En décembre dernier, une commis aux comptes payables dans une entreprise de taille moyenne a reçu un texto urgent de son “PDG” : acheter 3 000 $ de cartes-cadeaux Apple pour des clients, gratter les codes et les envoyer par courriel. C’était étrange, mais le message semblait venir du patron, et c’était la folie des Fêtes. Le temps qu’elle vérifie, les cartes étaient déjà dépensées, le fraudeur avait encaissé, et l’entreprise a mangé la perte.

Cette arnaque fait mal, mais d’autres peuvent littéralement mettre une entreprise à genoux. Le même mois, Orion S.A., une entreprise chimique du Luxembourg, est tombée dans un piège bien plus dévastateur. Un employé a reçu ce qui semblait être des demandes de virement tout à fait normales – probablement d’un collègue ou d’un partenaire habituel. Tout semblait légitime, urgent, et conforme aux pratiques internes. Il a donc procédé, sans poser de questions.

Résultat? Soixante millions de dollars envoyés directement à des cybercriminels – plus de la moitié des profits annuels de l’entreprise perdus dans une série de virements frauduleux.

Vous pensez que votre PME est trop petite pour être visée? Détrompez-vous. Les fraudes par cartes-cadeaux ont coûté plus de 217 millions $ aux entreprises en 2023, et les attaques de compromission de courriels d’affaires (BEC) ont représenté 73 % des incidents cybersécurité en 2024. Le temps des Fêtes est un moment privilégié pour les pirates : les équipes sont débordées, distraites et traitent plus de transactions qu’à l’habitude.

5 arnaques des Fêtes que vos employés doivent connaître (avant qu’elles ne vous coûtent des milliers)

1. « Ton patron veut des cartes-cadeaux » (le piège à 3 000 $)

Le stratagème : Des fraudeurs se font passer pour des gestionnaires ou propriétaires et demandent d’urgence des cartes-cadeaux pour des « clients » ou de la « reconnaissance employé ». Au 1er trimestre 2024, 37,9 % des attaques BEC visaient les cartes-cadeaux.
Prévention : Politique d’entreprise : aucune carte-cadeau sans double approbation. Former les employés : aucun gestionnaire ne demandera ça par texto.

2. Fraudes par fausses factures ou changement de coordonnées bancaires

Le stratagème : Des escrocs envoient de « nouvelles informations de paiement » ou interceptent des échanges avec des fournisseurs, pile au moment des paiements de fin d’année. En juin 2024, la Ville d’Arlington, MA, a perdu près d’un demi-million de dollars ainsi.
Prévention : Confirmez tout changement bancaire par téléphone, en utilisant un numéro connu. Instaurez une règle d’appel obligatoire pour toute transaction de plus de 5 000 $.

3. Faux avis de livraison ou de colis

Le stratagème : Des courriels ou textos frauduleux prétendent venir de UPS, FedEx ou Postes Canada, avec un lien pour « reprogrammer une livraison ».
Prévention : Former les employés à saisir manuellement l’adresse du transporteur dans le navigateur. Mettre en signet les pages officielles de suivi.

4. Fichiers joints malveillants pour des « partys de bureau »

Le stratagème : Des courriels contiennent des pièces jointes comme « Horaire_Fêtes.pdf » ou « Liste_Party.xls » qui installent des maliciels à l’ouverture.
Prévention : Bloquez les macros, scannez les pièces jointes, et encouragez la vérification avant d’ouvrir des fichiers inattendus.

5. Faux organismes de charité ou collectes de fonds

Le stratagème : Des sites de phishing imitent des œuvres caritatives ou des campagnes internes pour voler de l’argent ou des données.
Prévention : Fournissez une liste d’organismes approuvés. Toutes les collectes doivent passer par un portail officiel.

Pourquoi ces attaques fonctionnent (et comment les bloquer)

Les outils qui rendent vos affaires plus efficaces – courriel, paiements en ligne, transferts électroniques – sont aussi les armes favorites des escrocs. Ce ne sont pas des « princes nigérians ». Ce sont des attaques sophistiquées qui combinent ingénierie sociale et recherche ciblée sur votre entreprise.

Les organisations qui effectuent des simulations de phishing régulièrement réduisent leur risque de 60 %. Pourtant, la majorité des PME ne forment toujours pas leurs équipes. Et l’authentification multifactorielle bloque 99 % des connexions non autorisées – mais trop d’entreprises se contentent encore d’un mot de passe.

Liste de vérification pour la cybersécurité pendant les Fêtes

• Règle des deux personnes : toute transaction dépassant un certain montant exige une confirmation verbale via un canal différent.

• Politique sur les cartes-cadeaux : documentez-la. Aucun achat par courriel ou texto.

• Vérification fournisseur : confirmez tout changement bancaire par téléphone, avec un numéro déjà enregistré.

• Authentification multifactorielle : activez-la sur tous les comptes courriel, bancaires et infonuagiques.

• Sensibilisation des Fêtes : présentez ces 5 arnaques à votre équipe, avec des exemples concrets.

Le vrai coût : bien plus que de l’argent

La perte de 60 millions d’Orion a fait la une, mais les dommages invisibles touchent souvent plus durement les PME :

• Activités paralysées en pleine haute saison

• Productivité perdue pendant les efforts de réparation

• Confiance des clients entamée si leurs données sont exposées

• Hausse des primes d’assurance après un incident

La perte moyenne par attaque de type BEC est de 129 000 $ – assez pour faire chavirer une PME au pire moment de l’année.

Protégez votre saison des Fêtes

Les Fêtes devraient être un moment de croissance et de reconnaissance – pas de crise de cybersécurité. Un briefing d’équipe, quelques bonnes politiques et des couches de protection peuvent grandement limiter les risques.

Souvenez-vous : un simple appel de vérification aurait pu éviter la perte de 60 millions chez Orion. Avec un peu de vigilance et les bons réflexes, votre entreprise ne deviendra pas la prochaine victime.

Vous voulez vous assurer que votre équipe est prête avant le Nouvel An?

Besoin d’un coup de main? Réservez un appel découverte GRATUIT de 10 minutes avec notre équipe pour déterminer les prochaines étapes et sécuriser votre PME.

📞 Composez le (1.855.907.2001 / 514.907.2000) ou cliquez ici pour planifier un appel.

Prenez votre sécurité au sérieux. Nous offrons une Évaluation sommaire GRATUITE de votre posture en cybersécurité. Même si vous travaillez déjà avec une entreprise de cybersécurité, cela ne peut pas faire de mal d’avoir une seconde opinion d’expert pour évaluer si et où vous êtes vulnérable à une attaque. Si vous êtes intéressé, cliquez ici pour réserver votre évaluation avec notre équipe dès maintenant.