Ce 9 avril 2026, une nouvelle secoue le monde financier et technologique : Zephyr Energy plc, une société britannique cotée à Londres et spécialisée dans l'exploitation pétrolière et gazière, a révélé que l'une de ses filiales américaines a été victime d'un cyber incident d'une efficacité redoutable. Ce n'est pas une paralysie de serveur ou une fuite de données clients qui est rapportée, mais un vol pur et simple : environ 700 000 livres sterling, soit près de 820 000 euros, ont été détournés en un seul virement bancaire. L'attaque a consisté à rediriger un paiement destiné à un contractant légitime vers un compte contrôlé par des attaquants. Au-delà de la perte financière sèche pour l'entreprise, c'est la réalité des menaces invisibles qui frappe aux portes des sociétés industrielles. Comment un tel montant peut-il disparaître sans déclencher d'alerte automatique, et surtout, quelles sont les failles humaines ou techniques qui ont permis ce tour de passe-passe numérique ? Un ordinateur portable affichant un cadenas numérique bleu sur fond de données avec la mention 'Cyber Attack' en rouge.
Zephyr Energy : quand un contrat pétrolier dans les Rocheuses se transforme en piège financier
Pour comprendre pourquoi Zephyr Energy a été ciblée, il faut regarder de plus près la structure de l'entreprise. La société est cotée sur le marché AIM de Londres, ainsi que sur les plateformes OTCQB aux États-Unis et à Francfort. Ses opérations sont exclusivement concentrées dans la région des Rocheuses américaines, un secteur géographique stratégique pour les hydrocarbures. Cette structure internationale implique des flux financiers constants entre le Royaume-Uni et les États-Unis, avec une multitude de paiements interentreprises destinés à des contractants, des sous-traitants et des fournisseurs locaux. C'est dans ce maillage complexe de transactions transatlantiques que les attaquants ont trouvé leur point d'entrée.
Profil de la cible : pétrole, gaz et filiales américaines — un terrain propice
Cette dispersion géographique crée un environnement propice aux erreurs de vigilance. Les équipes comptables, basées à Londres ou dans d'autres centres financiers, peuvent être situées à des milliers de kilomètres des opérations terrain, traitant des factures pour des services qu'ils ne voient pas. Cette distance opérationnelle, couplée à la complexité des marchés de l'énergie, oblige à une confiance accrue dans les processus documentaires. C'est précisément cette zone d'ombre que les cybercriminels exploitent : ils savent qu'une facture venant d'une filiale américaine sera souvent validée plus rapidement par habitude que par contrôle rigoureux. Les attaquants ont profité de cette fragmentation pour insérer leur propre compte dans la chaîne de paiement.
Le déroulé minute par minute : un virement unique et des fonds évaporés
Le scénario rapporté par l'entreprise fait froid dans le dos par sa simplicité apparente. Selon les informations communiquées aux autorités et aux actionnaires via Yahoo Finance, un paiement unique a été détourné. Il ne s'agit pas d'une série de virements de faible montant qui auraient pu être repérés par un algorithme de détection d'anomalies, mais d'une transaction unique et massive. L'entreprise décrit l'attaque comme « hautement sophistiquée », une description qui peut sembler paradoxale pour un simple changement de coordonnées bancaires. Cependant, la sophistication réside moins dans l'outil technique que dans l'ingénierie sociale mise en œuvre pour amener un employé à valider ce changement sans vérification. Les attaquants ont vraisemblablement usurpé l'identité du contractant légitime en modifiant les coordonnées bancaires enregistrées dans le système de Zephyr Energy.
Business Email Compromise : l'arnaque qui ne nécessite ni virus ni code informatique
Si l'affaire Zephyr Energy fascine, c'est parce qu'elle illustre à la perfection l'une des techniques de cybercriminalité les plus lucratives et pourtant les moins médiatisées : le Business Email Compromise (BEC). Contrairement aux idées reçues, cette arnaque ne repose pas sur une prouesse technique de hacking informatique au sens hollywoodien du terme. Il n'y a pas besoin de percer des systèmes de sécurité militaires en tapant frénétiquement sur un clavier vert. Le BEC repose avant tout sur la manipulation humaine, l'usurpation d'identité et l'abus de confiance, comme le soulignent les statistiques récentes du secteur.
Usurpation d'identité et détournement de coordonnées bancaires : la mécanique BEC
Les antivirus et les pare-feux traditionnels sont souvent impuissants car l'e-mail d'arnaque ne contient aucun maliciel. Il s'agit d'un simple texte, ressemblant à s'y méprendre à une communication professionnelle standard, envoyé depuis un compte piraté ou imité. Le mécanisme est terrifiant de simplicité. Tout commence par la compromission d'une boîte e-mail, souvent via un simple phishing ou par l'achat d'identifiants sur le dark web. Une fois à l'intérieur, les attaquants ne font rien. Ils observent, ils analysent les flux financiers, ils comprennent la hiérarchie, les habitudes de paiement et le ton employé entre les collègues. Puis, au moment propice — juste avant un paiement important — ils interviennent. Ils peuvent soit modifier la facture reçue en remplaçant l'IBAN par le leur, soit se faire passer pour le fournisseur en envoyant un e-mail de mise à jour bancaire urgente. Main tenant un smartphone affichant une alerte de rançonlogiciel sur fond rouge.
