Les pirates n’ont pas besoin de détruire votre MFA s’ils peuvent simplement inciter votre équipe à envoyer de l’argent. C’est pourquoi votre risque d’« action non autorisée » est un défaut de conception du processus.
La compromission de la messagerie professionnelle (BEC) continue de prospérer, même dans les organisations qui ont mis en œuvre l’authentification multifacteur (MFA). En tant que professionnels de la sécurité, nous pensons souvent que la MFA est la solution miracle pour la sécurité de la messagerie électronique, mais des incidents réels suggèrent le contraire. Les attaquants exploitent les comportements humains, les lacunes des processus et les angles morts opérationnels que la MFA seule ne peut pas résoudre. Dans de nombreux cas BEC modernes, aucun compte n’est compromis, ce qui place ces attaques en dehors de la limite de protection des contrôles MFA.
En 2019, Toyota Boshoku Corporation a été victime d’une attaque BEC, un employé transférant plus de 30 millions de dollars à des fraudeurs à la suite d’un e-mail cloné provenant d’un 3rd société du parti avec urgence, invoquant la nécessité de finaliser la transaction de toute urgence afin de ne pas ralentir la chaîne de production de Toyota. Rien n’indique que le courrier électronique de l’employé de Toyota ait été compromis. Prenez également le cas d’Arup en 2024, où des attaquants se sont fait passer pour un cadre supérieur en utilisant des voix et des vidéos Deepfake et ont convaincu un membre de l’équipe financière d’effectuer des paiements totalisant 25 millions de dollars. Le compromis ne reposait pas sur des informations d’identification volées mais sur une ingénierie sociale, un timing et des raccourcis procéduraux soigneusement orchestrés par l’équipe financière. Les garanties techniques auraient pu être solides, mais la surveillance humaine s’est avérée être le maillon le plus faible. Dans les deux cas, l’échec s’est produit au point de décision, et non au niveau de la couche d’authentification, exploitant la confiance, le timing et les habitudes d’approbation établies et pratiques.
Là où les contrôles de sécurité s’arrêtent et où commencent les risques commerciaux
Par expérience, ce scénario est trop courant. Les organisations se concentrent souvent sur le déploiement de technologies de sécurité sans tenir compte des flux de travail humains et de la culture. Cela inclut souvent la toute nouvelle technologie EDR qui est utilisée pour cocher des cases à des fins d’audit et de conformité, et que les DSI n’hésitent pas à approuver pour montrer aux parties prenantes qu’ils sont cyber-résilients. Il ne s’agit pas d’un échec de l’EDR lui-même, mais de la manière dont les investissements en matière de sécurité sont définis. Les contrôles des points finaux et des identités protègent les systèmes, mais ils ne régissent pas la manière dont les approbations financières, les changements de fournisseurs ou les demandes des dirigeants sont validés dans la pratique.
La MFA réduit les risques mais ne peut pas remplacer le besoin de contrôles de processus, de routines de vérification et de formation continue de sensibilisation, d’autant plus qu’il existe désormais des kits de phishing AITM qui contournent la MFA dans la nature. Les angles morts opérationnels exploités se situent dans les flux de travail des entreprises où la vitesse, la confiance et l’autorité l’emportent sur la vérification, en particulier dans les processus financiers et d’approvisionnement.
Ces angles morts existent parce que les processus métier sont optimisés pour la vitesse et la continuité, et non pour la vérification. Les équipes financières sont formées pour maintenir les lignes opérationnelles en mouvement, et les attaquants qui en ont désormais pris conscience, utilisent cet avantage à leur propre avantage en introduisant l’urgence ou en invoquant l’autorité. Lorsqu’une demande semble légitime, urgente et émanant d’une personne perçue comme ayant une autorité, les employés suivent souvent des schémas familiers plutôt que de s’arrêter pour contester l’intention. Il ne s’agit pas d’un échec technologique, mais d’un échec de la conception des processus.
