Symbolbild: Videocall und Office im redaktionellen Magazinkontext
03.04.2026

Appel téléphonique Deepfake : la fraude CEO cible les PME

7 min de lecture

En janvier 2024, un employé du cabinet d’ingénierie britannique Arup a viré 25,6 millions de dollars à des escrocs. Il pensait participer à un appel vidéo avec son directeur financier et plusieurs collègues. Tous les participants étaient des deepfakes. L’affaire n’était pas un cas isolé : les attaques de phishing vocal ont augmenté de 442 pour cent en 2024, et les tentatives de fraude par deepfake contre les entreprises allemandes ont progressé de 53 pour cent. Les PME et ETI sont particulièrement exposées. Car lorsque les hiérarchies plates et les circuits de décision courts font leur force, ils deviennent une faille dans les fraudes au président.

L’essentiel en bref

  • Phishing vocal en hausse de 442 pour cent : les voix générées par IA rendent les appels du prétendu CEO presque impossibles à distinguer de l’original (CrowdStrike, Global Threat Report 2025).
  • 80 pour cent sans protocole deepfake : la plupart des entreprises n’ont pas de processus de vérification pour les demandes vidéo ou téléphoniques suspectes émanant de dirigeants.
  • 25,6 millions de dollars de pertes chez Arup : un seul appel vidéo deepfake avec un faux CFO a suffi pour réaliser la plus grande transaction individuelle documentée à ce jour (CNN, mai 2024).
  • Le BSI recommande la vérification par rappel : des protocoles avec mot de passe et des rappels obligatoires via des numéros enregistrés comme première mesure de protection contre la fraude au président.
  • Allemagne plus 53 pour cent : les tentatives de fraude par deepfake ont nettement augmenté en 2025, en particulier dans les PME et ETI disposant de moins d’instances de contrôle (Sumsub Identity Fraud Report, 2025).

Comment se déroule une attaque deepfake dans la pratique

La fraude au président classique prenait la forme d’un e-mail : le prétendu dirigeant demandait au service comptable d’effectuer un virement en urgence. L’adresse de l’expéditeur était falsifiée, le texte maladroit, et après quelques formations, le stratagème devenait identifiable. La nouvelle génération fonctionne autrement.

Dans le cas d’Arup, les attaquants avaient d’abord collecté des enregistrements vidéo et audio du CFO accessibles publiquement. Des vidéos LinkedIn, des interventions en conférence et des interviews de podcast ont fourni suffisamment de matière pour cloner sa voix et son apparence. Ils ont ensuite organisé un appel vidéo dans lequel non seulement le CFO, mais aussi plusieurs autres collègues apparaissaient sous forme de deepfakes. L’employé voyait des visages familiers, entendait des voix familières, discutait d’un projet en cours. L’ordre de virement est arrivé dans le contexte d’une conversation professionnelle normale.

La barrière technique pour ce type d’attaque baisse rapidement. Les services actuels de clonage vocal ont besoin de moins de dix secondes de matériel audio pour copier une voix de manière convaincante. Les deepfakes vidéo en temps réel sont possibles avec des logiciels librement disponibles. La qualité a atteint un niveau où même des employés formés ne peuvent plus faire de distinction fiable.

« La combinaison du clonage vocal assisté par IA et des deepfakes vidéo en temps réel constitue une menace qualitativement nouvelle, à laquelle de nombreuses entreprises ne sont pas préparées. »
– BSI, rapport de situation sur la sécurité informatique en Allemagne 2025

Pourquoi les PME sont particulièrement exposées

Les grands groupes disposent généralement de processus de validation à plusieurs niveaux pour les virements : principe des quatre yeux, règles de signature à partir de certains seuils, contrôles de conformité automatisés. Dans les PME, la réalité est souvent différente.

