Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Sécurité 1er mai 2026 8 min de lecture

Deepfakes en entreprise : risques réels en 2026 et stratégies de protection

En 2024, une entreprise hongkongaise a viré 25 millions de dollars après une visioconférence avec de faux collègues — tous générés par IA. En 2025, plusieurs entreprises françaises ont signalé des tentatives de fraude au virement avec voix clonée du PDG. Les deepfakes audio et vidéo ne sont plus une curiosité technologique : ils sont un vecteur d'attaque opérationnel contre les entreprises. Ce guide couvre les risques réels, les outils de détection et les protections organisationnelles.

Ce qu'il faut retenir

  • Les deepfakes audio (voix clonée) sont plus faciles à produire et plus difficiles à détecter que les deepfakes vidéo
  • La "fraude au président" avec voix clonée est devenue un vecteur d'attaque courant en 2025-2026
  • Les outils de détection automatique atteignent 80-90% de précision — pas suffisant seul, il faut des procédures organisationnelles
  • La protection principale reste procédurale : double validation des virements, mot de passe d'urgence, canaux de confirmation alternatifs

Cas réels documentés

Hong Kong, février 2024 : Un employé d'une multinationale transfère 25,6 millions de dollars après une visioconférence avec des "collègues" — en réalité tous des deepfakes vidéo en temps réel. C'est la plus grande fraude deepfake documentée à ce jour.

Royaume-Uni, 2023 : Le CEO d'une filiale d'énergie transfère 220 000€ après avoir entendu la voix de son directeur général (clonée par IA) lui demander un virement urgent. Premier cas de fraude audio deepfake documenté publiquement.

France, 2025 : Plusieurs signalements à l'ANSSI et à la BPI de tentatives de fraude au virement par voix clonée de dirigeants. Les montants demandés varient de 50 000€ à plusieurs millions d'euros.

25M$Plus grande fraude deepfake documentée (HK 2024)
3minAudio nécessaire pour cloner une voix correctement
+400%Augmentation des deepfakes malveillants entre 2023 et 2025
~90%Précision max des détecteurs automatiques actuels

Vecteurs d'attaque deepfake en entreprise

Clone vocal (audio deepfake) : le plus répandu car le plus simple à produire. Avec 3-5 minutes d'audio d'une personne (interview publique, vidéo LinkedIn, conférence), un outil IA peut cloner sa voix de façon convaincante. Utilisé pour des appels téléphoniques frauduleux se faisant passer pour un dirigeant, un banquier ou un avocat.

Deepfake vidéo en temps réel : technologie désormais accessible. Des outils comme HeyGen, D-ID ou des solutions open source permettent de remplacer un visage dans une visioconférence en temps réel. Qualité variable — les artefacts sont encore détectables par un œil averti dans 80% des cas.

Deepfake de documents : génération de faux contrats, fausses factures, faux RIB avec des logos et signatures convaincants. Souvent associé à la compromission de messagerie (BEC) pour renforcer la crédibilité.

Manipulation de vidéos existantes : modification de vidéos authentiques pour changer des mots ou des actions — utilisé pour créer des fausses preuves ou des faux témoignages.

Fraude au président amplifiée par les deepfakes

La fraude au président (ou BEC — Business Email Compromise) existe depuis des années. Les deepfakes l'ont rendue considérablement plus dangereuse :

  • Avant : un e-mail supposément du PDG demandant un virement urgent. Facilement détectable avec les bons réflexes.
  • Maintenant : un appel téléphonique avec la vraie voix du PDG (clonée), suivi d'un e-mail de confirmation, parfois accompagné d'une visioconférence deepfake.

Les cibles typiques : le DAF ou le responsable trésorerie, mais aussi les RH (demande de changement de RIB pour le virement des salaires) et les services achats (faux fournisseurs avec faux interlocuteurs).

Vos dirigeants sont les plus exposés

Tout dirigeant qui apparaît dans des vidéos publiques (conférences, interviews, webinars, LinkedIn) fournit involontairement le matériau d'entraînement pour cloner sa voix et son visage. Les entreprises dont les dirigeants ont une forte présence médiatique sont les plus ciblées.

