27 octobre 2025

Un Australien signale un cybercrime toutes les six minutes. Rien qu'en 2024, les pertes liées aux escroqueries signalées ont atteint le montant stupéfiant de 2,74 milliards de dollars australiens. Parmi celles-ci, Email professionnel (BEC), également appelées escroqueries par ingénierie sociale, ont représenté 91,6 millions de dollars australiens. Ces chiffres soulignent à la fois l'ampleur et la sophistication croissantes de la cybercriminalité, ainsi que les défis de plus en plus importants qu'elle pose aux assureurs, aux entreprises et aux particuliers.

Des sweats à capuche aux structures d'entreprise

Lorsque nous imaginons un cybercriminel, l'image qui nous vient souvent à l'esprit est celle que nous ont transmise les films : un individu solitaire vêtu d'un sweat à capuche, travaillant dans l'obscurité devant un écran lumineux. Si ces acteurs malveillants existent toujours, le cybercriminel moderne est très différent.

Aujourd'hui, beaucoup opèrent au sein d'organisations structurées qui ressemblent à des entreprises légitimes. Les criminels sont recrutés, reçoivent un salaire et bénéficient même de primes et de congés. Les processus de recrutement se déroulent sur le dark web, où les cybercriminels doivent présenter des références et passer des tests de compétences, comme dans le monde de l'entreprise. 

Les groupes soutenus par l'État, notamment en Corée du Nord et en Russie, vont encore plus loin en investissant massivement dans la technologie et la recherche afin d'affiner leurs capacités. Cette évolution leur a permis de lancer des escroqueries de plus en plus complexes et convaincantes à grande échelle.

L'essor des techniques sophistiquées d'ingénierie sociale

Il y a dix ans, les tentatives d'ingénierie sociale se traduisaient généralement par des e-mails maladroits truffés de fautes d'orthographe, d'instructions vagues et email incohérentes. Ces escroqueries étaient relativement faciles à repérer.

Aujourd'hui, les cybercriminels utilisent l'exploration de données, la recherche open source et les informations commerciales volées pour élaborer des attaques bien plus convaincantes. En parcourant des plateformes telles que LinkedIn, les criminels identifient les professionnels de la finance ayant le pouvoir de transférer des fonds et adaptent leurs communications en conséquence. Ces e-mails reflètent désormais la correspondance légitime, adoptant le ton, le langage et même les surnoms utilisés au sein de l'entreprise.

Dans certains cas, les criminels passent des semaines à l'intérieur d'un réseau compromis, étudiant les flux de travail, les relations avec les fournisseurs et les factures à venir afin de mettre au point des escroqueries très ciblées. Résultat : moins de signaux d'alerte et plus de chances de réussite.

Le rôle de l'IA et des deepfakes

L'intelligence artificielle a considérablement accéléré l'évolution de l'ingénierie sociale. La technologie Deepfake permet désormais aux criminels de reproduire de manière convaincante les voix et même les visages de cadres supérieurs.

Dans une affaire très médiatisée, un employé d'une multinationale à Hong Kong a autorisé un paiement de 200 millions de dollars hongkongais (environ 39,5 millions de dollars australiens) après avoir participé à une visioconférence Zoom avec ce qui semblait être des cadres supérieurs. Le seul problème ? Ces cadres étaient en réalité des deepfakes générés par l'IA.

Les deepfakes ne sont plus les faux maladroits et robotiques d'il y a quelques années. Aujourd'hui, ils sont très réalistes, ce qui rend difficile, même pour des professionnels expérimentés, de faire la différence. En combinant des enregistrements vocaux volés et des clips vidéo pouvant être récupérés sur Internet, les criminels peuvent désormais créer des imitations très convaincantes.

Du point de vue des réclamations, cela pose des défis importants. Les escroqueries par voix et vidéo laissent peu de traces écrites, ce qui rend la vérification difficile. De plus, les victimes peuvent ne se rendre compte qu'elles ont été trompées que beaucoup plus tard, ce qui réduit les chances de récupérer les fonds auprès des banques.

Menaces émergentes : agents IA

La prochaine frontière de la cybercriminalité devrait être celle des agents IA, des systèmes autonomes capables de raisonner, d'apprendre et de prendre des décisions sans intervention humaine. Contrairement aux assistants IA actuels, qui nécessitent des instructions, les agents IA peuvent agir de manière indépendante.

Dans un contexte de cybercriminalité, cela signifie qu'un agent IA pourrait :

  • Rechercher des cibles sur Internet
  • Construire des bases de données CRM de professionnels de la finance
  • Rédiger une correspondance convaincante
  • Envoyer des milliers d'e-mails frauduleux à grande échelle

Et tout cela sans supervision humaine. Le coût est minime, la portée est énorme, et même si une seule tentative aboutit, les retombées peuvent être considérables.

