La fraude au président n’est couverte par la plupart des assurances cyber standard que si votre contrat inclut explicitement une garantie « ingénierie sociale » ou « fraude par usurpation d’identité ». Sans cette clause, votre PME supporte seule la perte. Faites relire vos conditions générales par un spécialiste, exigez un avenant spécifique, et mettez en place une procédure de double validation des virements dès aujourd’hui.
Un email arrive dans la messagerie de votre comptable. L’expéditeur ? Votre directeur général, en déplacement à l’étranger. Le message est bref, pressant, confidentiel : un virement de 80 000 CHF doit être effectué dans l’heure pour finaliser une acquisition. Le comptable s’exécute. Quarante-huit heures plus tard, votre directeur rentre au bureau – et n’a jamais rien demandé.
Ce scénario n’est pas une fiction. La fraude au président est l’une des menaces les plus coûteuses pour les PME suisses, et l’une des moins bien couvertes par les contrats d’assurance cyber classiques.
Cet article explique comment fonctionne cette arnaque, pourquoi votre police actuelle présente probablement des angles morts – et comment y remédier.
La fraude au président : une menace qui cible spécifiquement les PME
La fraude au président – également connue sous les noms d’arnaque au CEO ou de Business Email Compromise (BEC) – repose sur un mécanisme simple : l’usurpation de l’identité d’un dirigeant pour convaincre un collaborateur d’effectuer un virement non autorisé.
L’attaque se déroule généralement en trois temps :
- Collecte d’informations : les escrocs exploitent LinkedIn, le site web de l’entreprise et les réseaux sociaux pour identifier les noms, fonctions et adresses email des personnes impliquées dans les processus financiers.
- Contact ciblé : un email imitant celui du dirigeant – ou un appel téléphonique avec numéro masqué, voire une voix synthétisée par intelligence artificielle – est adressé à un collaborateur financier.
- Pression psychologique : urgence, confidentialité absolue, invocation de l’autorité hiérarchique. Le collaborateur n’a pas le temps de vérifier.
Les PME sont particulièrement exposées : leurs procédures de validation sont souvent moins formalisées, leur budget cybersécurité plus limité, et la culture de confiance interne peut être retournée contre elles.
En 2025, l’Office fédéral de la cybersécurité (OFCS) a enregistré 971 signalements liés à la fraude au président, contre 719 l’année précédente – une hausse de plus de 35 % en un an. Les méthodes se sophistiquent : les escrocs utilisent désormais l’intelligence artificielle pour affiner leurs mises en scène.
Ce que l’attaque n’est pas : une cyberattaque au sens technique
Contrairement à un ransomware ou à une intrusion informatique, la fraude au président n’exploite aucune faille technique. Pas de malware, pas de piratage de serveur. Juste une adresse email légèrement modifiée, un numéro masqué, et une mise en scène psychologiquement convaincante.
Elle exploite une faille humaine – et c’est précisément cette nature non-technique qui crée un angle mort dans la grande majorité des contrats cyber standard.
Pourquoi l’assurance cyber standard ne couvre souvent pas ce risque
Les polices cyber de base ont été conçues pour répondre à des incidents techniques : violation de données personnelles, attaque par ransomware, interruption de système, frais de notification au sens de la LPD. Ces garanties sont réelles et utiles – mais elles ne couvrent pas tout.
La fraude par ingénierie sociale – dont la fraude au président est l’exemple le plus courant – est souvent absente des conditions générales des contrats d’entrée de gamme, voire explicitement exclue.
Sur le marché suisse, les assureurs adoptent généralement l’une de ces trois postures :
- Couverture maintenue sous conditions : la garantie existe en principe, mais l’assureur exige que des procédures d’authentification et de contre-vérification soient en place. Sans elles, il peut refuser l’indemnisation ou limiter la garantie via un avenant spécifique.
- Garantie plafonnée : la perte est partiellement couverte, mais le plafond d’indemnisation est nettement inférieur à celui prévu pour les sinistres techniques.
- Exclusion totale : les pertes résultant d’une instruction de virement donnée par une personne se faisant passer pour une autre sont simplement exclues, en l’absence de contrôles internes suffisants.
