Usurpation d’identité de personnes de confiance : risques d’ingénierie sociale pour les individus ultra-fortunés et les family offices

Les attaques par usurpation d’identité surviennent via différents canaux et exploitent différentes relations, mais chacune est conçue pour agir plus vite que la capacité de réaction des personnes ciblées. Les formes les plus courantes affectant les foyers UHNW et les family offices sont décrites ci-dessous.

Lorsque des acteurs malveillants usurpent l’identité de conseillers de confiance — avocats, gestionnaires de patrimoine, directeurs financiers, dirigeants de family office — l’objectif est presque toujours le même : rediriger des fonds ou modifier des instructions de paiement avant que quiconque ne vérifie la demande. Les autorités classent ce type d’attaque dans la catégorie des « Business Email Compromise » (BEC), et le volume ainsi que l’ampleur des pertes documentées témoignent de son efficacité constante^.1

Pour les foyers UHNW, le volume et la complexité des activités financières créent une exposition particulière : les transactions sont fréquentes, impliquent plusieurs parties et sont souvent sensibles au facteur temps, ce qui rend une demande bien formulée et bien synchronisée difficile à remettre en question.

• Scénario : Un e-mail falsifié arrive, semblant provenir de l’avocat chargé de la succession familiale, envoyé un mardi après-midi et faisant référence à une vente immobilière en mentionnant correctement l’adresse du bien. La contrepartie est un interlocuteur avec lequel la famille a déjà travaillé. Le message explique que le cabinet a récemment changé d’établissement bancaire et fournit de nouvelles instructions de virement pour le règlement final, en demandant que cette modification reste confidentielle jusqu’à la clôture de l’opération. Toutefois, un caractère dans le nom de domaine de l’expéditeur est inversé — un simple trait d’union supplémentaire, facile à manquer sur un écran de téléphone. Le virement est effectué avant que quiconque ne pense à appeler. Seule une récupération financière partielle a finalement été possible via la banque.

Enjeu : Les virements sont rarement rappelés à temps, et la perte financière — souvent irrécupérable — peut finalement être secondaire par rapport à ce que l’attaquant comprend désormais des mécanismes financiers du foyer : qui valide, qui communique et à quoi ressemble le processus en interne. Cette connaissance ne disparaît pas une fois la transaction terminée, et la tension réputationnelle avec les institutions financières peut perdurer bien au-delà de l’incident lui-même.

Les plateformes de messagerie et les outils collaboratifs présentent un type d’exposition différent de celui des e-mails, et que la plupart des foyers et des structures n’ont pas encore pleinement intégré. Le caractère informel de ces environnements réduit la vigilance ; la rapidité de réponse est supposée, et toute demande de ralentir pour vérifier introduit une friction. Les attaquants opèrent au sein des plateformes déjà utilisées par le foyer ou l’organisation, développant progressivement une familiarité à travers des échanges informels afin de normaliser une demande d’identifiants, d’approbation, de scan de QR code ou d’accès à un portail documentaire^.2 

• Scénario : Un membre du personnel domestique reçoit un message sur une plateforme collaborative, semblant provenir d’un membre de la famille — avec le bon nom affiché, un ton cohérent avec les échanges précédents et une référence incidente à une transaction immobilière déjà en cours. La conversation progresse sans précipitation sur plusieurs jours avant d’évoluer vers une demande de consultation de documents via un portail externe. L’employé se connecte. Le compte est compromis de manière silencieuse pendant trois semaines avant que la faille ne soit détectée lors d’un audit informatique de routine. 

Enjeu : Un compte compromis sans bruit peut ne révéler immédiatement aucun signe visible, comme une transaction frauduleuse, mais offre à un attaquant plusieurs semaines d’accès passif aux communications internes. Cet accès permet de construire une vision opérationnelle du foyer : déplacements du principal, gestion financière, fournisseurs de confiance, processus de validation. Chaque élément réduit l’effort nécessaire pour la prochaine attaque, qu’il s’agisse d’un BEC plus ciblé, d’une substitution frauduleuse de fournisseur ou d’une exploitation des mouvements physiques et dispositifs de sécurité. 

Les arnaques à l’urgence familiale exploitent la peur qu’un proche soit en danger. Ce type de fraude existe depuis des décennies, mais la synthèse vocale par IA a considérablement renforcé sa crédibilité. Quelques secondes d’audio disponible publiquement suffisent désormais à produire une imitation convaincante de la voix d’un membre de la famille, et dans un contexte de stress et d’urgence, cette imitation est rarement remise en question. Les deepfakes vidéo ont étendu cette capacité au visuel, permettant de créer des scénarios de détresse entièrement à partir de contenus publics. 

