27 octobre 2025

Un Australien signale un cybercrime toutes les six minutes. Rien qu’en 2024, les pertes signalées pour arnaque se sont élevées à 2,74 milliards AUD. Parmi celles-ci, la compromission par courriel d’entreprise (BEC), aussi connue sous le nom d’arnaques en ingénierie sociale, représentait 91,6 millions de AUD. Ces chiffres soulignent à la fois l’ampleur croissante et la sophistication de la cybercriminalité — ainsi que les défis croissants qu’il pose pour les assureurs, les entreprises et les particuliers.

Des chandails à capuchon aux structures corporatives

Quand on imagine un cybercriminel, l’image vient souvent des films : une silhouette solitaire en hoodie, travaillant dans le noir avec un écran lumineux. Bien que ces acteurs rebelles existent encore, le cybercriminel moderne a une apparence très différente.

Aujourd’hui, plusieurs opèrent au sein d’organisations structurées qui reflètent des entreprises légitimes. Les criminels sont recrutés, reçoivent des salaires et reçoivent même des primes et des congés. Les processus de recrutement se déroulent sur le dark web, où les cybercriminels doivent présenter des références et réussir des tests de compétences, un peu comme dans le monde corporatif. 

Les groupes parrainés par l’État, surtout en Corée du Nord et en Russie, poussent cela à un autre niveau, investissant massivement dans la technologie et la recherche pour affiner leurs capacités. Cette évolution leur a permis de lancer des arnaques de plus en plus complexes et convaincantes à grande échelle.

L’essor de l’ingénierie sociale sophistiquée

Il y a dix ans, les réclamations liées à l’ingénierie sociale impliquaient généralement des courriels maladroits, truffés de fautes d’orthographe, d’instructions vagues et d’adresses courriel dépareillées. Ces arnaques étaient relativement faciles à repérer.

Aujourd’hui, les cybercriminels utilisent l’exploration de données, la recherche open source et le vol d’informations commerciales pour élaborer des attaques beaucoup plus convaincantes. En fouillant des plateformes comme LinkedIn, les criminels identifient des professionnels de la finance ayant le pouvoir de transférer de l’argent et adaptent les communications en conséquence. Ces courriels reflètent désormais la correspondance légitime, adoptant le bon ton, le bon langage et même les surnoms utilisés au sein de l’entreprise.

Dans certains cas, des criminels passent des semaines à l’intérieur d’un réseau compromis, à étudier les flux de travail, les relations avec les fournisseurs et les factures à venir afin de concevoir des arnaques très ciblées. Le résultat : moins de signaux d’alarme et plus de chances de succès.

Le rôle de l’IA et des deepfakes

L’intelligence artificielle a considérablement accéléré l’évolution de l’ingénierie sociale. La technologie deepfake permet maintenant aux criminels de reproduire de façon convaincante les voix et même les visages des cadres.

Dans une affaire très médiatisée, un employé d’une multinationale à Hong Kong a autorisé un paiement de 200 millions de HKD (environ 39,5 millions AUD) après avoir assisté à un appel Zoom avec ce qui semblait être la haute direction. Le seul problème? Les dirigeants étaient des deepfakes générés par l’IA.

Les deepfakes ne sont plus les faux robotiques maladroits d’il y a quelques années. Aujourd’hui, ils sont très réalistes, ce qui rend difficile — même pour les professionnels formés — de faire la différence. Combiné à des enregistrements vocaux volés et des extraits vidéo qui peuvent être recueillis sur Internet, les criminels peuvent maintenant créer des imitations très convaincantes.

Du point de vue des réclamations, cela pose des défis importants. Les arnaques vocales et vidéo laissent peu de traces écrites, ce qui rend la vérification difficile. De plus, les victimes pourraient ne pas réaliser qu’elles ont été trompées avant bien plus tard, ce qui réduit les chances de récupérer des fonds avec succès par l’intermédiaire des banques.

Menaces émergentes : agents IA

La prochaine frontière de la cybercriminalité devrait être les agents d’IA — des systèmes autonomes capables de raisonner, d’apprendre et de prendre des décisions sans intervention humaine. Contrairement aux assistants IA d’aujourd’hui, qui nécessitent des invites, les agents IA peuvent agir de manière autonome.

Dans un contexte cybercriminel, cela signifie qu’un agent IA pourrait :

  • Cherchez des cibles sur Internet
  • Construisez des bases de données CRM de professionnels de la finance
  • Rédiger une correspondance convaincante
  • Envoyez des milliers de courriels frauduleux à grande échelle

Et tout cela sans supervision humaine. Le coût est minime, la portée est énorme, et même si une seule tentative réussit, les rendements peuvent être importants.