Réponses législatives et bancaires

Les gouvernements et les institutions financières réagissent. En février 2025, le projet de loi sur le cadre de prévention des escroqueries a été adopté en Australie, obligeant les banques à mettre en place des contrôles plus stricts pour détecter, prévenir et perturber les escroqueries.

Parmi les développements, citons la mise en place par l'Australian Banking Association de l'accord Scam-Safe, qui prévoit un investissement de 100 millions de dollars dans une technologie de vérification des noms, qui permet de vérifier si le nom du titulaire du compte correspond au code BSB et au numéro de compte saisis. D'autres initiatives comprennent le renforcement des avertissements, la suspension des paiements vers de nouveaux comptes bancaires et l'ajout de questions de sécurité supplémentaires.

Nous prévoyons que, pour les PME, ces contrôles pourraient entraîner des difficultés opérationnelles qui doivent être prises en compte et, dans la mesure du possible, anticipées. Tout retard de paiement, par exemple, peut perturber la trésorerie des fournisseurs.  

Conséquences pour les demandes d'indemnisation

Du point de vue des assurances, la formulation des polices a également évolué. De nombreuses polices prévoient désormais des exclusions ou des franchises plus élevées si certains contrôles de vérification ne sont pas mis en place ou ne sont pas respectés. Par exemple, les assureurs peuvent exiger :

  • Vérification par téléphone de toute modification des coordonnées bancaires du fournisseur
  • Séparation des tâches dans le traitement des factures
  • Procédures documentées pour les autorisations de paiement

Les tribunaux ont fait écho à cette position. En 2025, un tribunal d'Australie occidentale a condamné une entreprise à payer une facture frauduleuse après avoir jugé ses méthodes de vérification insuffisantes. L'attente est claire : les entreprises doivent prendre des mesures raisonnables pour se protéger.

Ce que les organisations peuvent faire

Malgré la sophistication des attaques, les entreprises peuvent réduire considérablement leurs risques en mettant en place les processus appropriés :

  • Protocoles de vérification : confirmez toujours les modifications des coordonnées bancaires par téléphone, en utilisant des numéros de téléphone provenant de sources indépendantes.
  • Autonomisation du personnel : Encouragez les employés à remettre en question les demandes inhabituelles, même celles provenant de « cadres supérieurs ».
  • Formation : Informer régulièrement le personnel des nouvelles menaces et des signaux d'alerte.
  • Contrôles informatiques : mettre en place une authentification multifactorielle, restreindre les privilèges d'administrateur et imposer des changements réguliers de mot de passe.

En fin de compte, la vigilance au niveau individuel et organisationnel reste la meilleure défense.

Comment Sedgwick peut aider

La montée en puissance de la cybercriminalité sophistiquée met en évidence la complexité croissante de la gestion des sinistres. Chaque cas nécessite une analyse minutieuse, non seulement des pertes financières, mais aussi de la conformité avec les termes de la police, des processus de vérification et des perspectives de recouvrement.

Chez Sedgwick, notre équipe d'experts-comptables judiciaires possède l'expertise nécessaire pour relever ces défis. En tant que l'un des plus grands groupes d'experts-comptables judiciaires d'Australie, nous aidons les assureurs, les entreprises et les clients juridiques à quantifier et à résoudre avec précision et exhaustivité les sinistres liés à la cybercriminalité et à l'ingénierie sociale. Au-delà de la cybercriminalité, nos spécialistes traitent un large éventail de sinistres spécialisés, garantissant clarté, précision et résultats fiables dans des situations complexes.

Si vous souhaitez en savoir plus sur la manière dont Sedgwick peut vous aider en matière de cybercriminalité, d'ingénierie sociale ou de sinistres spécialisés, contactez Beth Fieldhouse[email protected], Lucy Tang[email protected]ou Emma Levett[email protected].

Tags : Intelligence artificielle cybercriminalité cyber cyberattaque cybercriminalité Risque cyber escroqueries Technologie

Plus d'articles similaires

Assurance automobile : l'évolution du contexte redéfinit les risques Perspectives

Assurance automobile : l'évolution du contexte redéfinit les risques

Bonnes pratiques en matière d'aménagements pour les employés Perspectives

Bonnes pratiques en matière d'aménagements pour les employés

Les sinistres techniques décryptés : ce que les assureurs et les entreprises doivent savoir Perspectives

Les sinistres techniques décryptés : ce que les assureurs et les entreprises doivent savoir

Langues