Ou comment un simple changement d’IBAN peut coûter 20 000 euros à votre entreprise avant le café du matin
Il y a quelques semaines, un directeur général me racontait son histoire. Pas celle de sa réussite entrepreneuriale, ni celle de son dernier pivot stratégique. Non, celle d’un appel téléphonique ordinaire un mardi après-midi. Un prestataire habituel, une voix familière, un motif banal : changement de banque, nouvel IBAN, pourriez-vous effectuer le prochain virement sur ces nouvelles coordonnées ? Vingt minutes plus tard, 20 000 euros disparaissaient dans la nature. L’appel semblait plus vrai que nature. Il l’était presque.
Presque.
Cette histoire n’a rien d’exceptionnel. Elle rejoint les 67 % d’entreprises françaises victimes d’au moins une cyberattaque en 2024, contre 53 % l’année précédente. Le chiffre grimpe, les techniques se raffinent, et pendant ce temps, la sensibilisation cybersécurité reste le parent pauvre des priorités stratégiques. Pourtant, quand on sait que 46 % des attaques exploitent des erreurs humaines et que le coût annuel de la cybercriminalité en France dépasse les 100 milliards d’euros, on pourrait légitimement se demander ce que nous attendons pour agir.
Les chiffres ne mentent pas (contrairement aux fraudeurs)
Commençons par un état des lieux qui devrait suffire à faire trembler n’importe quel comité de direction. En 2024, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a traité 4 386 événements de sécurité, soit une augmentation de 15 % par rapport à 2023. Le hameçonnage, cette technique que tout le monde connaît mais dont près de 60 % des collaborateurs sont encore victimes, représente 73 % des attaques subies par les entreprises françaises.
Le coût moyen d’une cyberattaque réussie ? 58 600 euros. Pour une petite ou moyenne entreprise, ce montant peut grimper jusqu’à 466 000 euros. Mais le plus inquiétant reste ailleurs : 60 % des entreprises victimes ferment leurs portes dans les dix-huit mois suivant l’incident. Le risque de faillite augmente de 50 % dans les six mois qui suivent. Ces chiffres ne sont pas des projections alarmistes sorties d’un rapport que personne ne lit. Ce sont les données de la Cour des comptes et de l’ANSSI en 2025.
Les petites et moyennes entreprises paient le prix fort. Elles représentent 77 % des cyberattaques et 37 % des victimes de rançongiciels. Le nombre d’entreprises de moins de dix salariés ayant subi une cyberattaque a augmenté de plus de 50 % au cours des trois dernières années. Face à ces chiffres, difficile de continuer à se dire que cela n’arrive qu’aux autres. On attaque particulièrement ces entreprises-là parce qu’elles pensent ne rien avoir de sensible. Mais c’est évidemment l’inverse, elles sont d’autant plus vulnérables et plus faciles à attaquer. Demandez-vous, un voleur tenterait plutôt d’attaquer la petite mamie qui peine à marcher ou bien le grand costaud musclé ?
Quand la fraude devient indétectable
Revenons à notre directeur général et ses 20 000 euros volatilisés. Ce qui le hantait le plus, ce n’était pas la perte financière elle-même. C’était la facilité déconcertante avec laquelle l’escroc avait réussi son coup. Tout était parfait : le ton, les informations sur le dossier en cours, même la signature du mail qui avait suivi l’appel. L’arnaque au faux fournisseur, aussi appelée fraude par substitution d’IBAN, repose sur une préparation minutieuse. Les cybercriminels collectent un maximum d’informations sur l’entreprise et ses prestataires avant de frapper. Ils créent des adresses électroniques quasi identiques aux vraies, ou pire, piratent directement la messagerie du fournisseur légitime.
Cette technique d’ingénierie sociale a beaucoup progressé depuis 2022 (65%+). Elle concernait 38 % des entreprises françaises et représentait déjà la menace numéro un selon le baromètre Euler Hermès DFCG de 2021, avec 46 % des répondants touchés. Deux organisations sur trois ont subi au moins une tentative. Le pire ? La détection intervient souvent plusieurs jours après le virement, quand le vrai fournisseur s’inquiète de ne toujours rien avoir reçu.