Les étapes pratiques pour les responsables informatiques incluent la refonte des flux de travail d’approbation afin que les transactions de grande valeur nécessitent une vérification en plusieurs étapes, y compris un appel hors bande pour confirmer, la simulation de scénarios BEC dans des exercices réalistes pour identifier les lacunes dans la réponse et la prise de décision, l’intégration de la sensibilisation à la sécurité dans les routines quotidiennes à l’aide du micro-apprentissage et des examens d’incidents réels, et la possibilité pour les équipes de contester les demandes inhabituelles sans crainte de représailles. Les cas d’attaques réussies peuvent également être partagés avec les employés qui distribuent des factures, des documents financiers ou supervisent la prise de décisions concernant les transferts.
Concevoir des workflows d’approbation qui déjouent les attaques BEC
Repenser les flux de travail d’approbation signifie définir explicitement ce qui constitue une demande à haut risque, comme un premier paiement, une modification des coordonnées bancaires du fournisseur, des demandes de paiement soudaines d’un cadre ou des demandes qui contournent les procédures standard. Ces demandes doivent nécessiter une vérification indépendante utilisant des coordonnées connues, et non des informations fournies dans l’e-mail lui-même.
Lors de l’examen et de la refonte des flux de travail d’approbation, les organisations doivent commencer par poser des questions opérationnelles importantes et difficiles au moment de la prise de décision. Cette demande correspond-elle à la manière dont les paiements sont normalement initiés/approuvés ? Le demandeur a-t-il le canal et le ton de communication habituels ? Ce fournisseur ou ce compte a-t-il déjà été payé et dans des circonstances similaires ? L’e-mail correspond-il à celui figurant sur le site Web de l’entreprise de l’expéditeur sans aucune modification ? Y a-t-il un autre e-mail de réponse visible ? Un appel rapide pour confirmer peut-il être effectué ? Les équipes doivent également se demander quelles hypothèses sont formulées sous la pression du temps, si l’autorité est déduite plutôt que vérifiée et qui est responsable si la décision s’avère erronée. Ces questions obligent les employés à ralentir, à reconnaître les écarts par rapport à leur comportement normal et à traiter les demandes inhabituelles comme des événements de sécurité potentiels plutôt que comme des tâches professionnelles de routine.
La simulation du BEC transcende les tests de phishing et doit refléter des scénarios commerciaux réels, notamment des demandes urgentes de la direction ou des modifications de paiement des fournisseurs, permettant aux organisations d’observer comment le personnel réagit à la pression et à l’ambiguïté. Des simulations efficaces introduisent l’urgence, usurpent l’identité de figures d’autorité avec des e-mails typosquattés et exploitent des contextes commerciaux réalistes tels que les paiements de fin de trimestre, les changements de fournisseurs et les périodes de l’année où les attaquants aiment faire grève, comme les périodes de fêtes et avant les vacances. Les participants sont observés sur la façon dont ils vérifient les demandes, s’ils font remonter leurs préoccupations et à quelle vitesse ils passent à l’exécution sans confirmation. Le résultat n’est pas une note de réussite ou d’échec, mais peut donner un aperçu des domaines dans lesquels les processus encouragent la conformité plutôt que la prudence. Ces simulations permettent aux organisations d’affiner les règles d’approbation, de renforcer les voies de remontée d’informations et de normaliser la vérification dans le cadre des opérations quotidiennes.
L’autonomisation doit être formalisée par une politique, indiquant clairement que suspendre ou faire remonter une demande suspecte est un comportement attendu et non un obstacle à la productivité. Le personnel qui signale des demandes suspectes doit également être encouragé et utilisé comme bon exemple dans les communications internes lorsque cela est possible.
