.svg)
.svg)
.svg)
.svg)
Avant, déjouer une arnaque tenait à pas grand-chose. Une faute dans un email, une adresse bizarre, un ton qui ne collait pas. Ces petits signaux qui mettaient la puce à l'oreille sont en train de disparaître. Aujourd'hui, un fraudeur peut imiter la voix de votre dirigeant au téléphone, ou son visage en visioconférence, avec un rendu qui trompe des salariés aguerris.
Le deepfake (on dit hypertrucage en français, mais presque personne n'emploie le mot) n'a plus rien d'une curiosité de laboratoire. C'est devenu un outil de fraude du quotidien, et il ne fait pas de tri par taille d'entreprise. Voici les 5 scénarios à avoir en tête, et les réflexes qui les font capoter.
Une fraude par deepfake utilise l'intelligence artificielle pour imiter la voix ou le visage d'une personne de confiance, dirigeant, collègue ou fournisseur. L'objectif est de tromper un salarié pour obtenir un virement, des données confidentielles ou un accès, en exploitant l'urgence et l'autorité.
Deux choses expliquent que le sujet ne soit plus réservé aux grands groupes.
Le clonage vocal résume bien le basculement. D'après le rapport "Beware the Artificial Impostor" de McAfee, 3 secondes d'audio suffisent pour produire une copie de voix fidèle à 85 %. Avec quelques échantillons de plus, on grimpe à 95 %.
Ces trois secondes, un fraudeur les déniche sans effort : une vidéo d'entreprise, un podcast, un webinaire, une prise de parole filmée. La matière première du deepfake est publique, gratuite et déjà en ligne. Quant aux outils pour le fabriquer, ils sont à la portée de n'importe qui.
Croire que seuls les grands groupes sont visés, c'est se tromper de cible, et baisser la garde au mauvais moment. Les entreprises de taille moyenne sont devenues des proies de choix. La logique du fraudeur est simple : elles brassent assez d'argent pour que l'attaque en vaille la peine, leurs procédures internes sont moins verrouillées que dans un grand groupe, et quand le patron demande quelque chose, on discute rarement.
Une PME n'est pas passée inaperçue. Pour un fraudeur, c'est juste un bon rapport effort/gain. L'une des nouvelles menaces liées à l'IA qu'aucune entreprise ne peut plus ignorer.
Cinq scénarios concentrent l'essentiel des cas aujourd'hui. Les avoir en tête, c'est déjà la moitié du chemin pour les repérer.
C'est le scénario le plus spectaculaire, et le plus parlant. En janvier 2024, un salarié du groupe d'ingénierie Arup a exécuté 15 virements, pour un total de 25,6 millions de dollars. Il sortait d'une visioconférence avec son directeur financier et plusieurs collègues. Aucun des participants n'était réel : tous étaient des deepfakes générés par IA.
Le mode opératoire est souvent le même : une demande urgente, confidentielle, qui vient d'en haut et passe par-dessus les procédures habituelles. La visioconférence, elle, ajoute une dose de crédibilité qu'un simple email n'aura jamais.
La version téléphonique de la même arnaque. Votre salarié décroche. Au bout du fil, la voix de son dirigeant, reconnaissable, et pressée. Elle réclame un virement immédiat, ou les coordonnées d'un compte, au nom d'une opération secrète à ne surtout pas ébruiter.
C'est la vieille fraude au président, sauf que le clonage vocal a fait sauter le dernier garde-fou. "J'ai reconnu sa voix" ne prouve plus rien.
Moins médiatisée, mais en nette progression. Des fraudeurs montent de fausses identités complètes : CV, profil en ligne, et même entretien vidéo mené derrière un visage généré par IA. Leur but n'est pas le salaire. C'est de mettre un pied dans l'entreprise pour atteindre ses systèmes et ses données, le plus souvent via un poste en télétravail.