J’ai également rencontré une dirigeante d’entreprise qui pensait recevoir une opportunité commerciale légitime. Une personne l’avait contactée personnellement, connaissait son secteur d’activité, ses enjeux, la situation de son marché. La pression montait doucement : une offre limitée dans le temps, une urgence à cliquer sur un lien pour accéder aux détails. Elle ne s’était même pas posé la question de savoir si ce lien était frauduleux. Il l’était. Elle avait été identifiée comme cible sur le plan professionnel, technique de plus en plus courante qui exploite la visibilité des dirigeants sur les réseaux professionnels.
Le hameçonnage ne se limite plus à ces courriers électroniques mal orthographiés promettant un héritage nigérian. Les campagnes actuelles sont ciblées, personnalisées, parfaitement rédigées. Elles exploitent des informations publiques (profils professionnels, communiqués de presse, organigrammes) pour construire des scénarios crédibles. En 2023, 1,76 milliard d’adresses frauduleuses ont été diffusées dans le monde. L’impact financier mondial du hameçonnage est alors estimé à 3,5 milliards de dollars en 2024.
Les excuses classiques qui ne tiennent plus
Parlons maintenant de la vraie raison pour laquelle les entreprises françaises restent vulnérables : les excuses. Elles sont toujours les mêmes, formulées avec plus ou moins de conviction selon l’interlocuteur.
« Nous sommes sous l’eau, nous devons d’abord gérer les sujets opérationnels. » Voilà sans doute l’argument le plus fréquemment invoqué. Un responsable d’entreprise me l’a récemment resservi avec la même sincérité désabusée qu’un automobiliste expliquant qu’il n’a pas le temps de faire réviser sa voiture avant que le moteur ne rende l’âme. La cybersécurité, dans cette logique, devient un luxe que l’on s’offre quand tout va bien. Le problème, c’est que les cybercriminels ne consultent pas votre agenda avant d’attaquer. Ils frappent précisément quand vous êtes occupé ailleurs, quand vos équipes sont surchargées, quand la vigilance baisse.
« Nous n’avons pas le budget. » Deuxième excuse préférée des comités de direction. Investir dans la sensibilisation cybersécurité coûterait trop cher. Soit. Comparons : une campagne de sensibilisation annuelle pour une entreprise de cinquante personnes coûte entre 3 000 et 8 000 euros. Une cyberattaque réussie coûte en moyenne 58 600 euros, sans compter l’arrêt de production (qui représente 50 % du coût total), les frais d’expertise externe (20 %), la remise en état des systèmes (20 %) et l’impact réputationnel (10 %). Le calcul est simple, presque insultant de simplicité.
« Nos collaborateurs sont informés, ils savent reconnaître les tentatives d’attaque. » Vraiment ? Les statistiques racontent une autre histoire. Seule une entreprise sur quatre se considère totalement prête à contrer les menaces de hameçonnage multicanales. Pourtant, 74 % des organisations forment leurs utilisateurs aux risques. Le décalage entre perception et réalité atteint des sommets vertigineux. Être informé ne suffit plus quand les attaques deviennent indiscernables de la communication légitime.
« Nous avons des outils de sécurité, c’est suffisant. » Les pare-feu, les antivirus, les solutions de détection sont indispensables. Mais 60 % des brèches impliquent le facteur humain : erreur, manipulation, abus. Aucun outil technique ne peut empêcher un collaborateur de cliquer sur un lien frauduleux ou de divulguer un mot de passe sous la pression d’un faux appel du service informatique. Les outils protègent les systèmes. La sensibilisation protège les personnes. Et sans verser dans le complotisme ou la sur-assurance.
La politique de l’autruche a un coût
Curieusement, cette situation rappelle un autre sujet que les entreprises françaises ont longtemps repoussé : l’écoresponsabilité. Pendant des années, la transition écologique était perçue comme une contrainte coûteuse, un luxe de grandes entreprises disposant de budgets considérables. Puis les réglementations sont arrivées, les clients ont commencé à poser des questions embarrassantes, les investisseurs ont intégré les critères environnementaux dans leurs décisions. Les entreprises qui avaient anticipé disposaient d’un avantage concurrentiel. Les autres ont dû courir derrière le train en marche.