Une industrie florissante : l'ampleur statistique de la menace
Pour mesurer l'ampleur de ce fléau, il suffit de consulter les rapports spécialisés. Selon les données analysées par HoxHunt, les attaques de Business Email Compromise représentaient 73 % de tous les incidents cyber signalés en 2024. C'est une majorité écrasante qui démontre que le piratage informatique a changé de nature : on ne vole plus seulement des données, on vole directement de l'argent en profitant de la confiance interpersonnelle au sein des entreprises. Ce type de fraude est devenu le moteur principal des pertes financières liées à la cybersécurité, dépassant désormais les ransomwares traditionnels en fréquence et en impact immédiat sur la trésorerie.
Quatorze mille milliards de dollars en 2028 : la cybercriminalité, troisième économie mondiale
L'incident chez Zephyr Energy n'est malheureusement qu'une goutte d'eau dans un océan de pertes financières mondiales. Si l'on zoome sur l'économie cyber dans sa globalité, les chiffres donnent le vertige. Le rapport Munich Re Cyber Insurance 2026 dresse un tableau alarmant de l'évolution du secteur. Le coût mondial de la cybercriminalité devrait atteindre 14 000 milliards de dollars d'ici 2028. Pour se rendre compte de l'ampleur de ce montant, il faut le comparer au PIB des nations : cette somme ferait de la cybercriminalité la troisième économie mondiale, devancée seulement par les États-Unis et la Chine, et devant des géants économiques comme l'Allemagne, le Japon et l'Inde combinés.
Le secteur de l'énergie dans le collimateur des cybercriminels
Les vecteurs de ces pertes sont bien identifiés dans le rapport Munich Re. Quatre moteurs principaux alimentent les pertes assurées : le ransomware, les violations de données, le Business Email Compromise (BEC) et les attaques par déni de service (DDoS). Zephyr Energy est une victime typique de ce troisième pilier. Le rapport souligne également que 64 % des organisations s'attendent à être ciblées dans un avenir proche. Ce n'est plus une question de « si », mais de « quand ». Parmi tous les secteurs d'activité, celui de l'énergie occupe une place de choix dans le viseur des cybercriminels. Pourquoi les infrastructures critiques paient-elles sans discuter ? Parce que les contrats y sont colossaux et les enjeux opérationnels immédiats. Un employé en détresse face à des écrans d'ordinateur affichant une alerte de piratage système dans un bureau
Détournement de paiement contre ransomware : l'évolution silencieuse des criminels
Il est intéressant de noter une mutation dans les méthodes opératoires des groupes cybercriminels. Pendant longtemps, le ransomware a été la reine des menaces, monopolisant l'attention des médias. Le principe était simple : chiffrer les données de l'entreprise et exiger une rançon pour la clé de déchiffrement. C'est une attaque bruyante, visible, et qui oblige souvent l'entreprise à communiquer publiquement sur l'incident. Cependant, cela attire aussi l'attention des forces de l'ordre. Aujourd'hui, une tendance de fond se dessine en faveur du détournement de paiement, comme dans le cas de Zephyr. Pour les criminels, c'est une approche bien plus rationnelle : pas de virus complexe à développer, pas de négociation, et l'argent est parti instantanément.
Deepfake à Hong Kong, 24 millions d'euros en vidéoconférence : la nouvelle ère de l'arnaque au PDG
Si l'arnaque par e-mail est déjà dévastatrice, l'avenir nous réserve des scénarios qui tiennent davantage de la science-fiction. L'affaire de Hong Kong survenue en février 2024 marque un tournant décisif dans l'histoire de la fraude au président. Une entreprise y a perdu la somme astronomique de 26 millions de dollars (environ 24 millions d'euros) suite à une escroquerie impliquant des deepfakes en vidéoconférence, rapportée par Challenges. Un employé du département financier a reçu un message, soi-disant du directeur financier (CFO), lui demandant de procéder à une transaction secrète et urgente. Ce qui a rendu l'arnaque irrésistible, c'est la confirmation visuelle.
Reconstitution de l'arnaque parfaite : quinze virements et des visages trompeurs
L'employé, qui avait initialement des doutes selon les détails rapportés par L'Usine Digitale, a participé à une réunion vidéo où il a « vu » le directeur financier ainsi que d'autres collègues connus de l'entreprise. Ils discutaient de la transaction, répondaient à ses questions en temps réel. En réalité, chaque personne à l'écran était un deepfake généré par intelligence artificielle. Les criminels avaient utilisé des vidéos accessibles publiquement sur YouTube — des interviews ou des conférences des dirigeants — pour entraîner des modèles d'IA capables de cloner leurs voix et leurs visages. Lors de cette réunion, l'employé a validé la transaction. Convaincu par la preuve visuelle et auditive, il a procédé à quinze virements distincts, totalisant 200 millions de dollars de Hong Kong.