Le piège de la « couverture cyber globale » : ce que dit vraiment votre police
La mention « assurance cyber globale » sur une plaquette commerciale ne garantit pas la couverture de la fraude au président. Ce qui compte, c’est la définition exacte du terme « sinistre cyber » dans vos conditions générales.
Voici les termes à rechercher dans vos CG :
- « social engineering » ou « ingénierie sociale »
- « fraude par usurpation d’identité »
- « instruction de virement frauduleuse »
- « computer crime » ou « crime informatique »
Une exclusion de deux lignes en page 18 de votre contrat peut suffire à annuler une indemnisation de plusieurs dizaines de milliers de francs. En assurance, le diable est toujours dans les détails.
Comment obtenir la bonne couverture : les garanties à exiger
Des solutions existent. Certains assureurs proposent une garantie fraude par ingénierie sociale en extension de leur police cyber. D’autres orientent vers un contrat distinct – l’assurance fraude d’entreprise (ou Financial Crime Insurance) – conçu pour couvrir les pertes financières directes liées à des actes frauduleux, internes ou externes.
Lors de la souscription ou de la révision de votre contrat, exigez :
- Prise en charge des pertes financières directes consécutives à un virement frauduleux déclenché par usurpation d’identité
- Couverture des frais d’enquête forensique post-incident
- Assistance juridique pour les démarches de récupération des fonds
- Un plafond d’indemnisation cohérent avec votre exposition réelle (sur le marché suisse, les garanties pour ce type de risque varient généralement entre 50 000 et 500 000 CHF selon la taille de l’entreprise)
Les assureurs poseront en contrepartie des conditions légitimes : existence d’une procédure de double validation des virements, formation des collaborateurs aux risques d’ingénierie sociale, séparation des fonctions dans la comptabilité. Ces exigences ne sont pas des obstacles – elles indiquent que votre organisation est assurable à des conditions raisonnables.
Ce que Bien-Assuré vérifie dans votre contrat pour vous
Chez Bien-Assuré, nous analysons vos contrats en place pour identifier précisément ce qui est couvert – et ce qui ne l’est pas. Nous lisons les exclusions, comparons les offres du marché suisse et vous aidons à trouver une couverture adaptée à votre activité professionnelle – pas seulement une police qui protège contre le ransomware tout en laissant la fraude au président sans filet.
Notre approche est comparative et orientée vers vos besoins réels. Nous ne vous vendons pas un produit standard : nous vous aidons à comprendre ce que vous signez.
Prévention et assurance : les deux piliers d’une stratégie efficace
L’assurance ne remplace pas la prévention – et les assureurs eux-mêmes ne s’y trompent pas, puisqu’ils conditionnent souvent leur garantie à l’existence de procédures internes solides.
L’OFCS recommande aux entreprises suisses plusieurs mesures concrètes :
- Instaurer une procédure de rappel téléphonique systématique avant tout virement exceptionnel – en utilisant un numéro connu de l’entreprise, jamais celui fourni dans l’email suspect.
- Ne jamais traiter un ordre de virement qualifié d' »urgent et confidentiel » en dehors du circuit habituel de validation.
- Assurer la formation des collaborateurs comptables et financiers à reconnaître les signaux d’alerte : adresse email légèrement modifiée, numéro inconnu, pression au secret, demande de contourner les procédures.
- Mettre en place une règle de double signature pour tous les virements dépassant un seuil défini.
- Limiter les informations publiées sur les organigrammes et les responsables financiers sur le site web et les réseaux sociaux de l’entreprise.
Ces mesures réduisent le risque, mais ne l’éliminent pas. La sophistication croissante des attaques – deepfakes audio, usurpation d’adresse email quasi parfaite, IA générative – rend la vigilance humaine seule insuffisante.
Une couverture assurantielle adaptée reste donc nécessaire, en complément d’une organisation interne rigoureuse. Si vous souhaitez aller plus loin dans la protection des actifs matériels et financiers de votre entreprise, nous vous invitons à faire auditer l’ensemble de vos contrats en place.
La fraude au président est un risque réel, documenté, et en forte progression en Suisse. Ne laissez pas une clause d’exclusion enfouie dans vos conditions générales décider du sort de votre trésorerie. Les travaux de la FINMA sur les risques de fraude numérique confirment que les entreprises qui anticipent sont celles qui limitent les dégâts. Contactez-nous pour une analyse de votre couverture actuelle.
