquants observent le fonctionnement de l'organisation. Ils apprennent qui approuve les paiements, comment les fournisseurs communiquent, comment les cadres rédigent leurs courriels et quels processus sont suivis lors des transactions de routine. La fraude finale est souvent subtile, bien programmée et d'une légitimité convaincante.
Parce qu'aucun logiciel malveillant n'est impliqué et que les communications semblent authentiques, les BEC contournent souvent les outils traditionnels de sécurité du courrier électronique. C'est pourquoi le comportement humain et la sensibilisation jouent un rôle si décisif dans l'arrêt précoce de ces attaques.
Aujourd'hui, les enquêtes sur les attaques de type BEC commencent de plus en plus par le vol de sessions et de jetons plutôt que par le vol de mots de passe. Les techniques "Adversary-in-the-Middle" permettent aux attaquants d'intercepter les flux d'authentification en temps réel, en capturant les jetons de session valides après qu'un utilisateur se soit connecté avec succès. Cela leur permet de contourner entièrement le MFA sans déclencher d'alertes évidentes.
Une fois authentifiés, les attaquants agissent comme l'utilisateur. Ils accèdent aux boîtes aux lettres, aux services en nuage, aux outils de collaboration et aux partages de fichiers sans avoir à se réauthentifier. Cette évolution a fait du vol de jetons et de sessions le principal moteur des compromissions BEC modernes.
À partir de là, les attaquants établissent une persistance. Des règles de boîte aux lettres sont créées pour masquer les alertes de sécurité ou détourner les réponses. Les jetons OAuth sont utilisés abusivement pour maintenir l'accès même après que les mots de passe ont été changés. Dans certains cas, des comptes dormants ou peu surveillés sont utilisés comme points d'appui pour étendre l'accès.
Ces techniques permettent aux attaquants de rester invisibles pendant qu'ils cartographient les relations internes et planifient leur prochaine action.
Les auteurs d'attaques BEC se précipitent rarement. La furtivité est leur avantage. En restant discrets, ils réduisent le risque de détection tout en recueillant des informations.
Les courtiers d'accès et les fournisseurs compromis jouent un rôle de plus en plus important à ce stade. Un attaquant peut obtenir un accès initial par l'intermédiaire d'un tiers, d'une boîte aux lettres d'un fournisseur ou d'un compte oublié qui a encore accès à des systèmes partagés. À partir de là, il pivote latéralement, en suivant les chaînes de confiance plutôt que les vulnérabilités techniques.
Ce mouvement latéral est plus social que technique. Les attaquants observent comment les gens communiquent, qui fait confiance à qui et où se trouve l'autorité. Ils exploitent ensuite ces relations pour obtenir un accès plus large ou lancer des demandes frauduleuses.
Sans visibilité sur les anomalies comportementales et les préoccupations signalées par les utilisateurs, ces intrusions passent souvent inaperçues jusqu'à ce que des dommages financiers soient déjà survenus.
L'un des aspects les plus négligés de la défense contre les BEC est la reconnaissance des premiers indicateurs de compromission. Bien avant que l'argent ne circule, certains signaux comportementaux indiquent que quelque chose ne va pas.
Il peut s'agir d'emplacements de connexion inhabituels, de changements dans les règles de la boîte aux lettres, d'un consentement inattendu aux applications OAuth, ou de changements subtils dans le ton et le calendrier des courriels. Les attaquants peuvent soudainement s'intéresser aux conversations financières, aux détails des fournisseurs ou aux flux de travail d'approbation qu'ils ignoraient auparavant.
La sensibilisation à la gestion de la sécurité joue un rôle essentiel à cet égard. Lorsque les utilisateurs sont formés à reconnaître ces signaux et encouragés à signaler toute anomalie, la détection passe du seul SOC à l'ensemble de l'organisation. Le signalement précoce transforme souvent ce qui aurait pu être un incident financier majeur en un événement de sécurité contenu.
La défense contre les BEC nécessite une approche à plusieurs niveaux qui combine le renforcement de l'identité, la détection, la réponse et la sensibilisation.
De solides politiques d'accès conditionnel doivent être appliquées pour réduire les abus de session, y compris les contrôles de localisation, la confiance dans les appareils et les contrôles d'authentification continus. Les protections de l'identité doivent aller au-delà des mots de passe et du MFA pour inclure la surveillance des jetons et le risque de session.
Les contrôles de sécurité des courriels devraient se concentrer sur l'analyse comportementale plutôt que sur la recherche de liens ou de pièces jointes malveillants. Les courriels BEC sont souvent propres, contextuels et socialement élaborés.
Du point de vue des opérations de sécurité, les équipes SOC doivent adapter la logique de détection pour identifier les attaques basées sur l'identité, et pas seulement les logiciels malveillants. Les flux de réponse aux incidents doivent être conçus pour gérer la compromission des boîtes aux lettres, la révocation des jetons et le confinement rapide des comptes de confiance.
Toutefois, aucune de ces mesures n'est pleinement efficace si les utilisateurs ne sont pas informés.
Les attaques de type "Business Email Compromise" réussissent en abusant de la confiance. Une fois que les attaquants ont accédé à un compte légitime, les modèles de sécurité traditionnels considèrent souvent cet utilisateur et cette session comme sûrs. La confiance zéro remet en question cette hypothèse en partant du principe qu'il faut toujours s'attendre à un compromis.