La cybersécurité suit exactement la même trajectoire. La différence majeure, c’est que le délai entre l’inaction et les conséquences est infiniment plus court. Une entreprise peut continuer d’ignorer son empreinte carbone pendant quelques années avant que cela ne devienne problématique (quoique). Elle ne peut pas ignorer sa vulnérabilité numérique pendant six mois sans risquer l’incident. Les cybercriminels ne laissent pas de délai de grâce.
Nous avons tous une responsabilité vis-à-vis des entreprises françaises. Au-delà des débats sur la fiscalité, la compétitivité ou les charges, il existe une menace immédiate, concrète, mesurable, qui met en péril la survie économique de milliers d’organisations. Ignorer cette réalité par commodité, par manque de temps ou par optimisme béat revient à fermer les yeux devant un incendie en espérant qu’il s’éteigne de lui-même.
La sensibilisation n’est plus une option, c’est une nécessité stratégique
Parlons maintenant de solutions. Parce que ce serait dommage de s’arrêter au constat “apocalyptique” sans proposer quelques pistes concrètes pour éviter que votre entreprise ne devienne la prochaine statistique.
La sensibilisation cybersécurité efficace ne consiste pas à diffuser une fois par an une vidéo soporifique sur les dangers d’Internet. Elle s’inscrit dans une démarche continue, adaptée aux réalités opérationnelles de chaque entreprise. Les formats peuvent varier : ateliers pratiques, campagnes de hameçonnage simulé, formation aux réflexes de vérification, sensibilisation ciblée par métier. L’important reste la régularité et l’adaptation au contexte de l’entreprise et professionnel de chaque collaborateur.
Prenons l’exemple de la fraude au faux fournisseur. La meilleure protection ne réside pas dans un logiciel sophistiqué, mais dans un réflexe simple : le contre-appel systématique. Dès qu’un prestataire communique un nouveau relevé d’identité bancaire ou modifie ses coordonnées, quelqu’un dans l’entreprise doit appeler le contact habituel via un numéro déjà vérifié pour valider l’information. Cette procédure prend trois minutes. Elle aurait épargné 20 000 euros à notre directeur général du début.
Autre exemple : la vérification des adresses électroniques. Les cybercriminels utilisent souvent des noms de domaine quasi identiques aux vrais, avec une lettre changée ou un caractère supplémentaire. Former les collaborateurs à vérifier systématiquement l’expéditeur avant de cliquer sur un lien ou d’ouvrir une pièce jointe constitue une barrière efficace. Simple ? Oui. Évident ? Apparemment pas suffisamment puisque 73 % des entreprises subissent des tentatives de hameçonnage.
Les dirigeants doivent également s’inclure dans ces démarches de sensibilisation. Charité bien ordonnée commence par soi-même. Il est assez cocasse de constater que les cadres dirigeants, souvent persuadés d’être trop avertis pour tomber dans un piège, constituent des cibles privilégiées des cybercriminels. Leur accès à des informations sensibles, leur capacité à autoriser des virements importants, leur visibilité publique en font des proies de choix. L’arnaque au président, qui vise spécifiquement les dirigeants et les services financiers, progresse de 65%+ depuis 2022 pour une raison simple : elle fonctionne.
La sensibilisation doit également s’accompagner de procédures claires et applicables. Inutile de créer un document de cent pages que personne ne lira. Mieux vaut définir quelques règles simples, compréhensibles, que les collaborateurs peuvent appliquer au quotidien : vérifier l’expéditeur d’un courrier électronique, ne jamais communiquer de mot de passe par téléphone ou par message, valider les demandes urgentes par un second canal, signaler immédiatement toute anomalie au service informatique…
Enfin, la culture de la sécurité doit devenir une composante de l’entreprise au même titre que la satisfaction client ou la qualité des produits. Cela implique que les dirigeants portent le sujet, que les équipes de direction y consacrent du temps, que les échecs soient analysés sans recherche de coupable mais dans une optique d’amélioration continue. Une erreur humaine ne doit pas être sanctionnée, elle doit devenir une occasion d’apprendre et de renforcer les dispositifs existants.