De l'e-mail manipulé au visage cloné : le BEC de demain sera invisible
L'évolution entre l'affaire Zephyr Energy et l'affaire de Hong Kong nous donne un aperçu terrifiant de ce qui nous attend. Si aujourd'hui, un simple e-mail falsifié suffit à voler 700 000 livres à une société cotée, imaginez ce qui se passera lorsque les outils de deepfake audio et vidéo seront démocratisés. Dans quelques années, le BEC pourrait se dérouler ainsi : un comptable reçoit un appel vidéo de son PDG, en voyage d'affaires à l'autre bout du monde. Le visage est parfait, la voix est juste, le fond de l'écran correspond à l'hôtel où le PDG est censé se trouver. Le PDG demande un virement urgent pour une acquisition confidentielle. Le comptable, face à cette évidence visuelle, exécute l'ordre sans la moindre hésitation. Aucun mot de passe ne sera volé, aucun e-mail ne sera intercepté. C'est l'humain qui deviendra le seul et unique « firewall » face à une IA capable de générer n'importe quelle personnalité à la demande.
Action en chute de 4,4 %, enquête ouverte et fonds jamais retrouvés : le lendemain du piratage
Revenons aux conséquences immédiates pour Zephyr Energy. L'annonce de ce piratage n'est pas restée sans effet sur les marchés financiers. Dès la publication de la nouvelle, l'action de la société a chuté de 4,4 % pour atteindre 3,25 pence, comme le note AJ Bell. C'est une sanction sévère mais logique de la part des investisseurs, qui traduisent leur inquiétude quant à la solidité des contrôles internes de l'entreprise. Dans le secteur de l'énergie, où la confiance et la gestion rigoureuse des flux de trésorerie sont primordiales, une telle erreur est perçue comme un sérieux manque de maîtrise.
« Plus que suffisant » : la communication de crise sous tension
L'entreprise a réagi en urgence, ouvrant une enquête et notifiant les autorités compétentes aux États-Unis et au Royaume-Uni. Zephyr travaille désormais en étroite collaboration avec ses banques et des consultants en cybersécurité de premier plan pour tenter de tracer les fonds volés. Le conseil d'administration a immédiatement cherché à rassurer en affirmant que l'incident était « contenu » et que les opérations continuaient « normalement ». Le communiqué précise également que le capital de travail de l'entreprise est « plus que suffisant » pour absorber cette perte sans impact sur les opérations en cours. Ce vocabulaire est soigneusement choisi pour éviter la panique, mais la chute de l'action indique que les investisseurs restent prudents face aux coûts cachés de l'incident, notamment liés à la remise à niveau des systèmes de sécurité et aux potentiels litiges.
Récupérer l'argent volé : une course contre la montre souvent perdue d'avance
La procédure de récupération des fonds après un détournement de paiement est un parcours du combattant. Dès que l'alerte est donnée, les banques tentent de geler les comptes de réception. Cependant, les criminels anticipent désormais systématiquement cette étape. Les 700 000 livres volées à Zephyr Energy n'ont probablement pas séjourné longtemps sur le premier compte destinataire. Elles ont été fractionnées et « mixées » avec d'autres fonds légitimes, avant d'être renvoyées vers une multitude de comptes secondaires, éventuellement situés à l'étranger, en Asie ou en Europe de l'Est. Cette technique, appelée « money mule » ou « layering », permet de brouiller les pistes financières de manière quasi définitive. Pour les entreprises victimes, les chances de récupérer l'intégralité de la somme sont statistiquement faibles.
Conclusion
L'affaire du piratage de Zephyr Energy n'est pas une histoire isolée de hackers surdoués ciblant une grosse entreprise pétrolière pour le frisson. Elle est le symptôme d'une menace systémique qui pèse sur toute l'économie numérique. Ce vol de 700 000 livres, orchestré via un simple détournement de paiement, met en lumière le véritable talon d'Achille de nos organisations : l'humain. Ce n'est pas le pare-feu qui a failli, ni le logiciel de chiffrement insuffisant. C'est la capacité d'un attaquant à manipuler la confiance pour qu'un bouton soit enfoncé. Les statistiques le prouvent, les attaques de Business Email Compromise représentent désormais la majorité des incidents cyber, dépassant largement les virus traditionnels.
Nous entrons dans une ère où la distinction entre le vrai et le faux s'efface. L'arnaque au président par deepfake à Hong Kong nous a montré que le visage et la voix ne sont plus des preuves d'identité fiables. Chaque lecteur de cet article, qu'il soit dirigeant de PME, employé d'un service comptable ou simplement particulier gérant ses finances en ligne, est une cible potentielle. La prochaine arnaque ne sera peut-être pas un virus qui bloque votre ordinateur, mais un appel vidéo de votre supérieur hiérarchique vous demandant un virement urgent. La question n'est plus de savoir si une telle tentative vous arrivera, mais comment vous réagirez quand elle se produira. Vigilance, vérification et doute systématique sont désormais les seuls remparts efficaces contre cette délinquance invisible.