• Scénario : Un responsable de family office reçoit un appel un après-midi depuis un numéro enregistré sous le nom d’un membre de la famille. La voix est immédiatement reconnaissable, y compris son rythme et son accent. La personne affirme appeler depuis l’étranger et signale un incident. Elle a besoin d’une assistance juridique avant la fin de la journée et préfère que ses parents ne soient pas informés pour l’instant. La responsable commence à préparer les instructions de virement avant de poser le téléphone et de rappeler via l’annuaire interne. Le membre de la famille répond depuis son bureau à domicile. La voix utilisée lors de l’appel avait été clonée à partir d’un enregistrement public d’une conférence plusieurs mois auparavant. 

Enjeu : Les pertes financières, lorsqu’elles surviennent, sont parfois récupérables. L’érosion de la confiance au sein de la famille — la méfiance durable, l’hésitation avant de répondre à un numéro familier — est plus difficile à quantifier et tend à perdurer bien au-delà de l’incident. 

L’enlèvement virtuel ne nécessite aucun accès aux systèmes ni relation préalable avec la cible. Il repose entièrement sur la peur, la pression temporelle et la difficulté de vérifier indépendamment la sécurité d’un proche au moment de l’appel. L’IA a introduit la preuve de vie synthétique, notamment des photos et vidéos manipulées pour simuler une détresse, rendant les demandes plus crédibles et permettant à l’attaquant de gagner du temps avant que la famille ne puisse vérifier la situation. ⁵

• Scénario : Une dirigeante reçoit un appel un vendredi soir affirmant que son fils adulte a été enlevé. En quelques secondes, une vidéo arrive montrant un jeune homme en détresse dans un lieu inconnu. L’appelant avertit que contacter la police ou d’autres membres de la famille mettrait immédiatement son fils en danger et exige un transfert en cryptomonnaie dans les deux heures. Le téléphone du fils tombe sur messagerie. Elle est à quarante minutes d’effectuer le paiement lorsqu’un autre membre de la famille parvient à le joindre via un contact professionnel. Il est chez lui, son téléphone étant simplement déchargé. La vidéo avait été créée à partir de contenus publics issus de ses réseaux sociaux.

Enjeu : Même sans paiement, les familles subissent un préjudice psychologique réel. Celles qui paient ne récupèrent presque jamais les fonds, et l’incident peut évoluer vers des préoccupations de sécurité physique nécessitant des mesures de protection durables.

La fraude au SIM swap cible un élément souvent négligé : le numéro de téléphone sous-jacent. Une fois ce numéro contrôlé, l’accès aux comptes suit.^{6 7}

• Scénario : Une dirigeante assiste à une conférence publique. Pendant son déplacement, un attaquant contacte son opérateur, passe les vérifications d’identité grâce à des informations publiques et transfère le numéro en moins de quinze minutes. Le soir même, les codes SMS arrivent sur un autre appareil. L’attaquant accède à ses comptes et initie une demande de transfert crédible. La fraude est détectée par la banque. 

Enjeu : Compromission simultanée des comptes personnels et professionnels, avec un processus de remédiation long et une atteinte durable à la réputation. 

Les attaques fondées sur l’usurpation d’identité visant les foyers UHNW et les family offices augmentent en fréquence et en sophistication, mais les dommages qu’elles causent ne sont pas inévitables. Les organisations les mieux positionnées pour en limiter l’impact ont mis en place les bons réflexes, protocoles et contrôles bien avant qu’ils ne soient nécessaires. Les principales recommandations incluent : 

1. Mettre en place des protocoles de vérification formels 

La vérification obligatoire hors bande constitue le contrôle le plus efficace contre la fraude financière fondée sur l’usurpation d’identité. Toute transaction ou modification d’instructions de paiement au-delà d’un seuil défini doit faire l’objet d’un rappel vers un numéro issu des propres registres de la famille — jamais celui fourni dans la demande. Une phrase secrète familiale convenue en personne offre aux principaux et à leurs équipes un élément que le clonage vocal par IA ne peut reproduire, et constitue un moyen de vérification fiable dans les situations d’urgence. La double validation pour les transferts de grande valeur doit être maintenue, quelle que soit l’urgence apparente de la demande. 

