BRIEFING SÉCURITÉ · 05.07.2026 DEENFRES

Actualités/7 min

Fraude par deepfake en entreprise : comment les voix et vidéos générées par IA coûtent des millions

Par Tobias Massow · 8 mars 2026

2 min de lecture

⏱ 7 min de lecture

En février 2024, un employé financier à Hong Kong a transféré 25 millions de dollars après un appel vidéo avec son directeur financier présumé et plusieurs collègues. Tous les participants étaient des deepfakes. Ce cas n’était pas isolé : Deloitte estime à plus de 200 millions de dollars les pertes mondiales dues à la fraude par deepfake en 2025, avec un doublement tous les 12 mois.

L’essentiel

Comment fonctionnent les attaques par deepfake contre les entreprises

La fraude assistée par deepfake suit un schéma clair : l’attaquant étudie l’organisation cible, identifie les décideurs (PDG, directeur financier, dirigeants) et récupère des contenus audio et vidéo publics. Les publications LinkedIn, les interventions en podcast, les vidéos YouTube et les conférences fournissent suffisamment de matériel pour créer des clones crédibles.

Le clonage vocal constitue la barrière d’entrée la plus basse. Des outils comme ElevenLabs, Resemble.AI ou des alternatives open source (TortoiseTTS, XTTS) permettent de cloner une voix à partir de 3 à 10 secondes d’enregistrement, avec une qualité quasi indiscernable de l’original au téléphone. Un appel « du PDG » demandant d’autoriser un virement urgent est le scénario le plus courant.

Les deepfakes vidéo sont plus complexes techniquement, mais seront possibles en temps réel d’ici 2026. Des outils comme DeepFaceLive permettent le remplacement de visages en appel vidéo. Le cas de Hong Kong a montré qu’une réunion vidéo avec plusieurs participants peut être entièrement simulée.

La combinaison de clonage vocal et d’usurpation d’e-mail (e-mail spoofing) est particulièrement dangereuse : un e-mail « du directeur financier » annonce un appel, puis l’appel arrive avec la voix clonée – pour le destinataire, aucune raison apparente de douter.

3 s
d’audio suffisent pour cloner une voix

200 Mio. $
de pertes estimées en 2025

x2 / an
doublement des incidents

Détection technique : ce qui fonctionne – et ce qui ne fonctionne pas

La détection de deepfakes est une course aux armements. Les outils d’analyse scrutent les artefacts présents dans l’audio et la vidéo – mouvements labiaux anormaux, éclairage incohérent, anomalies de fréquence vocale. Des fournisseurs comme Pindrop (audio), Reality Defender et Intel FakeCatcher proposent des solutions pour entreprises.

Le problème : la détection est toujours en retard sur la génération. Les modèles de deepfake actuels produisent des contenus indiscernables à l’œil et à l’oreille humains. Les outils automatisés atteignent des taux de détection de 85 à 95 % – ce qui semble bon, mais signifie que 5 à 15 % des deepfakes passent à travers les mailles du filet. Pour une attaque ciblée contre une entreprise, cela suffit.

C’est pourquoi la détection technique constitue une couche de sécurité, mais pas LA solution. La véritable défense réside dans les processus et la culture organisationnelle.

« La détection de deepfakes n’atteindra jamais 100 %. Les entreprises doivent concevoir leurs processus de sorte qu’un seul deepfake – aussi convaincant soit-il – ne puisse causer aucun dommage. »
Vijay Balasubramaniyan, PDG de Pindrop (CES 2025)

Mesures de protection : des processus qui neutralisent les deepfakes

Les contre-mesures les plus efficaces ne sont pas techniques, mais organisationnelles :

Principe des quatre yeux pour les transactions financières : aucun virement supérieur à 10 000 euros ne doit être autorisé sans l’approbation d’au moins deux personnes habilitées. Aucun appel ou appel vidéo, quel qu’en soit l’expéditeur, ne doit suffire à déclencher un paiement.

