Les deepfakes audio et vidéo alimentés par l'IA deviennent un vecteur d'attaque réel contre les entreprises : fraude au président, usurpation d'identité, désinformation interne. Comment s'en protéger ?
Un vecteur d'attaque qui sort du laboratoire
Pendant longtemps, les deepfakes étaient surtout une curiosité technologique ou un sujet de préoccupation pour les célébrités. En 2025-2026, ils sont devenus un vecteur d'attaque concret contre les entreprises. Le FBI a signalé une augmentation de 300 % des fraudes impliquant des deepfakes audio entre 2023 et 2025. En France, plusieurs grandes entreprises ont subi des tentatives de fraude au virement basées sur des imitations vocales de dirigeants.
Les attaques documentées
Fraude au président augmentée par l'IA
La fraude au président (BEC — Business Email Compromise) existe depuis des années. L'IA la rend beaucoup plus dangereuse. En 2024, une entreprise hongkongaise a perdu 25 millions de dollars suite à un appel vidéo deepfake : un employé des finances pensait parler à son CFO lors d'une visioconférence — tous les participants étaient des deepfakes générés en temps réel.
Usurpation d'identité vocale
Avec 10-30 secondes d'audio (un message vocal, un extrait d'interview), des outils comme ElevenLabs ou des modèles open source peuvent cloner une voix avec une précision troublante. Les attaquants appellent un employé en se faisant passer pour le PDG ou le DSI pour demander un virement urgent, l'accès à un système ou des informations confidentielles.
Manipulation des réunions vidéo
Des outils de deepfake temps réel (comme DeepLiveCam) permettent de remplacer son visage par celui de n'importe quelle personne pendant un appel Zoom ou Teams. Des cas d'entretiens d'embauche frauduleux ont déjà été documentés — un candidat se présentant physiquement comme quelqu'un d'autre pour passer des vérifications.
Mesures de protection organisationnelles
Protocoles de vérification hors-bande
La contre-mesure la plus efficace est simple : établir un protocole de rappel pour toute demande financière ou d'accès sensible, même venant d'un dirigeant. Si le CFO demande un virement par téléphone, rappeler sur un numéro connu et enregistré — pas celui affiché lors de l'appel entrant.
Mots de code et questions de contrôle
Certaines équipes utilisent des mots de code pré-établis pour authentifier les demandes urgentes. Le principe : si quelqu'un appelle en urgence avec une demande inhabituelle, il doit fournir le mot de code convenu. Un deepfake ne peut pas connaître ce code.
Formation et sensibilisation
Les équipes financières, RH et IT sont les cibles prioritaires. La formation doit couvrir :
- Reconnaître les signaux d'un deepfake (artefacts visuels, asynchronisme lèvres/son, qualité audio artificielle)
- Les scénarios d'attaque les plus courants (urgence, confidentialité, pression temporelle)
- Les procédures de vérification à suivre systématiquement
Solutions techniques de détection
| Solution | Type | Efficacité |
|---|---|---|
| Intel FakeCatcher | Analyse PPG (flux sanguin) | ~96 % (lab) |
| Microsoft Azure AI Content Safety | API détection deepfake | ~90 % vidéo |
| Reality Defender | Analyse multi-modale | ~92 % audio+vidéo |
| Pindrop | Détection vocale | Très bonne (voix) |
Important : aucune solution n'est infaillible. Les deepfakes et les détecteurs évoluent en parallèle dans une course aux armements permanente. Les solutions techniques complètent les procédures organisationnelles — elles ne les remplacent pas.
Réglementation et cadre légal
En Europe, le AI Act (en vigueur depuis 2024) impose des obligations de transparence sur les contenus générés par l'IA : watermarking des deepfakes, identification des systèmes IA dans les communications. Ces obligations s'appliquent aux créateurs de systèmes IA, pas aux victimes d'attaques — mais elles créent un cadre légal pour les poursuites.
En France, l'usurpation d'identité par deepfake relève de l'article 226-4-1 du Code pénal (usurpation d'identité) et peut être poursuivie comme escroquerie aggravée.
Plan d'action pour les RSSI
- Identifier les processus critiques exposés (virements, accès systèmes, décisions RH)
- Implémenter des protocoles de vérification hors-bande pour ces processus
- Former les équipes ciblées avec des simulations d'attaques deepfake
- Évaluer les solutions de détection pour les flux vidéo critiques
- Mettre à jour la politique de sécurité et les procédures de réponse aux incidents
Conclusion
Les deepfakes ne sont plus une menace théorique pour les entreprises. La défense la plus efficace combine des procédures organisationnelles robustes (vérification hors-bande, mots de code) avec une sensibilisation continue des équipes. Les solutions techniques de détection complètent le dispositif mais ne peuvent pas être le seul rempart.