26 décembre 2025

Cybersécurité: le retard inacceptable de certaines administrations en matière de sécurité numérique

Digitalisation, Intelligence artificielle, Deputé fédéral, Education

Quand la faille n’est ni technologique ni sophistiquée : retour sur une arnaque révélatrice

Je parle ici d’expérience personnelle.

Un individu a récemment envoyé un e-mail à mon employeur en lui demandant de modifier mon numéro de compte bancaire pour le versement de mon salaire.

Le message était envoyé depuis une adresse mail ne comportant même pas mon nom. Aucun document crédible, aucun élément permettant d’authentifier la demande.

Malgré cela, le fonctionnaire destinataire ne vérifie pas.

Il ne contacte pas l’intéressé.

Il ne recoupe pas l’information.

Il ne suit aucune procédure minimale de validation.

Il s’exécute.

Ce type de fraude porte un nom : l’arnaque au paiement. Dans le champ de la cybersécurité, elle est généralement classée dans les catégories Business Email Compromise (BEC), payment diversion, invoice & mandate fraud ou manipulation du payeur.

Elle ne repose ni sur une attaque informatique sophistiquée ni sur une faille technique avancée. Elle repose sur une réalité beaucoup plus inquiétante : la crédulité humaine et l’absence de culture de sécurité.

Des statistiques imparfaites, mais sans équivoque

Il est important de le rappeler :

il existe très peu de statistiques publiques isolant spécifiquement les fraudes au changement d’IBAN d’un salarié. Les autorités financières agrègent généralement ces scénarios dans des catégories plus larges.

On distingue donc deux niveaux de données :

  1. Statistiques “officielles” (banques centrales, autorités de contrôle)

    Elles mesurent principalement la fraude au paiement et la Business Email Compromise (BEC) au sens large.

  2. Statistiques spécifiques “salaires / changement de RIB”

    Elles sont rares, car ce scénario est généralement intégré dans les catégories payment diversion ou credit transfers, sans sous-détail “salaire”.

Malgré cette limite méthodologique, les ordres de grandeur sont sans appel.

Europe : des milliards d’euros détournés par manipulation humaine

Selon les données consolidées de la Banque centrale européenne

  • La valeur totale des fraudes sur paiements dans l’Espace économique européen s’élevait à 4,2 milliards d’euros en 2024,

    soit une hausse d’environ 17 % par rapport à 2023.

  • Dans ce même reporting, les pertes liées aux virements bancaires (credit transfers) atteignent 2,2 milliards d’euros en 2024.

  • À titre de comparaison, les fraudes sur paiements par carte (émises UE/EEE) représentent 1,329 milliard d’euros.

Le scénario du changement d’IBAN d’un salarié est classé par les banques comme une forme de manipulation du payeur sur virement, et se retrouve donc dans cette catégorie des credit transfers, sans ventilation spécifique.

Autrement dit : ce type d’arnaque participe directement à ces milliards d’euros de pertes annuelles.

États-Unis : une référence mondiale sur le BEC

Les chiffres américains sont souvent cités comme référence, car ils sont publiés de manière homogène par le FBI via l’IC3.

Selon les données du Federal Bureau of Investigation / IC3 :

  • En 2024, les fraudes de type Business Email Compromise (BEC) ont donné lieu à 21 442 plaintes.

  • Les pertes financières “ajustées” dépassent 2,7 milliards de dollars.

  • Le rapport publié en 2025 confirme que le BEC reste l’un des principaux postes de pertes du cybercrime mondial.

Le payroll diversion (détournement de salaire) est explicitement identifié par le FBI comme un scénario récurrent de BEC, même s’il n’est pas toujours ventilé comme sous-catégorie autonome dans les tableaux publics.

Belgique : une pression massive, des chiffres édifiants

En Belgique, il n’existe pas de statistiques publiques isolant spécifiquement les détournements de salaires. En revanche, les indicateurs de pression sont éloquents.

Les chiffres de Safeonweb montrent :

  • Plus de 9 millions de messages suspects signalés en 2024,

  • Près de 10 millions en 2025,

    confirmant une exposition massive au phishing, qui constitue très souvent la porte d’entrée des fraudes de type BEC (Business Email Compromise).

    .

Safeonweb décrit également en détail les mécanismes d’invoice fraud (demande de changement de compte bancaire adressée à la comptabilité).

La logique est strictement identique à la fraude au changement d’IBAN pour salaire, seul le prétexte diffère.

Le mécanisme de l’arnaque : simple, efficace, redoutable

Le schéma est désormais bien documenté :

  1. Un fraudeur envoie un e-mail à l’employeur (RH ou comptabilité).

  2. Il se fait passer pour un employé réel.

  3. Il invoque un changement de compte bancaire.

  4. Il demande que le prochain salaire soit versé sur un nouvel IBAN contrôlé par le fraudeur.

  5. Sans vérification, le virement est effectué… et généralement perdu de manière définitive.

Pourquoi cette fraude fonctionne encore

Parce qu’elle exploite des failles organisationnelles connues :

  • les changements de RIB sont courants et légitimes,

  • les procédures sont parfois inexistantes ou non respectées,

  • la confiance interne est instrumentalisée.

La sophistication technique est secondaire. L’ingénierie sociale est centrale.

NIS2 : un cadre clair, mais encore trop peu implémenté

Face à cette réalité, l’Union européenne a fixé un cadre contraignant avec la directive NIS2.

NIS2 impose aux entités essentielles et importantes :

  • des formations obligatoires des collaborateurs,

  • une responsabilisation explicite des dirigeants,

  • des procédures de gestion des incidents,

  • une gouvernance structurée de la sécurité numérique.

Ce cadre ne se limite pas à des outils technologiques. Il reconnaît explicitement que la première ligne de défense est humaine.

Mais une directive, aussi ambitieuse soit-elle, reste inefficace sans une mise en œuvre rigoureuse, quotidienne et incarnée.

La cybersécurité est devenue un enjeu de démocratie

À l’heure où nos sociétés reposent massivement sur le numérique, la cybersécurité est devenue vitale :

  • pour la protection des finances publiques,

  • pour la continuité des services,

  • pour la confiance des citoyens,

  • et pour la solidité de nos démocraties.

L’éducation aux codes du numérique – comprendre les mécanismes de fraude, reconnaître les signaux faibles, adopter des réflexes simples de vérification – constitue aujourd’hui une première ligne de défense démocratique.

La cybersécurité ne commence pas par un algorithme.

Elle commence par un doute légitime, une procédure respectée et un humain formé.

Ne pas l’avoir compris, en 2025, n’est plus une négligence.

C’est un retard inacceptable.

Actualités récentes

© 2024 Mathieu Michel.Tous droits réservés.

Privacy Preference Center

Privacy Preferences

Ce site web est la propriété de Mathieu Michel

Données de contact:
Adresse du siège social : 1370 Jodoigne
mathieu@mathieumichel.be

Voir notre Politique de confidentialité pour plus d'infos