Saepiens : hébergeur de données de santé HDS
  • 25/03/2026

Deepfake en entreprise : l'arnaque au président par l'IA

  • Par Maéva MARMIN
  • 10 min
  • SÉCURITÉ & CYBERSÉCURITÉ
Deepfake en entreprise : visage d'homme en costume coupé en deux, une moitié humaine et réaliste, l'autre révèle une structure numérique bleue symbolisant une identité clonée par intelligence artificielle.
Le Deepfake en entreprise : quand l'arnaque au président passe par la vidéo et la voix générées par IA

En usurpant la voix et le visage des dirigeants, les cybercriminels ont fait passer l'arnaque au président à un niveau de sophistication inédit. Désormais, des appels clonés permettent de détourner des millions d'euros en quelques minutes. Par ailleurs, les visioconférences entièrement synthétiques renforcent cette menace.

Cette menace touche toutes les entreprises, quelle que soit leur taille. C'est pourquoi ce guide fait le point sur les mécanismes d'attaque, les signaux à repérer et les protocoles concrets à mettre en place dès maintenant.

Lexique
Deepfake : Contenu audio ou vidéo généré par IA imitant une personne réelle. Du deep learning + fake.
Arnaque au président (BEC) : Usurpation d'identité d'un dirigeant pour déclencher un virement. Désormais réalisable en temps réel via voix ou vidéo clonées.
Clonage vocal : Reproduction de la voix d'une personne à partir de quelques secondes d'audio. Des outils grand public (ElevenLabs, etc.) ont ainsi démocratisé cette capacité.
OSINT : Collecte de renseignements depuis des sources publiques (LinkedIn, YouTube) pour alimenter les modèles de clonage.
Vérification hors-bande : Confirmation d'une demande via un canal différent de celui utilisé initialement (ex. : rappeler sur le numéro officiel enregistré).
Vishing : Phishing par téléphone. Associé au clonage vocal IA, il devient quasiment indétectable sans protocole adapté.

Ce que disent les chiffres

La menace deepfake n'est pas théorique : elle se traduit en pertes financières documentées et en tendances de progression alarmantes. En outre, les données disponibles permettent désormais de mesurer l'ampleur réelle du phénomène.

+3 000 % Hausse du nombre de deepfakes détectés entre 2022 et 2025, tous secteurs confondus. Onfido, Identity Fraud Report 2024
25 M$ Montant détourné lors d'une attaque deepfake en visioconférence ciblant une multinationale à Hong Kong, en janvier 2024. South China Morning Post, 2024
11 s De voix suffisent à certains outils grand public pour générer un clone vocal exploitable à des fins frauduleuses. ElevenLabs / études indépendantes, 2023

Ces chiffres confirment une réalité que les équipes de sécurité observent sur le terrain : le deepfake n'est plus réservé aux États ou aux groupes criminels sophistiqués. En effet, un simple abonnement à un outil grand public suffit désormais. Autrement dit, la barrière technique a quasiment disparu.

Comment fonctionne une attaque deepfake

Pour se défendre efficacement, il faut d'abord comprendre le déroulé précis de ces attaques. Ainsi, chaque étape révèle une fenêtre d'action dans laquelle un protocole adapté peut faire échouer la fraude.

threat_analysis.sh — analyse en cours
$ scan --target="entreprise" --threat="deepfake_arnaque_president" ▶ Initialisation du module d'analyse... [WARN] ETAPE 01 — Collecte OSINT : LinkedIn, YouTube, podcasts publics de la cible [WARN] ETAPE 02 — Clonage vocal/vidéo via ElevenLabs ou HeyGen (quelques minutes) [WARN] ETAPE 03 — Mise en scène d'urgence : acquisition confidentielle, audit, blocage ✗ ÉTAPE 04 — Virement déclenché · Transaction irréversible sous 2h · Fraude détectée +72h ▶ Protocoles de protection disponibles — voir section ci-dessous $
01
Collecte OSINT

LinkedIn, YouTube, podcasts : quelques minutes d'audio public suffisent à alimenter le modèle de clonage vocal ou facial. Ainsi, les dirigeants médiatisés sont particulièrement exposés.

02
Clonage vocal & vidéo

ElevenLabs, HeyGen : réplique sonore et avatar animé générés en quelques minutes, utilisables en temps réel lors d'un appel ou d'une visioconférence.

03
Mise en scène d'urgence

Acquisition secrète, audit fiscal surprise, blocage bancaire imminent — l'urgence artificielle inhibe le raisonnement critique et pousse à agir sans vérifier.