• Mettre en œuvre une vérification hors bande obligatoire pour les transactions financières.
• Utiliser des phrases secrètes familiales préalablement convenues pour les situations d’urgence.
• Exiger une double autorisation pour les transferts de grande valeur.⁸

2. Renforcer les contrôles d’identité et d’authentification 

Les protocoles de vérification et les contrôles d’authentification traitent des aspects différents d’un même problème, et aucun ne remplace totalement l’autre. L’authentification basée sur SMS est précisément le mécanisme exploité par les attaques de type SIM swap, et elle reste la méthode par défaut pour de nombreux comptes ; la transition vers une authentification multifacteur résistante au phishing (MFA) ou vers des passkeys permet de combler cette vulnérabilité. Les protections au niveau des opérateurs — telles que le verrouillage du numéro et les codes PIN de portabilité — traitent la faille à la source, avant même qu’un attaquant n’accède à un compte. 

• Passer de l’authentification par SMS à une MFA résistante au phishing ou à des passkeys lorsque cela est possible.
• Activer les protections opérateur telles que le verrouillage du numéro et les codes PIN de portabilité (port-out).⁹

3. Réduire l’exposition publique 

Une grande partie des éléments exploités dans ces attaques provient des principaux eux-mêmes et de leur entourage : échantillons vocaux issus de podcasts ou d’interventions publiques, scénarios d’enlèvement virtuel construits à partir de photographies publiées et de données de localisation en temps réel, ou encore habitudes de déplacement révélées via des publications en cours de voyage. Réduire l’empreinte publique des principaux, des membres de la famille et du personnel limite la quantité d’informations disponibles pour un acteur malveillant motivé. Des évaluations périodiques de l’exposition en sources ouvertes permettent d’identifier ce qui est accessible et d’y remédier avant exploitation. 

• Limiter le partage en temps réel des informations de voyage et des contenus familiaux.
• Réaliser des évaluations périodiques de l’exposition en sources ouvertes (OSINT).¹⁰

4. Former et s’entraîner 

Les contrôles et la réduction de l’exposition sont essentiels, mais ils ne suffisent pas à préparer les équipes à réagir correctement lorsqu’un incident est déjà en cours. Les exercices de simulation (tabletop) couvrant des scénarios de BEC, de clonage vocal et d’enlèvement virtuel permettent de développer des réflexes que des procédures écrites seules ne peuvent inculquer. Une checklist de réponse synthétique, sur une page, offre au personnel du foyer et du family office un cadre clair à suivre dans des situations de forte pression, où l’ordre des actions est déterminant. 

• Organiser des exercices de simulation pour des scénarios d’usurpation d’identité avec le personnel du foyer et du family office.
• Élaborer et diffuser une checklist concise de réponse aux incidents d’usurpation.
• Mettre en place et tester des protocoles de contact rapide avec les banques, les opérateurs télécoms et les équipes de sécurité.¹¹

*Les scénarios présentés dans ce document sont des illustrations hypothétiques et composites basées sur des schémas d’attaque documentés et ne correspondent pas à des incidents spécifiques. 

Les familles ultra-fortunées font face à des risques cyber croissants. Le service CISO On-Demand de Crisis24 Private Strategic Group offre une protection discrète 24/7 adaptée à votre profil de risque.  

En savoir plus

¹ Federal Bureau of Investigation (FBI). Business email compromise (BEC)—Common frauds and scams. https://www.fbi.gov/how-we-can-help-you/scams-and-safety/common-frauds-and-scams/business-email-compromise
² Checkpoint Research. Microsoft Teams impersonation and spoofing vulnerabilities exposed. https://research.checkpoint.com/2025/microsoft-teams-impersonation-and-spoofing-vulnerabilities-exposed/
³ Federal Trade Commission (FTC). Scammers use AI to enhance their family emergency schemes. https://consumer.ftc.gov/consumer-alerts/2023/03/scammers-use-ai-enhance-their-family-emergency-schemes
⁴ Federal Communications Commission (FCC). Deepfake audio and video: How AI makes robocalls and scam texts harder to spot. https://www.fcc.gov/consumers/guides/deep-fake-audio-and-video-links-make-robocalls-and-scam-texts-harder-spot
^{5 8 10}Federal Bureau of Investigation (FBI). Criminals using altered “proof-of-life” media to extort victims in virtual kidnapping scams. https://www.fbi.gov/investigate/cyber/alerts/2025/criminals-using-altered-proof-of-life-media-to-extort-victims-in-virtual-kidnapping-for-ransom-scams
^{6 9} Federal Communications Commission (FCC). Cell phone fraud. https://www.fcc.gov/cell-phone-fraud
⁷ Federal Communications Commission (FCC). Protecting consumers from SIM swap and port-out fraud. 
¹¹  JPMorgan Chase & Co. Defending against business email compromise. https://www.jpmorgan.com/content/dam/jpm/commercial-banking/insights/cybersecurity/defending-against-business-email-compromise.pdf