Les cybercriminels ont progressivement intégré la réalité suivante : le maillon faible n’est plus principalement technique, il est humain. Les infrastructures se sont durcies, les correctifs se déploient plus rapidement et les outils de détection gagnent en maturité. 

En revanche, les processus métiers reposent toujours sur des validations manuelles, des échanges d’emails et des arbitrages réalisés sous contrainte de temps. Exploiter la confiance, l’autorité ou l’urgence s’avère souvent plus efficace que de tirer profit d’une vulnérabilité logicielle.

Selon l’édition 2025 du Data Breach Investigations Report de Verizon, la part des compromissions de données imputables à l’humain est de 60 % : le détournement d’identifiants ou l’ingénierie sociale, comme le phishing, sont les principaux vecteurs dans ce type d’incident.

D’après l’analyse publiée par Anozrway sur les métiers les plus exposés aux cyberattaques en 2025, les professionnels du marketing et de la communication se trouvent particulièrement vulnérables du fait de leur forte exposition numérique, notamment via l’usage intensif d’emails professionnels. 

L’étude, qui s’appuie sur l’analyse d’environ 18 000 empreintes numériques, montre que près de 27 % des profils communication-marketing présentent un niveau de risque élevé ou très élevé, lié notamment à des adresses email professionnelles qui figurent dans des fuites de données publiques. 

Cette exposition facilite la mise en œuvre d’attaques par ingénierie sociale, phishing ou usurpation d’identité, faisant de ces métiers des vecteurs d’accès privilégiés pour les attaquants cherchant à exploiter des comptes légitimes (utiliser un identifiant et des droits d’accès valides appartenant à un collaborateur réel pour mener une action malveillante).

Les directions générales des entreprises constituent également des cibles de choix pour les cybercriminels. 

La fraude au président, ou FOVI (Faux Ordre de Virement), en est l’illustration la plus emblématique. Le principe repose sur une mécanique d’usurpation d’identité : un attaquant se fait passer pour le PDG, le DAF ou un avocat mandaté, et contacte un collaborateur habilité à effectuer des virements pour lui ordonner une transaction urgente et confidentielle. La pression hiérarchique, l’urgence simulée et le secret imposé constituent un levier psychologique particulièrement efficace.

Le dernier rapport annuel de l’IC3 (FBI) confirme l’ampleur croissante du phénomène. En 2024, les pertes mondiales dues aux cyberattaques ont atteint le montant record de 16,6 milliards de dollars, soit une hausse de 33 % en un an. Au cœur de ce bilan, la fraude au virement demeure la menace financière la plus coûteuse avec 2,77 milliards de dollars de préjudices directs. 

Mais la menace ne s’arrête pas au virement frauduleux. Les dirigeants sont également ciblés par le whaling, variante du phishing spécifiquement conçue pour les profils à hauts privilèges, ainsi que par des campagnes de compromission de leur messagerie professionnelle. L’objectif peut alors dépasser le gain financier immédiat : exfiltrer des informations stratégiques, préparer une opération de déstabilisation ou accéder à l’ensemble du système d’information via les droits étendus dont disposent certains cadres dirigeants.

Les directions des ressources humaines (RH) figurent parmi les cibles privilégiées des cyberattaquants, notamment à travers leurs campagnes d’ingénierie sociale. 

La raison est simple : ces directions centralisent des données personnelles exploitables et interviennent dans des processus sensibles comme la paie et la gestion des régimes complémentaires santé et prévoyance.

Cette exposition s’explique également par la place des RH dans la gestion des identités et des accès. Les équipes traitent des demandes de création de comptes, de changement de coordonnées bancaires ou d’intégration de nouveaux collaborateurs, autant de moments propices à la manipulation.

L’exposition s’accentue dans les environnements Cloud et SaaS, où les données RH sont souvent dupliquées entre plusieurs plateformes de gestion (paie externalisée, SIRH, complémentaires santé). Chaque interface constitue un point d’entrée potentiel. La multiplication des accès tiers et des intégrations API augmente mécaniquement la surface d’attaque.

Selon le rapport Verizon DBIR, les RH sont surexposées aux fichiers malveillants dissimulés dans des CV. Au-delà du vol de données personnelles, l’objectif des attaquants est financier : le détournement de salaires via de faux changements de RIB, par exemple.

Proofpoint classe d’ailleurs ces profils parmi les « Very Attacked People », car compromettre un poste RH offre un point d’appui idéal pour infiltrer l’ensemble du réseau d’entreprise par escalade de privilèges.

De leur côté, les métiers de la sécurité informatique occupent la troisième position des professions les plus exposées dans l’étude d’Anozrway. Cette dernière met en avant des faiblesses en matière de compromission d’adresses email secondaires, de fuite de mots de passe non professionnels, et d’inscription à des sites tiers avec leur adresse email professionnelle ainsi que l’exposition de leur adresse postale.

Les informaticiens et développeurs se situent, pour leur part, en quatrième position. Leur forte présence dans les environnements numériques et la multiplicité des outils qu’ils utilisent élargissent mécaniquement leur surface d’exposition. Ici encore, l’expertise technique ne prémunit pas contre les erreurs d’usage hors cadre strictement professionnel.

Concentrant flux monétaires et habilitations permettant d’initier ou de valider des paiements, les directions financières font naturellement partie des cibles prioritaires. Les campagnes de social engineering et de Business Email Compromise y trouvent un terrain favorable, exploitant la pression opérationnelle et les chaînes de validation rapides propres à ces environnements. 

La réduction du risque repose sur des mesures techniques et organisationnelles ciblées. Le chiffrement des données sensibles, au repos comme en transit, limite l’impact d’une fuite de données ou d’une compromission de compte. Il réduit la valeur exploitable des informations financières, RH ou stratégiques en cas d’accès non autorisé.

La généralisation de l’authentification multifactorielle pour les comptes à privilèges constitue un autre socle indispensable, en particulier pour les directions financière, RH et générale. 

L’adoption d’une architecture Zero Trust s’impose également pour les profils à privilèges. Ce modèle, qui repose sur le principe de défiance systématique (« ne jamais faire confiance, toujours vérifier »), limite les mouvements latéraux en cas de compromission d’un compte direction ou RH. Concrètement, cela signifie segmenter les accès selon le principe du moindre privilège, vérifier en continu l’identité et le contexte de chaque requête, et chiffrer systématiquement les flux sensibles, qu’ils transitent en interne ou vers des services Cloud externes.

La mise en place de procédures de double validation indépendantes pour les virements sensibles permet de contenir les fraudes au président. Enfin, des campagnes régulières de sensibilisation au phishing et des simulations internes renforcent la vigilance face aux tentatives d’ingénierie sociale.

Les cyberattaques suivent désormais une logique métier. Les fonctions disposant d’accès financiers, identitaires ou stratégiques concentrent l’attention des attaquants. Cette réalité impose d’articuler gouvernance, contrôle interne et mesures techniques autour des rôles les plus exposés. La résilience ne dépend plus uniquement des outils, mais de la robustesse des pratiques quotidiennes et de la discipline organisationnelle.