Comment détecter un deepfake

Indices visuels (deepfake vidéo) :

  • Bordures floues autour du visage, notamment dans les cheveux et aux oreilles
  • Clignements des yeux artificiels ou absents
  • Incohérences d'éclairage entre le visage et le fond
  • Mouvements de lèvres légèrement décalés par rapport à l'audio
  • Textures de peau trop lisses ou pixelisées lors des mouvements

Indices audio (clone vocal) :

  • Absence de bruits de fond habituels (respiration, clics, environnement)
  • Prosodie légèrement artificielle sur les mots moins courants
  • Latence anormale dans les réponses (temps de génération)
  • La voix ne s'adapte pas émotionnellement au contenu (reste monotone sous stress)

Outils de détection automatique : plusieurs solutions existent (Microsoft Video Authenticator, Intel FakeCatcher, Sensity AI). Efficacité entre 80 et 90% selon les études — pas suffisant pour s'y fier seul.

Protections organisationnelles prioritaires

La protection technique seule ne suffit pas. Les mesures organisationnelles sont plus importantes :

  1. Double validation des virements : tout virement au-delà d'un seuil (ex : 10 000€) requiert une confirmation par un second canal non lié à la demande initiale (appel sur le numéro habituel, pas celui fourni dans la demande)
  2. Mot de code d'urgence : entre le dirigeant et le DAF, un mot de passe partagé que le dirigeant "réel" peut dire pour authentifier une demande urgente
  3. Politique de demande de virement : aucun virement exceptionnel ne peut être initié uniquement sur demande orale ou e-mail — procédure documentée requise
  4. Formation des équipes financières : entraînement régulier aux tentatives de fraude deepfake, y compris simulations
  5. Délai de réflexion : toute demande "urgente et confidentielle" doit être traitée avec suspicion — l'urgence est une technique sociale classique

Cadre juridique des deepfakes en France

La création et l'utilisation de deepfakes malveillants est illégale en France sous plusieurs textes :

  • Article 226-8 du Code pénal : montage réalisé avec des paroles ou images d'une personne sans son consentement — jusqu'à 1 an d'emprisonnement et 15 000€ d'amende
  • Escroquerie (article 313-1 CP) : si le deepfake est utilisé pour obtenir un virement frauduleux — jusqu'à 5 ans et 375 000€
  • Usurpation d'identité (article 226-4-1 CP) : peine d'1 an et 15 000€
  • EU AI Act : obligation de marquage des contenus générés par IA (watermarking) pour certains usages — applicable aux fournisseurs d'outils de génération

L'IA pour se défendre : solutions de détection

Plusieurs approches IA peuvent aider les entreprises à se protéger :

  • Vérification d'identité en visioconférence : systèmes qui analysent en temps réel les flux vidéo pour détecter les incohérences deepfake
  • Authentification vocale : comparaison de la voix en temps réel avec une empreinte vocale de référence enregistrée
  • Surveillance des anomalies comportementales : détection de demandes inhabituelles (montant, urgence, confidentialité) dans les flux e-mails et communications
  • Watermarking des communications internes : signature numérique des vidéos et audios authentiques pour distinguer l'original du deepfake

Sécurité IA pour votre entreprise

Intelligence Privée déploie des systèmes IA souverains avec détection d'anomalies intégrée — sur votre infrastructure, sans exposition aux vecteurs d'attaque des outils cloud publics.

Parler à un expert sécurité →

Questions fréquentes

Peut-on détecter un deepfake audio par téléphone ?

C'est très difficile sans outil spécialisé. Les indices : prosodie légèrement mécanique, absence de bruits de fond naturels, réponses avec latence anormale. La meilleure protection reste procédurale : rappeler sur le numéro habituel plutôt que répondre à la demande.

Notre assurance cyber couvre-t-elle la fraude deepfake ?

Cela dépend de votre contrat. La plupart des assurances cyber couvrent la fraude au virement (BEC), ce qui inclut généralement la fraude par deepfake. Vérifiez explicitement avec votre assureur et demandez une clause spécifique si nécessaire.

Continuer la lecture

Sécurité

Prompt injection LLM

Autre vecteur d'attaque IA — les deux doivent être couverts.

9 min