Vérification hors bande (out-of-band) : si un appel « du PDG » est reçu, la vérification doit se faire via un canal distinct – rappel sur un numéro mobile connu, message Signal, ou contact en personne au bureau. L’attaquant peut falsifier un canal, mais pas tous simultanément.

Mots-code pour les situations d’urgence : un mot-code convenu à l’avance doit être mentionné dans toute demande urgente de paiement. Simple, mais étonnamment efficace – l’attaquant ne connaît pas le mot-code.

Sensibilisation avec des exemples réels : les employés des services financiers doivent savoir que les appels deepfake existent et à quel point ils peuvent être convaincants. Des démonstrations en direct avec des voix clonées de cadres (avec leur accord) constituent la méthode de sensibilisation la plus efficace.

Compléments techniques : l’authentification des e-mails (DMARC, DKIM, SPF) empêche l’usurpation de l’expéditeur. Les outils de détection de deepfakes intégrés aux systèmes téléphoniques et aux solutions de visioconférence ajoutent une couche supplémentaire. Enfin, réduire la quantité de matériel audio/vidéo public des cadres rend le clonage vocal plus difficile.

Faits clés en un coup d’œil

Questions fréquentes

Chaque question est verrouillée. Un clic déverrouille la réponse.

Comment reconnaître un appel deepfake ?

Soyez vigilant face à : une urgence inhabituelle, des écarts par rapport au style de communication habituel, des bruits de fond incompatibles avec le lieu supposé, ou la demande de contourner les procédures d’approbation établies. En cas de doute : raccrochez et rappelez via un numéro connu.

N’importe qui peut-il cloner une voix ?

Oui. Les outils sont largement accessibles, certains en open source (TortoiseTTS, XTTS), d’autres en services commerciaux (ElevenLabs à partir de 5 dollars/mois). 3 à 10 secondes d’enregistrement suffisent pour un clone convaincant. Le seuil d’entrée est minimal.

Les attaques par deepfake sont-elles punissables ?

Oui. En Allemagne, les tentatives de fraude par deepfake relèvent de l’article 263 du Code pénal (StGB, fraude), éventuellement de l’article 269 StGB (falsification de données probantes). L’Union européenne travaille à une réglementation spécifique des deepfakes dans le cadre de la loi sur l’IA (AI Act). Toutefois, la poursuite est difficile car les attaquants opèrent souvent depuis l’étranger.

Combien coûte la détection de deepfakes pour une entreprise ?

Les solutions d’entreprise comme Pindrop (détection audio de deepfakes) coûtent à partir de 50 000 euros par an. Reality Defender propose une détection basée sur API à partir de 20 000 euros/an. Pour la plupart des entreprises, les mesures procédurales (principe des quatre yeux, vérification par rappel) sont plus rentables et plus efficaces.

Comment protéger mon propre matériel audio/vidéo ?

Il est impossible d’empêcher totalement le clonage si des apparitions publiques existent. Toutefois : réduisez le matériel inutile (chaque allocution doit-elle être sur YouTube ?). Utilisez des services de marquage audio (audio watermarking). Et surtout : acceptez que le clonage soit possible, et sécurisez vos processus en conséquence.

Quels secteurs sont particulièrement vulnérables ?

Le secteur financier (montants élevés), l’immobilier (paiements ponctuels importants), les cabinets d’avocats (comptes de fiducie) et les entreprises internationales aux équipes dispersées (vérification en personne difficile). En général : toute organisation où une seule personne peut autoriser des paiements importants.

Autres articles sur le sujet

Sensibilisation à la sécurité 2025 : pourquoi la formation seule ne suffit pas

Zero Trust pour les PME : démarrer en 5 étapes

Lectures complémentaires dans le réseau

IA en entreprise : Utilisation de l’intelligence artificielle en entreprise (MBF)

Sécurité des dirigeants : Cybersécurité au sommet de l’entreprise (Digital Chiefs)

Source de l’image : Pexels / Markus Winkler

Pour aller plus loin

Un magazine d'Evernine Media GmbH