D'où l'importance de la vigilance sur les usages de l'IA dans le recrutement, où vérifier l'identité d'un candidat devient un point de contrôle à part entière.
Cette fois, le fraudeur n'imite pas un dirigeant mais un interlocuteur de confiance venu de l'extérieur : un fournisseur, un prestataire, un partenaire. Un appel, un message, la bonne voix, et l'annonce d'un changement de coordonnées bancaires. Les factures suivantes filent droit sur le compte du fraudeur.
Cette fraude au faux ordre de virement explose. Le rapport d'activité 2024 de Cybermalveillance.gouv.fr est clair : les demandes d'assistance pour faux ordre de virement ont bondi de 550 % en volume chez les entreprises et les associations.
Le deepfake ne s'arrête pas à la voix et au visage. Il fabrique aussi de faux documents : une fausse pièce d'identité pour ouvrir un compte, une fausse facture, un faux justificatif, un faux contrat signé. Autant de pièces qui servent à crédibiliser une fraude ou à franchir un contrôle.
La fraude par manipulation, qui regroupe ce genre de techniques, a pesé 382 millions d'euros en 2024, d'après l'Observatoire de la sécurité des moyens de paiement de la Banque de France.
Aucun logiciel ne stoppera tous les deepfakes. La protection tient sur deux piliers, et les deux sont à votre main.
La règle de base : aucune demande sensible ne se valide sur un seul canal. Un virement, un changement de coordonnées bancaires ? Double validation, et rappel sur un numéro que vous connaissez déjà, jamais celui glissé dans la demande.
Un cran plus loin, instaurez un mot de passe de vérification interne, connu des seules personnes concernées, à dégainer dès qu'une requête sort de l'ordinaire. Ces procédures n'ont de valeur que si elles tiennent même quand le "dirigeant" s'impatiente. C'est typiquement ce qu'une gouvernance de l'IA et de la sécurité sérieuse doit verrouiller.
Et pour que tout le monde joue le jeu, ces règles gagnent à être écrites noir sur blanc. Une charte IA en entreprise est le bon endroit pour les poser et les rendre opposables.
C'est la protection numéro un. Un salarié qui sait que le deepfake existe, qui a ces 5 scénarios en tête, et qui se sent autorisé à vérifier et à dire non à une demande pressante, vaudra toujours mieux que n'importe quel logiciel. Une fraude réussit quand elle joue sur la peur de contredire un supérieur. Former vos équipes à l'IA, c'est désamorcer ce ressort-là.
Dernier point : qu'elle ait abouti ou non, une tentative se signale. La plateforme cybermalveillance.gouv.fr épaule les entreprises victimes et permet de faire remonter ces attaques aux autorités.
Pour se protéger d'une fraude par deepfake, une entreprise doit jouer sur deux tableaux : des procédures strictes de double validation pour tout virement ou demande sensible, avec rappel sur un numéro connu, et la formation des équipes pour reconnaître une demande suspecte et oser la vérifier.
La technologie qui rend ces fraudes possibles ne va pas ralentir. Vouloir distinguer le vrai du faux à l'œil nu, c'est déjà une bataille perdue d'avance. Ce qui protège vraiment une entreprise, ce n'est pas un détecteur miracle. C'est une organisation qui a anticipé : des procédures nettes, des équipes au courant, et une culture où vérifier une demande ne vexe personne.
Les entreprises qui forment leurs équipes sur le sujet ne virent pas parano. Elles deviennent simplement difficiles à berner.
Expliquez-nous vos objectifs, nous vous guiderons vers la formation IA la plus adaptée.
.svg)
Formations IA concrètes et accompagnement sur mesure pour les entreprises françaises.
Déclaration d'activité enregistrée sous le numéro 11757544075 auprès du préfet de région d'Île-de-France. Cet enregistrement ne vaut pas agrément d'État.
.svg){kind=small}
.svg)
.svg){kind=small}
.svg){kind=small}
.svg){kind=small}