Recrutement et sensibilisation : les deux piliers d’une stratégie gagnante
Arrive maintenant la question que tout le monde se pose : comment faire quand les ressources internes manquent ? La pénurie de compétences en cybersécurité touche l’ensemble du marché français. En 2024, 56 % des entreprises prévoyaient d’embaucher des spécialistes supplémentaires en sécurité numérique, et 70 % comptaient augmenter leur budget dédié. Le problème, c’est que les candidats qualifiés restaient rares et très sollicités. Entre temps, l’IA a aussi pris sa place, et la nature ayant horreur du vide, s’est positionnée comme un objet incontournable.
C’est précisément là qu’un cabinet de recrutement cybersécurité spécialisé comme Rehackt peut faire la différence. Notre approche ne se limite pas à trouver le profil technique qui coche toutes les cases d’une fiche de poste irréaliste. Nous recherchons des professionnels capables de comprendre les enjeux métiers de votre entreprise, de traduire les risques techniques en langage compréhensible pour les dirigeants, et surtout, de porter la culture de la sécurité au sein de vos équipes.
La valeur ajoutée d’un cabinet de recrutement cybersécurité réside dans sa capacité à identifier des profils qui ne cochent pas toutes les cas de prime abord, ou encore des profils aussi atypiques, souvent issus de reconversions professionnelles, qui apportent une vision différente de la sécurité numérique. Un ancien militaire comprend la discipline opérationnelle. Une personne issue de la santé saisit les enjeux de confidentialité. Un enseignant maîtrise la pédagogie nécessaire pour sensibiliser des publics variés. Ces compétences transverses, souvent négligées au profit de certifications techniques (ou de parcours similaire strict) constituent pourtant la clé d’une stratégie de cybersécurité efficace dans la durée.
Mais recruter un responsable de la sécurité des systèmes d’information ou un analyste en cybersécurité ne suffit pas. Ces professionnels doivent pouvoir s’appuyer sur des collaborateurs sensibilisés, capables de devenir les premiers remparts contre les cyberattaques. C’est pourquoi chez Rehackt, nous ne nous contentons pas de placer des candidats. Nous accompagnons également les entreprises dans leurs démarches de sensibilisation cybersécurité. Par exemple, que l’on souhaite recruter un RSSI est une chose, mais d’y préparer sa structure en est une autre, car à lui seul (ou elle seule), votre RSSI ne fera pas de miracle, voire s’épuisera et finira par partir. Et là, la facilité du constat qu’un-e RSSI n’est pas forcément ce qu’il faut à l’entreprise. Mais recrute-t-on un responsable d’atelier en lui disant qu’il faut qu’il le monte lui-même et qu’il monte aussi les processus de l’entreprise?
Notre approche repose sur plusieurs piliers. D’abord, l’adaptation du contenu aux réalités opérationnelles de chaque entreprise. Une société industrielle n’a pas les mêmes risques qu’un cabinet de conseil, et ses collaborateurs n’utilisent pas les outils numériques de la même manière. Les formations génériques ne fonctionnent pas. Il faut partir des situations concrètes, des outils réellement utilisés, des processus métiers existants.
Ensuite, nous privilégions les formats interactifs plutôt que les présentations magistrales. Les simulations d’attaques selon différents scénarios, les ateliers pratiques, les études de cas tirés d’incidents réels permettent aux collaborateurs de comprendre les mécanismes des cyberattaques et d’acquérir les bons réflexes. Rien ne vaut l’expérience d’une campagne de hameçonnage simulé pour prendre conscience de la facilité avec laquelle on peut tomber dans le piège.
Nous travaillons également sur la durée. Une session de sensibilisation unique n’a qu’un effet limité. La mémoire s’estompe, les pratiques reviennent, la vigilance diminue. Une stratégie efficace prévoit des rappels réguliers, des mises à jour en fonction des nouvelles menaces, un accompagnement continu des équipes. La cybersécurité n’est pas un projet avec une date de fin. C’est un processus permanent, avec un réel ancrage.
Enfin, nous aidons les entreprises à mesurer l’efficacité de leurs actions. Combien de collaborateurs ont cliqué sur le lien frauduleux lors de la dernière simulation ? Combien ont signalé le message suspect ? Les procédures de vérification sont-elles appliquées systématiquement ? Ces indicateurs permettent d’ajuster les formations, d’identifier les points faibles, de démontrer la valeur de l’investissement.
