KA IT
+32 489 59 42 27
Selon les publications hebdomadaires de Safeonweb (CCB Belgique), la Belgique voit passer plusieurs millions d'emails de phishing par semaine. Les PME sont une cible privilegiee parce qu'elles combinent un volume d'echanges commerciaux importants et une defense souvent plus faible que les grands groupes. Voici les 5 campagnes les plus observees au cours des 12 derniers mois sur le territoire belge, avec les patterns reconnaissables et les contremesures concretes.
1. Pourquoi les PME belges sont ciblees
Quatre caracteristiques des PME belges les rendent interessantes pour les attaquants :
- Multilinguisme. Les attaquants dupliquent facilement leurs campagnes en FR / NL / EN, ce qui augmente leur surface de frappe.
- Volume commercial eleve. Une PME typique traite des dizaines de factures par mois, ce qui facilite les attaques "fausse facture".
- Defense inegale. Certaines PME n'ont pas encore MFA active ni EDR. Cela reste suffisant pour justifier une campagne opportuniste.
- Paiement possible. Les PME de 20-100 personnes peuvent payer une rancon de 30-100k EUR, suffisamment pour motiver les attaquants.
Le CCB publie des alertes regulieres : ccb.belgium.be. S'y abonner est gratuit et permet de reconnaitre tot les campagnes actives.
2. Attaque 1 : faux Microsoft 365 expire
Le scenario
Email qui se presente comme venant de "Microsoft Support" ou "Microsoft 365 Team", avertissant que le mot de passe expire selon délai contractuel ou que le compte sera desactive. Lien vers une page de login qui imite parfaitement Microsoft mais dont le domaine est legerement different (microsoftonline-verify.com, outlook-security.net, etc.).
Qui est cible
Tous les utilisateurs Microsoft 365 sans exception. Les dirigeants et les comptables sont particulierement vises parce que leur compte donne acces aux flux financiers.
Contremesures
- MFA obligatoire sur tous les comptes Microsoft 365. Sans MFA, un credentiel vole = compte compromis en minutes.
- Activation de Microsoft Defender for Office 365 (ou equivalent) qui filtre les domaines de phishing connus.
- Sensibilisation utilisateurs : Microsoft n'envoie jamais de lien "cliquez pour verifier" dans un email.
3. Attaque 2 : fausse facture fournisseur
Le scenario
Email qui semble venir d'un fournisseur connu avec lequel la PME travaille reellement, contenant une piece jointe PDF ou un lien vers une facture. La piece jointe contient une macro malveillante ou un ransomware. Variante plus sophistiquee : modification du numero de compte bancaire sur une vraie facture interceptee.
Qui est cible
Comptables, assistants administratifs, services achats. Dans la version "change de compte bancaire", toute personne qui paie des fournisseurs.
Contremesures
- Politique de verification systematique de tout changement de coordonnees bancaires par appel telephonique au fournisseur, sur un numero connu (pas celui indique dans l'email).
- Filtrage des pieces jointes executables et macros au niveau de la messagerie.
- EDR sur tous les postes pour bloquer l'execution de macros malveillantes.
Un fiduciaire bruxellois reçoit une "facture" apparemment de son prestataire informatique recurrent, depuis une adresse qui differe de 1 caractere. Piece jointe macro. L'assistante comptable l'ouvre, ransomware declenche, 40 postes chiffres en 6 heures. Sans backup 3-2-1, retour a la normale apres 3 semaines.
4. Attaque 3 : CEO fraud et BEC
Le scenario
Le plus coûteux. Email qui semble venir du dirigeant, adresse au comptable ou a un responsable financier, demandant un virement urgent et confidentiel (typiquement une "acquisition en cours" ou un "fournisseur a payer aujourd'hui"). Variante plus elaboree : compromission prealable de la boite email du dirigeant (Business Email Compromise).
Qui est cible
Comptables, financiers, assistants de direction. Le montant detourne tourne typiquement entre 10 000 et 200 000 euros par incident en Belgique.
