27 octobre 2025

Toutes les six minutes, un Australien signale une cybercriminalité. Pour la seule année 2024, les pertes liées aux escroqueries signalées s'élèvent à la somme stupéfiante de 2,74 milliards de dollars australiens. Parmi ces escroqueries, le Business Email Compromise (BEC), également connu sous le nom d'escroquerie par ingénierie sociale, a représenté 91,6 millions de dollars australiens. Ces chiffres mettent en évidence l'ampleur et la sophistication croissantes de la cybercriminalité, ainsi que les défis de plus en plus importants qu'elle pose aux assureurs, aux entreprises et aux particuliers.

Des sweats à capuche aux structures d'entreprise

Lorsque nous imaginons un cybercriminel, l'image qui nous vient des films est souvent celle d'un solitaire en sweat à capuche, travaillant dans l'obscurité avec un écran lumineux. Bien que ces acteurs malhonnêtes existent toujours, le cybercriminel moderne est très différent.

Aujourd'hui, nombre d'entre eux opèrent au sein d'organisations structurées qui reflètent les entreprises légitimes. Les criminels sont recrutés, reçoivent des salaires et même des primes et des congés. Les processus de recrutement se déroulent sur le dark web, où les cybercriminels doivent présenter des références et passer des tests de compétences, comme dans le monde de l'entreprise. 

Les groupes parrainés par des États, dont les plus connus sont la Corée du Nord et la Russie, vont encore plus loin en investissant massivement dans la technologie et la recherche afin d'affiner leurs capacités. Cette évolution leur a permis de lancer des escroqueries de plus en plus complexes et convaincantes à grande échelle.

L'essor de l'ingénierie sociale sophistiquée

Il y a une dizaine d'années, les demandes d'ingénierie sociale impliquaient généralement des courriels maladroits, truffés de fautes d'orthographe, d'instructions vagues et d'adresses électroniques non concordantes. Ces escroqueries étaient relativement faciles à repérer.

Aujourd'hui, les cybercriminels utilisent l'exploration de données, la recherche de sources ouvertes et les informations commerciales volées pour élaborer des attaques bien plus convaincantes. En parcourant des plateformes comme LinkedIn, les criminels identifient les professionnels de la finance qui ont le pouvoir de transférer de l'argent et adaptent leurs communications en conséquence. Ces courriels reflètent désormais la correspondance légitime, adoptant le ton, le langage et même les surnoms utilisés au sein de l'entreprise.

Dans certains cas, les criminels passent des semaines à l'intérieur d'un réseau compromis, étudiant les flux de travail, les relations avec les fournisseurs et les factures à venir pour élaborer des escroqueries très ciblées. Résultat : moins de signaux d'alarme et plus de chances de réussite.

Le rôle de l'IA et des deepfakes

L'intelligence artificielle a considérablement accéléré l'évolution de l'ingénierie sociale. La technologie Deepfake permet désormais aux criminels de reproduire de manière convaincante les voix et même les visages des dirigeants.

Dans un cas très médiatisé, un employé d'une multinationale de Hong Kong a autorisé un paiement de 200 millions de HKD (environ 39,5 millions de dollars australiens) après avoir participé à un appel Zoom avec ce qui semblait être la direction générale. Le seul problème ? Les dirigeants étaient des "deepfakes" générés par l'IA.

Les "deepfakes" ne sont plus les faux robotisés et encombrants d'il y a quelques années. Aujourd'hui, ils sont très réalistes et il est difficile, même pour des professionnels qualifiés, de faire la différence. Associés à des enregistrements vocaux et à des clips vidéo volés sur l'internet, les criminels peuvent désormais créer des usurpations d'identité très convaincantes.

Du point de vue des sinistres, cela pose des problèmes importants. Les escroqueries vocales et vidéo ne laissent que peu de traces écrites, ce qui rend la vérification difficile. En outre, les victimes peuvent ne se rendre compte que bien plus tard qu'elles ont été trompées, ce qui réduit les chances de récupérer les fonds par l'intermédiaire des banques.

Menaces émergentes : Agents d'intelligence artificielle

La prochaine frontière de la cybercriminalité devrait être constituée par les agents d'intelligence artificielle, des systèmes autonomes capables de raisonner, d'apprendre et de prendre des décisions sans intervention humaine. Contrairement aux assistants d'IA d'aujourd'hui, qui ont besoin d'être guidés, les agents d'IA peuvent agir de manière autonome.

Dans un contexte cybercriminel, cela signifie qu'un agent d'IA pourrait.. :

  • Recherche de cibles sur Internet
  • Construire des bases de données CRM de professionnels de la finance
  • Rédiger une correspondance convaincante
  • Envoyer des milliers de courriels frauduleux à grande échelle

Et tout cela sans surveillance humaine. Le coût est minime, la portée est énorme et même si une seule tentative réussit, les bénéfices peuvent être considérables.