04
Virement & disparition

Transaction irréversible déclenchée en quelques minutes. Par conséquent, la fraude est détectée en moyenne après 48 à 72h, souvent trop tard pour bloquer les fonds.

Un exemple concret : la simulation d'appel frauduleux

Pour illustrer ce mécanisme, voici comment s'est déroulée l'attaque la plus documentée à ce jour et ce qu'un employé a entendu lors de cet appel frauduleux.

Bernard Dupont, PDG
● EN COMMUNICATION · 02:34
02:34
« Sophie, c'est Bernard. J'ai besoin d'un virement urgent de 85 000 € ce soir — acquisition confidentielle. Personne ne doit être au courant, pas même la direction. Je compte sur vous. »
« Bien sûr Monsieur Dupont, je m'en occupe immédiatement. »
Ce « PDG » n'existe pas. Sa voix a été clonée en 11 secondes à partir d'une interview YouTube publiée 3 semaines plus tôt.
Cas documenté · Hong Kong · Janvier 2024

Un comptable transfère 25 millions de dollars lors d'une fausse réunion Zoom

Un employé d'une multinationale reçoit une invitation à une réunion de crise avec son directeur financier. Or, tous les participants sont des deepfakes animés en temps réel. À l'issue de la réunion, l'employé effectue ainsi 15 virements frauduleux. Il faut donc un contact direct avec le vrai siège pour finalement découvrir l'arnaque.

25 M$
Montant détourné
15
Virements effectués
6+
Participants deepfakes
72 h
Avant détection

Les signaux qui trahissent un deepfake

Même les modèles les plus avancés laissent des traces détectables. Toutefois, encore faut-il savoir où regarder. De plus, il faut surtout avoir la présence d'esprit d'y penser au moment précis de la sollicitation.

VIDÉO AUDIO COMPORTEMENTAL
Clignements anormaux
Trop rares, trop réguliers ou absents : les modèles peinent encore à reproduire ce réflexe naturel de manière convaincante. Il s'agit donc d'un signal fiable.
Élevé
Latence vocale et débit trop régulier
Pauses inhabituelles, intonation trop uniforme, absence de bruit de fond naturel. Le locuteur synthétique manque des micro-variations propres à la parole humaine.
Élevé
Synchronisation labiale imparfaite
Léger décalage entre la voix et les mouvements de bouche, notamment sur les sons plosifs (p, b, t). Ce défaut reste ainsi l'un des plus faciles à repérer.
Moyen
Éclairage incohérent
Les ombres ne correspondent pas à la source lumineuse de l'arrière-plan. Les bords du visage peuvent présenter un léger flou ou halo.
Moyen
Pression temporelle et confidentialité absolues
Toute demande financière urgente assortie d'une consigne « n'en parlez à personne » doit déclencher une vérification immédiate, quelle que soit l'identité apparente.
Signal

Les bonnes pratiques à adopter

La bonne nouvelle est que des mesures simples et peu coûteuses réduisent drastiquement le risque. En fait, la quasi-totalité des entreprises victimes n'en avaient appliqué aucune. Voici donc, concrètement, les réflexes recommandés par l'ANSSI et les experts en sécurité.

Instaurer un mot de passe verbal

Établissez un code secret mensuel partagé entre dirigeants et équipes finance. Ainsi, toute demande sensible sans ce code doit être refusée et signalée, quel que soit l'interlocuteur apparent.

Appliquer la vérification hors-bande

Pour toute demande reçue par téléphone ou visio, raccrochez et rappelez via le numéro officiel enregistré dans votre répertoire d'entreprise. En aucun cas, ne rappelez via le numéro affiché sur l'appel entrant.

Imposer la double validation financière

Tout virement dépassant un seuil défini doit être confirmé par deux responsables distincts via deux canaux différents. En effet, l'urgence est précisément le levier utilisé par les fraudeurs. Cette règle s'applique donc sans exception.

Former les équipes régulièrement

Organisez des simulations d'attaque deepfake trimestrielles. La sensibilisation régulière réduit le risque de 60 % selon l'ANSSI. Ainsi, le réflexe de vérification doit devenir automatique.

Déployer des outils de détection IA

Des solutions comme Reality Defender, Sensity AI ou Microsoft Video Authenticator analysent automatiquement les flux vidéo et audio suspects. Elles doivent toutefois être utilisées en complément des procédures humaines.

Limiter l'exposition publique des dirigeants

Réduisez la quantité de contenu audio et vidéo accessible publiquement. En effet, les enregistrements longs sur YouTube ou LinkedIn constituent le carburant principal du clonage vocal et facial.