Ce principe est essentiel pour la défense contre les BEC. Les attaques modernes s'appuient souvent sur le détournement de session et le vol de jetons, ce qui permet aux attaquants de contourner le MFA et d'opérer en tant qu'utilisateurs de confiance. Zero Trust limite les dégâts en vérifiant en permanence l'identité, la position de l'appareil, la localisation et le comportement, même après la connexion.
L'accès conditionnel fort, l'accès au moindre privilège et l'évaluation continue de la session rendent plus difficile pour les attaquants de persister, de pivoter ou d'accéder à des flux de travail financiers sensibles. Les mouvements latéraux sont limités et les comportements suspects sont détectés plus rapidement. Toutefois, il ne s'agit pas d'une solution miracle.
Les attaques de type Business Email Compromise sont une forme sophistiquée d'ingénierie sociale qui contourne souvent les outils standard parce qu'elles n'utilisent pas de logiciels malveillants ou de liens malveillants évidents. Pour lutter efficacement contre ces attaques, il faut adopter une approche globale qui renforce la visibilité des identités et des comportements, consolide les contrôles techniques et développe la résilience humaine.
La défense contre les BEC commence par la compréhension du comportement des identités et des comptes. Les services Managed Detection & Response (MDR) et Managed SIEM d'Integrity360 assurent une surveillance continue, 24 heures sur 24 et 7 jours sur 7, des réseaux, des points d'extrémité, des charges de travail dans le cloud et des journaux afin de détecter les activités inhabituelles, notamment les connexions anormales, les modifications des règles de boîte aux lettres ou les anomalies de consentement OAuth qui signalent souvent des comptes compromis. Ces sources de télémétrie permettent d'identifier rapidement les schémas suspects, bien avant que l'argent ne soit déplacé.
Les menaces modernes évoluent rapidement, et les outils assistés par l'IA permettent de mettre en évidence des écarts subtils susceptibles d'indiquer une attaque BEC. Le MDR d'Integrity360 et le MDR de CyberFire tirent parti de l'analyse avancée et du profilage comportemental pour détecter les abus d'identité, tandis que des analystes de sécurité expérimentés valident, hiérarchisent et répondent aux alertes, réduisant ainsi les faux positifs et améliorant les résultats de la détection.
Lorsqu'un compte se comporte de manière inattendue, la rapidité est essentielle. La solution MDR d'Integrity360 assure une détection automatisée et une réponse rapide aux incidents sur l'ensemble du domaine. Grâce à des analystes experts opérant à partir de plusieurs centres d'opérations de sécurité, les activités suspectes peuvent être circonscrites rapidement, notamment par l'isolation des sessions, la révocation des jetons et la remédiation des informations d'identification compromises, ce qui permet de réduire le temps d'attente et d'arrêter les attaquants avant qu'ils n'escaladent les tactiques BEC.
Le comportement des attaquants repose souvent sur des indices sociaux, l'exploitation de la confiance ou la manipulation des processus internes. Le service de sensibilisation à la sécurité géré d'Integrity360 va bien au-delà de l'apprentissage en ligne générique, en concevant des campagnes et des simulations continues et personnalisées qui reflètent des scénarios BEC réels. Ces programmes aident les employés - en particulier ceux qui occupent des postes à haut risque tels que la finance ou l'assistance aux cadres - à reconnaître l'ingénierie sociale sophistiquée et à signaler rapidement les problèmes potentiels, transformant ainsi la main-d'œuvre de l'organisation en une ligne de défense active.
Les services de sécurité Microsoft gérés par Integrity360 aident les organisations à tirer davantage de valeur et de protection de leurs investissements Microsoft existants, en particulier Microsoft Entra ID, Microsoft Defender et Microsoft Sentinel. Nous aidons les organisations à configurer et à optimiser les politiques d'accès conditionnel, les contrôles de protection de l'identité et l'application du MFA afin de réduire le risque de détournement de session et d'abus de jeton couramment utilisés dans les attaques BEC modernes.
L'abus d'identité est au cœur des attaques BEC. Integrity360 propose également des services de gestion de la sécurité des identités et des conseils par le biais de ses ressources "Defending Identities" afin d'aider les organisations à mettre en œuvre un accès conditionnel fort, un contrôle des jetons et les meilleures pratiques en matière d'hygiène des identités qui rendent les techniques de l'adversaire au milieu et les détournements de session plus difficiles à mettre en œuvre.
Une bonne hygiène cybernétique réduit les risques secondaires. Integrity360 prend en charge les correctifs continus, la configuration sécurisée et la gestion continue de l'exposition aux menaces afin de garantir l'optimisation des couches défensives telles que le filtrage du courrier électronique, le renforcement des points d'extrémité et la segmentation du réseau. Ces mesures permettent non seulement de réduire la probabilité d'une escalade du BEC, mais aussi de maîtriser rapidement les problèmes lorsqu'ils apparaissent.
En combinant une visibilité accrue, une détection validée par des experts, une réponse automatisée et un programme de sensibilisation géré, les organisations dotées d'Integrity360 peuvent améliorer de manière significative leur défense contre les attaques BEC. Cette approche à plusieurs niveaux s'attaque à la fois aux signaux techniques émis par les attaquants et aux comportements humains qu'ils ciblent. Si vous souhaitez en savoir plus sur la manière dont les experts d'Integrity360 peuvent aider votre organisation, contactez-nous.