Contremesures
- Procedure formelle de validation des virements au-dela d'un seuil (double signature, appel vocal obligatoire).
- Configuration SPF / DKIM / DMARC stricte sur le domaine de l'entreprise pour empecher l'usurpation externe.
- Identification visuelle des emails externes (banniere "email externe" sur Microsoft 365 et Google Workspace).
- MFA obligatoire sur la boite email du dirigeant (cible prioritaire des attaquants).
5. Attaque 4 : faux colis (Bpost, DHL, etc.)
Le scenario
SMS ou email annonçant un colis bloque en douane ou un probleme de livraison, avec une demande de petit paiement (1-2 euros) pour "liberer" le colis. La victime saisit ses coordonnees bancaires sur un faux site, qui est ensuite utilise pour des debits massifs.
Qui est cible
Tous les employes, particulierement ceux qui commandent regulierement en B2B (fournitures de bureau, materiel informatique, achats e-commerce).
Contremesures
- Sensibilisation specifique : Bpost, DHL, UPS ne demandent jamais de petit paiement par SMS pour "debloquer" un colis.
- Utilisation de cartes bancaires virtuelles ou prepaid pour les paiements en ligne non strategiques.
- Limitation des droits administrateurs sur les postes (empeche l'installation de malwares).
6. Attaque 5 : faux conseiller bancaire
Le scenario
Appel telephonique ou SMS d'un faux conseiller bancaire qui pretend detecter une "fraude en cours" sur le compte et demande a l'utilisateur de confirmer une operation via son application bancaire (ce qui en realite valide le virement de l'attaquant). En 2024-2025, ce schema a fait des degats massifs en Belgique selon les alertes CCB.
Qui est cible
Tous les utilisateurs de banque en ligne pro. Les dirigeants et gerants qui signent les virements sont les cibles prioritaires.
Contremesures
- Regle d'or : aucune banque ne demandera jamais de valider une operation en ligne suite a un appel telephonique. En cas de doute, raccrocher et rappeler le numero officiel.
- Formation annuelle des signataires sur les techniques d'ingenierie sociale.
- Segregation des pouvoirs : au moins deux signataires pour les virements au-dela d'un seuil.
Nos packs Business et Managed incluent la formation utilisateurs et les simulations de phishing trimestrielles.
7. Les 7 signes pour reconnaitre un phishing
- Urgence injustifiee ("action requise selon délai contractuel").
- Demande de confidentialite ("ne pas en parler aux collegues").
- Domaine de l'expediteur legerement different (microsoft vs rnicrosoft, paypal vs paypa1).
- Lien qui ne correspond pas au texte (survoler pour verifier l'URL avant de cliquer).
- Demande inhabituelle (un fournisseur qui change de banque, un patron qui demande un virement a un inconnu).
- Fautes d'orthographe ou grammaire dans une communication officielle.
- Piece jointe executable ou document avec macro non attendue.
8. Defense PME : ce qui fonctionne reellement
Au-dela de la sensibilisation, quatre mesures techniques couvrent plus de 95 % des tentatives de phishing :
| Mesure | Couverture | Cout indicatif PME 15 u |
|---|---|---|
| MFA universelle | Bloque 99 % des compromissions cloud | Inclus Microsoft 365 / Google Workspace |
| SPF + DKIM + DMARC correct | Empeche l'usurpation du domaine | Gratuit (config DNS) |
| EDR sur tous les postes | Stoppe les malwares via macros | 60-180 € / mois |
| Simulations phishing trimestrielles | Reduit x3 a x5 le taux de clic | 30-90 € / mois |
Pour un guide complet des mesures cyber, consultez Cybersecurite PME belge 2026 : le guide pratique anti-ransomware.
"En cas de doute, on ne clique pas, on demande." Un employe qui pose la question 30 fois par an est moins coûteux qu'un seul clic mal place.
On lance une campagne de test ciblee, on mesure le taux de clic, et on construit un plan de formation adapte.