À faire / À éviter

Ces deux fenêtres résument les comportements qui font la différence entre une entreprise exposée et une entreprise protégée. En réalité, la plupart des fraudes exploitent l'absence d'un seul de ces réflexes. C'est pourquoi chaque point mérite, en particulier, une attention soutenue.

protocole_a_appliquer.exe
Rappeler sur le numéro officiel avant tout virement ou accès sensible demandé par visio ou téléphone.
Utiliser le mot de passe verbal pour authentifier toute demande urgente ou inhabituelle.
Imposer la double validation pour tout virement supérieur au seuil défini par la politique interne.
Signaler immédiatement tout appel ou message suspect à l'équipe IT sans attendre.
Former les équipes avec des simulations deepfake réelles au moins une fois par trimestre.
erreurs_critiques.log — [ERR] 5 risques détectés
Considérer qu'un visage ou une voix familière est une preuve suffisante d'identité.
Agir dans l'urgence sans appliquer les procédures internes, même si le dirigeant insiste.
Rappeler via le numéro affiché sur un appel entrant suspect.
Publier sans restriction des enregistrements audio ou vidéo de dirigeants sur des canaux publics.
Penser que votre entreprise est trop petite pour être ciblée — les PME sont désormais prioritaires.

FAQ

Un deepfake vocal est-il vraiment indétectable au téléphone ?
Pas toujours, mais de plus en plus difficile à détecter à l'oreille nue. Les modèles récents reproduisent les intonations, les tics de langage et même les hésitations caractéristiques d'une personne. Toutefois, certains indices persistent : latences inhabituelles, absence de bruit de fond naturel, débit trop régulier. En complément, l'oreille humaine seule ne constitue plus une défense suffisante. C'est pourquoi les protocoles de vérification (mot de passe verbal, rappel hors-bande) sont indispensables, indépendamment de la qualité du deepfake.
Que faire si l'on pense avoir été victime d'une attaque deepfake ?
Agissez vite : blocage, signalement, dépôt de plainte. Contactez immédiatement votre banque pour tenter de bloquer le virement. Ensuite, signalez l'incident à votre équipe IT et déposez plainte auprès des autorités (ANSSI, plateforme Pharos). Conservez toutes les preuves : enregistrements, e-mails, captures d'écran. Plus la réaction est rapide, plus les chances de récupération sont élevées.
Les PME sont-elles vraiment concernées ou seulement les grandes entreprises ?
Les PME sont désormais des cibles prioritaires. Les grandes entreprises disposent généralement de procédures de sécurité plus strictes. Par conséquent, les attaquants se tournent vers des structures aux processus de validation moins formalisés. Par ailleurs, un dirigeant de PME est souvent plus médiatisé à l'échelle locale, notamment via des interviews, podcasts et réseaux sociaux, ce qui facilite la collecte de données pour le clonage.

Outils et cadre réglementaire

Existe-t-il des outils pour détecter automatiquement les deepfakes en entreprise ?
Oui, et leur déploiement est de plus en plus accessible. Des solutions comme Reality Defender, Sensity AI ou Microsoft Video Authenticator permettent d'analyser des flux vidéo et audio en temps réel. Toutefois, ces outils ne sont pas infaillibles car les modèles de génération évoluent en permanence. Ils doivent donc être utilisés en complément des protocoles humains, et non à leur place.
Le règlement européen sur l'IA (AI Act) protège-t-il contre les deepfakes frauduleux ?
Il pose un cadre, mais ne suffit pas à lui seul. Entré en vigueur en 2024, l'AI Act impose le marquage des contenus synthétiques et interdit certains usages à haut risque. Néanmoins, la réglementation suppose une bonne foi des acteurs, condition qu'un attaquant malveillant ne respecte pas. L'adaptation des pratiques internes reste donc indispensable en parallèle des évolutions réglementaires.

Sources : ANSSI (Panorama de la cybermenace 2023) · Onfido Identity Fraud Report 2024 · IBM Cost of a Data Breach Report 2024 · South China Morning Post (jan. 2024) · AI Act européen (2024).

Protégez votre entreprise
contre les deepfakes.

Mot de passe verbal, vérification hors-bande, double validation financière, simulation d'attaque : mettre en place les bons réflexes ne suffit pas sans un protocole formalisé et des équipes entraînées. Sæpiens vous accompagne dans l'évaluation de votre exposition aux fraudes par IA et le déploiement de procédures adaptées à votre organisation.

Vous souhaitez évaluer la résistance de vos équipes face aux attaques deepfake ?

ÉVALUER VOTRE EXPOSITION
Partager LinkedIn
Saepiens : hébergeur de données de santé HDS

Saepiens.
3 Chemin de l’Industrie,
69570 Dardilly
04 37 50 36 10

Politique de Confidentialité