Le rôle d’un cabinet de recrutement cybersécurité évolue donc au-delà du placement de candidats. Nous devenons des partenaires stratégiques qui accompagnent les entreprises dans la construction d’une véritable culture de la sécurité numérique. Parce qu’au fond, recruter un excellent responsable de la sécurité des systèmes d’information ne sert à rien si les collaborateurs continuent de cliquer allègrement sur tous les liens qu’ils reçoivent.
Il est donc temps d’arrêter de jouer à la roulette russe
Terminons par une évidence qui devrait crever les yeux : chaque jour sans action augmente le risque. Les cyberattaques ne prennent pas de vacances, ne respectent pas les périodes de transition, ne font pas de pause pendant que vous réglez vos priorités opérationnelles. Elles frappent maintenant, aujourd’hui, pendant que vous lisez cet article.
Les chiffres sont sans appel. 70 %+ des entreprises françaises ont subi au moins une cyberattaque entre 2024 et 2026. 60 % des entreprises victimes ferment dans les dix-huit mois. Le coût annuel de la cybercriminalité dépasse les 100 milliards d’euros en France. Ces statistiques ne décrivent pas un futur hypothétique. Elles documentent la réalité actuelle du tissu économique français.
La sensibilisation cybersécurité n’est plus un sujet technique réservé aux spécialistes. C’est une responsabilité collective qui engage chaque dirigeant, chaque manager, chaque collaborateur. Nous vivons une époque où un simple clic peut compromettre des années de travail, où une conversation téléphonique anodine peut entraîner la perte de dizaines de milliers d’euros, où la négligence d’un instant peut conduire à la fermeture d’une entreprise.
Alors oui, vous êtes sous l’eau. Oui, vous avez d’autres priorités. Oui, le budget est serré. Mais ces excuses ne résisteront pas à la première cyberattaque. Elles ne protégeront ni votre entreprise, ni vos collaborateurs, ni vos clients. Elles vous laisseront simplement avec des regrets et une facture salée.
La bonne nouvelle, c’est qu’il n’est jamais trop tard pour commencer. Une première session de sensibilisation, une procédure simple de vérification des virements, un accompagnement par un cabinet de conseil et de recrutement cybersécurité spécialisé pour structurer votre approche. Les solutions existent. Elles sont accessibles. Elles fonctionnent.
La mauvaise nouvelle, c’est que le temps presse. Les cybercriminels perfectionnent leurs techniques chaque jour. Les attaques deviennent plus sophistiquées, plus ciblées, plus difficiles à détecter. Le prochain directeur général qui perdra 20 000 euros sur un faux changement d’IBAN pourrait bien être vous (enfin ,on n’espère pas puisque maintenant on vous en a fait le retour d’expérience). La prochaine entreprise contrainte de fermer ses portes après une cyberattaque pourrait bien être la vôtre.
Il est temps d’arrêter de jouer à la roulette russe avec la sécurité numérique de votre entreprise. Il est temps d’investir dans la sensibilisation cybersécurité de vos équipes. Il est temps de considérer ce sujet comme ce qu’il est vraiment : une question de survie économique.
Chez Rehackt, nous ne vous promettons pas de solutions miracles. Nous ne vous vendons pas de produits magiques qui résoudront tous vos problèmes. Nous vous proposons un accompagnement pragmatique, adapté à vos contraintes, ancré dans la réalité du terrain. Parce que la cybersécurité ne se résume pas à des outils techniques ou à des certifications prestigieuses. Elle repose d’abord et avant tout sur des femmes et des hommes conscients des risques, formés aux bonnes pratiques, capables de devenir les premiers remparts contre les cyberattaques.
Alors, êtes-vous prêt à protéger votre entreprise ? Ou préférez-vous attendre que le prochain appel frauduleux vous coûte 20 000 euros (ou plus) pour commencer à vous poser des questions ?
Rehackt est un cabinet de recrutement spécialisé en cybersécurité qui accompagne les entreprises françaises dans leur quête de talents et leur stratégie de sensibilisation. Notre approche privilégie les profils qui disposent des bons réflexes, de la bonne compréhension des enjeux ou encore atypiques, et la construction d’une véritable culture de la sécurité numérique. Parce que la meilleure protection reste humaine.
Laisser un commentaire