Réponses législatives et bancaires

Les gouvernements et les institutions financières réagissent. En février 2025, le projet de loi sur le cadre de prévention des escroqueries a été adopté en Australie, obligeant les banques à mettre en œuvre des contrôles plus stricts pour détecter, prévenir et perturber les escroqueries.

L'Australian Banking Association a notamment mis en place le Scam-Safe Accord, qui prévoit un investissement de 100 millions de dollars dans une technologie de vérification des noms, qui permet de vérifier si le nom du compte correspond au BSB et au numéro de compte saisis. Parmi les autres initiatives, citons le renforcement des avertissements, le blocage des paiements sur les nouveaux comptes bancaires et l'ajout de questions de sécurité.

Nous pensons que pour les PME, ces contrôles peuvent poser des problèmes opérationnels qu'il convient d'envisager et, si possible, de planifier à l'avance. Tout retard dans les paiements, par exemple, peut perturber la trésorerie des fournisseurs.  

Implications pour les demandes d'indemnisation

Du point de vue de l'assurance, le libellé des polices a également évolué. De nombreuses polices prévoient désormais des exclusions ou des franchises plus élevées si certains contrôles de vérification ne sont pas en place ou ne sont pas respectés. Par exemple, les assureurs peuvent exiger :

  • Vérification par téléphone de tout changement de coordonnées bancaires du fournisseur
  • Séparation des tâches dans le traitement des factures
  • Procédures documentées pour l'approbation des paiements

Les tribunaux se sont fait l'écho de cette position. En 2025, un tribunal d'Australie occidentale a tenu une entreprise pour responsable du paiement d'une facture frauduleuse après que ses méthodes de vérification ont été jugées insuffisantes. L'attente est claire : les entreprises doivent prendre des mesures raisonnables pour se protéger.

Ce que les organisations peuvent faire

Malgré la sophistication des attaques, les entreprises peuvent réduire considérablement leurs risques en mettant en place les bons processus :

  • Protocoles de vérification : Confirmez toujours les changements de coordonnées bancaires par téléphone, en utilisant des numéros de téléphone provenant de sources indépendantes.
  • Responsabilisation du personnel : Encouragez les employés à remettre en question les demandes inhabituelles, même celles émanant de "cadres supérieurs".
  • Formation : Informer régulièrement le personnel des nouvelles menaces et des signaux d'alerte.
  • Contrôles informatiques : Mettre en œuvre l'authentification multifactorielle, restreindre les privilèges des administrateurs et imposer des changements réguliers de mot de passe.

En fin de compte, la vigilance au niveau individuel et organisationnel reste la meilleure défense.

Comment Sedgwick peut aider

La montée en puissance de la cybercriminalité sophistiquée met en évidence la complexité croissante de la gestion des sinistres. Chaque cas nécessite une analyse minutieuse, non seulement de la perte financière, mais aussi du respect du libellé de la police, des processus de vérification et des perspectives de recouvrement.

Chez Sedgwick, notre équipe de juricomptables possède l'expertise nécessaire pour relever ces défis. En tant que l'un des plus grands groupes de juricomptables d'Australie, nous aidons les assureurs, les entreprises et les clients juridiques à quantifier et à résoudre avec précision et exhaustivité les sinistres liés à la cybercriminalité et à l'ingénierie sociale. Au-delà de la cybercriminalité, nos spécialistes travaillent sur une large gamme de sinistres spécialisés, garantissant clarté, précision et résultats fiables dans des situations complexes.

Si vous souhaitez en savoir plus sur la manière dont Sedgwick peut vous aider en matière de cybercriminalité, d'ingénierie sociale ou de sinistres spécialisés, contactez Beth Fieldhouse [email protected], Lucy Tang [email protected] ou Emma Levett [email protected].

Tags : Intelligence artificielle crime cybernétique cyberattaque cybercriminalité Cyber-risque escroqueries Technologie de l'information

Plus d'articles comme celui-ci

Les indicateurs qui comptent : utiliser l'analyse des données pour maintenir les demandes d'indemnisation WC sur la bonne voie Perspectives

Les indicateurs qui comptent : utiliser l'analyse des données pour maintenir les demandes d'indemnisation WC sur la bonne voie

Pools de risques, couverture excédentaire et importance de la communication Perspectives

Pools de risques, couverture excédentaire et importance de la communication

Sedgwick étend les services de l'équipe de soins au Canada Perspectives

Sedgwick étend les services de l'équipe de soins au Canada

Sites

Langues