Utiliser la friction et les alertes dans les workflows
Les opérations transfrontalières montrent que les attaquants exploitent la pression du temps et les hypothèses des dirigeants, souvent observées dans les fraudes sur le thème du PDG/CFO. Les équipes suivent souvent les signaux d’une autorité perçue, repérée par les attaquants à partir des flux de courrier électronique et de l’urgence souvent attachée à effectuer des paiements importants, les liant ainsi aux besoins critiques de l’entreprise. En mettant en œuvre des frictions dans les flux de travail critiques tels que des pauses obligatoires pour les transferts importants ou des alertes d’anomalie automatisées, les organisations peuvent réduire les risques sans entraver la productivité.
Une friction efficace ne signifie pas arrêter sans discernement l’entreprise ou son processus. Les pauses obligatoires pour les transferts importants ou inhabituels créent un espace de vérification et réduisent les décisions et actions impulsives. Pendant ces pauses, des actions spécifiques doivent avoir lieu, telles que des vérifications d’e-mails/de signatures, du verbiage, une approbation secondaire, une confirmation indépendante ou des vérifications automatisées par rapport au comportement de paiement historique, comme indiqué ci-dessus.
Les alertes d’anomalie automatisées ne sont utiles que lorsqu’elles se concentrent sur les écarts importants et sont liées à des attentes de réponse claires. Les alertes doivent donner la priorité aux scénarios tels que les demandes de paiement en dehors des heures d’ouverture, les modifications apportées aux informations établies sur les fournisseurs ou les transferts qui ne correspondent pas aux schémas normaux. La propriété des alertes liées au BEC devrait appartenir aux équipes qui contrôlent les décisions financières, telles que les opérations financières, les unités de risque de fraude ou les groupes interfonctionnels de risque de paiement qui combinent sécurité et autorité commerciale, plutôt que d’être acheminées exclusivement vers des files d’attente SOC bruyantes.
Afin de réduire également les faux positifs, le concept de surveillance renforcée des comptes devrait également être introduit. Cela peut être amélioré en acheminant les e-mails contenant des informations spécifiques à ces groupes à risque à évaluer avant d’atterrir dans les boîtes de réception prévues.
Ce que les responsables de la sécurité devraient changer maintenant
Le BEC continue de réussir parce que les points de décision humains sont rarement traités comme des systèmes critiques pour la sécurité. L’authentification multifacteur, le filtrage des e-mails et la protection des points de terminaison restent nécessaires, mais ils ne contrôlent pas la manière dont les gens prennent des décisions sous pression. Tant que les flux de travail financiers et exécutifs ne seront pas conçus avec la même rigueur que celle appliquée aux systèmes techniques, les attaquants continueront d’exploiter l’impact du comportement humain sur la cybersécurité, l’ingénierie sociale et les faiblesses humaines étant en tête de liste.
À cela s’ajoute une appropriation claire du risque BEC au niveau de la direction. Si aucun rôle n’est responsable à lui seul des échecs de vérification des paiements, la responsabilité incombe par défaut au personnel de première ligne sous pression, qui subit souvent le poids du licenciement ou des poursuites à la suite d’attaques BEC réussies. Attribuer la responsabilité à la direction financière, aux comités des risques ou aux groupes de gouvernance interfonctionnels garantit que les échecs des processus sont traités comme des problèmes systémiques plutôt que comme des erreurs individuelles.
Bien que cela soit tout aussi important, les dirigeants ne doivent pas mesurer le succès uniquement par le nombre d’e-mails de phishing bloqués, mais aussi par la fréquence à laquelle les étapes de vérification sont suivies, le nombre de demandes de paiement contestées et la rapidité avec laquelle les transactions suspectes sont suspendues et examinées.
En conclusion, les responsables de la sécurité qui réduisent les risques BEC alignent les personnes, les processus et la technologie de manière à ce que la vérification devienne une routine, que l’hésitation soit acceptable et que l’autorité ne soit jamais assumée sans confirmation. En 2026 et au-delà, les flux de travail des entreprises devraient continuer à être traités comme un élément central de l’architecture de sécurité et non comme un composant périphérique.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