Réponses législatives et bancaires

Les gouvernements et les institutions financières réagissent. En février 2025, le projet de loi sur le cadre de prévention des arnaques a été adopté en Australie, obligeant les banques à mettre en place des contrôles plus stricts pour détecter, prévenir et perturber les arnaques.

Les développements incluent l’établissement par l’Association bancaire australienne de l’accord Scam-Safe, incluant un investissement de 100 millions de dollars dans la technologie de vérification des noms, qui vérifie si le nom de compte correspond au BSB et au numéro de compte saisi. Parmi les autres initiatives, on compte l’augmentation des avertissements, le blocage des paiements vers de nouveaux comptes bancaires et des questions supplémentaires de sécurité.

Nous anticipons que pour les PME, ces contrôles pourraient introduire des défis opérationnels qui devraient être pris en compte et, lorsque possible, planifiés à l’avance. Tout retard dans les paiements, par exemple, peut perturber la trésorerie des fournisseurs.  

Implications pour les réclamations d’assurance

Du point de vue de l’assurance, la formulation des polices a également évolué. Beaucoup de polices incluent maintenant des exclusions ou des franchises plus élevées si certains contrôles de vérification ne sont pas en place ou non respectés. Par exemple, les assureurs peuvent exiger :

  • Vérification téléphonique de tout changement aux détails bancaires des fournisseurs
  • Séparation des droits dans le traitement des factures
  • Procédures documentées pour l’approbation des paiements

Les tribunaux ont repris cette position. En 2025, un tribunal en Australie-Occidentale a tenu une entreprise responsable du paiement d’une facture frauduleuse après que ses méthodes de vérification ont été jugées insuffisantes. L’attente est claire : les entreprises doivent prendre des mesures raisonnables pour se protéger.

Ce que les organisations peuvent faire

Malgré la sophistication des attaques, les entreprises peuvent réduire considérablement leurs risques avec les bons processus en place :

  • Protocoles de vérification : Vérifiez toujours les modifications des détails bancaires par téléphone, en utilisant des numéros de téléphone provenant de sources indépendantes.
  • Autonomisation du personnel : Encouragez les employés à poser des questions inhabituelles, même de la part des « cadres supérieurs ».
  • Formation : Mettez régulièrement le personnel au courant des menaces émergentes et des signaux d’alerte.
  • Contrôles TI : Mettre en place une authentification multifacteur, restreindre les privilèges d’administrateur et imposer des changements réguliers de mot de passe.

En fin de compte, la vigilance au niveau individuel et organisationnel demeure la défense la plus forte.

Comment Sedgwick peut aider

L’essor de la cybercriminalité sophistiquée met en lumière la complexité croissante de la gestion des réclamations. Chaque dossier nécessite une analyse minutieuse — non seulement des pertes financières, mais aussi de la conformité avec la formulation des politiques, les processus de vérification et les perspectives de redressement.

Chez Sedgwick, notre équipe de comptabilité judiciaire possède l’expertise nécessaire pour relever ces défis. En tant que l’un des plus grands groupes d’experts-comptables judiciaires en Australie, nous soutenons les assureurs, les entreprises et les clients juridiques par une quantification et une résolution précises et complètes des réclamations liées à l’ingénierie cybernétique et sociale. Au-delà de la cybercriminalité, nos spécialistes travaillent sur un large éventail de réclamations spécialisées, assurant clarté, précision et résultats fiables dans des situations complexes.

Si vous souhaitez en savoir plus sur la façon dont Sedgwick peut vous soutenir en cybersécurité, en ingénierie sociale ou en réclamations spécialisées, contactez Beth Fieldhouse [email protected], Lucy Tang [email protected] ou Emma Levett [email protected]

Mots-clés : Intelligence artificielle Crime cyber Cyberattaque Cybercriminalité Risque cybernétique Arnaques Technologie

Plus d’articles comme celui-ci

Requalification pour l’avenir : IA, technologie et innovation centrée sur l’humain — Faits marquants d’une conversation avec Kimberly George et Ian Bell Réflexions

Requalification pour l’avenir : IA, technologie et innovation centrée sur l’humain — Faits marquants d’une conversation avec Kimberly George et Ian Bell

Face aux réalités de la gestion des hébergements Réflexions

Face aux réalités de la gestion des hébergements

Réclamations pour traumatisme cumulatif : Comment évaluer une acceptation précoce à l’aide de l’analyse de données Réflexions

Réclamations pour traumatisme cumulatif : Comment évaluer une acceptation précoce à l’aide de l’analyse de données

Langues