Les compromissions d’e-mails de fournisseurs se multiplient avec le développement de l’IA, contournant les défenses classiques en matière de cybersécurité. Près de 72 % des salariés de grandes entreprises interagissent avec ces messages frauduleux, qui prennent différentes formes.
Phishing et compromission des e-mails de fournisseurs
Une étude récente s’est focalisée sur la compromission des emails de fournisseurs tiers, également connue sous le terme de VEC (vendor email compromise). Ces attaques exploitent principalement la confiance des collaborateurs plutôt que des failles techniques, contournant ainsi les systèmes de sécurité traditionnels tels que l’authentification multifactorielle (MFA) et les filtres antispam.
Le rapport indique que 72 % des salariés de grandes entreprises ont répondu ou transféré ce type de message frauduleux, même lorsqu’ils ne comportaient ni lien ni pièce jointe. Ce phénomène a contribué à des tentatives de fraude évaluées à plus de 300 millions d’euros dans le monde sur un an. Les attaques enregistrent désormais un taux d’engagement supérieur de 90 % à celui du phishing classique.
La zone EMEA, épicentre des attaques de phishing
La région Europe, Moyen-Orient et Afrique (EMEA) se distingue comme le principal foyer de cette menace. Les salariés y interagissent plus fréquemment avec ces arnaques, tout en signalant très rarement les incidents — à peine 0,27 %. Le taux de signalement des attaques avancées par email demeure faible à l’échelle mondiale, avec seulement 1,46 % des messages malveillants basés sur du texte et lus qui sont effectivement remontés.
Les secteurs des télécommunications (71,3 %) et de l’énergie et des services publics (56,25 %) sont particulièrement exposés. Mike Britton, CIO d’Abnormal AI, rappelle que « les techniques d’ingénierie sociale par email n’ont jamais été aussi sophistiquées », les cybercriminels utilisant des fils de discussion officiels pour envoyer des messages très élaborés, capables de contourner les protections classiques.
En EMEA, les jeunes commerciaux sont les plus vulnérables, avec un taux d’engagement pouvant atteindre 86 %. Si 4,22 % du phishing classique est détecté, 98,5 % des VEC passent inaperçues jusqu’à ce que des pertes financières surviennent. En Asie-Pacifique (APAC), c’est principalement le phishing classique qui prédomine, avec un taux d’engagement de 44,4 %.
L’IA accroît la menace
En exploitant l’IA, les cybercriminels reproduisent le ton, le style et même l’historique des échanges, rendant les messages quasi indétectables. « L’IA générative a amené les attaques VEC à un niveau de précision chirurgicale », observe Sujit Dubal, analyste chez QKS Group. « Il ne s’agit plus d’arnaques grossières, mais de communications professionnelles crédibles qui contournent l’authentification multifactorielle et les outils de détection classiques. »
Selon lui, il est urgent de repenser les défenses : « Il faut passer d’une stratégie centrée sur la vérification technique à une approche basée sur la détection de la manipulation psychologique. »
Trois axes d’évolution sont jugés critiques, à savoir des systèmes d’analyse d’emails boostés à l’IA capables de repérer des incohérences subtiles, des protocoles actifs de vérification des fournisseurs et une formation des collaborateurs recentrée sur les risques humains. Bien que moins nombreuses que les campagnes de phishing ou de ransomware, les attaques VEC ont un taux de réussite et un impact financier nettement plus importants.
Mike Britton conclut que « l’IA facilite l’usurpation d’identité de fournisseurs de confiance » et appelle les entreprises à adopter des solutions proactives pour bloquer ces menaces avant leur arrivée en boîte de réception.