Dans les entreprises de 50 à 500 salariés, la comptabilité connaît personnellement le directeur général. Un appel du patron demandant un virement urgent n’a rien d’inhabituel. Les circuits courts qui font la force opérationnelle des PME créent en même temps des surfaces d’attaque : moins d’instances de contrôle, davantage de confiance dans les instructions orales, moins de réticence à poser des questions.

À cela s’ajoute la visibilité publique des dirigeants. Les directeurs généraux de PME sont souvent actifs sur LinkedIn, prennent la parole lors d’événements sectoriels, donnent des interviews. Chaque apparition publique fournit du matériau pour des deepfakes. Le paradoxe : plus un entrepreneur développe avec succès sa marque personnelle, plus il devient une cible facile.

Les chiffres confirment le risque : selon des analyses sectorielles, 80 % des entreprises ne disposent d’aucun protocole établi ni plan de réaction face aux attaques fondées sur les deepfakes. Dans les PME, cette proportion est probablement encore plus élevée, car les équipes de cybersécurité se résument souvent à une seule personne, quand elles existent.

Le bilan des dommages : ce que coûte la fraude par deepfake

Le préjudice va au-delà du virement immédiat. Dans l’affaire Arup, 25,6 millions de dollars avaient disparu avant que la fraude ne soit détectée. À l’échelle mondiale, les dommages causés par la fraude par deepfake ont dépassé à eux seuls 200 millions de dollars US au premier trimestre 2025, l’Amérique du Nord étant la région la plus touchée avec 38 % des incidents (Resemble AI Q1 2025 Report). Le nombre de cas non déclarés est élevé : beaucoup d’entreprises ne signalent pas de tels incidents, par honte ou par crainte d’une atteinte à leur réputation.

442 %
Hausse du voice phishing entre le S1 et le S2 2024
Source : CrowdStrike Global Threat Report 2025

Outre le préjudice financier direct, des coûts consécutifs apparaissent : enquêtes forensiques, traitement juridique, contrôles internes renforcés, et, dans certaines circonstances, obligations de notification au titre du RGPD si des données personnelles ont été concernées. Quant à l’atteinte à la confiance au sein de l’entreprise, elle est difficilement quantifiable : le collaborateur qui a déclenché le virement a fait tout ce qu’il pouvait savoir être juste.

La situation en matière d’assurance est hétérogène. Les cyberassurances classiques ne couvrent souvent les dommages liés à l’ingénierie sociale que jusqu’à une sous-limite basse. Certaines polices excluent explicitement la fraude par deepfake. Les entreprises devraient vérifier l’étendue de la couverture de leur police pour les attaques assistées par l’IA et, le cas échéant, renégocier.

La chaîne d’attaque : du profil LinkedIn au faux DAF

Une attaque par deepfake contre une entreprise de taille moyenne suit un schéma systématique. La préparation commence plusieurs semaines avant la tentative de fraude proprement dite et s’appuie uniquement sur des informations accessibles publiquement.

Phase 1 : reconnaissance. Les attaquants analysent le site web de l’entreprise, les mentions légales, les profils LinkedIn de la direction et du service financier. Ils identifient les structures de décision, les projets en cours (via les communiqués de presse) et les relations personnelles au sein de l’équipe dirigeante. Dans de nombreuses PME, la page « À propos » suffit pour reconstituer toute la chaîne de décision.

Phase 2 : collecte de matériel. Pour cloner une voix, moins de dix secondes d’audio suffisent. Pour un deepfake vidéo en temps réel, les modèles actuels ont besoin de 30 à 60 secondes de matériel vidéo de haute qualité. Les vidéos LinkedIn que de nombreux dirigeants publient régulièrement fournissent les deux à la fois. Les enregistrements de conférences sur YouTube ou sur les chaînes de l’entreprise sont également des sources très utiles.

Phase 3 : timing. Les attaquants choisissent un moment où le véritable dirigeant est difficilement joignable : semaines de salon, période de vacances, vendredi après-midi. Dans le cas d’Arup, le véritable CFO était en déplacement professionnel. L’urgence du virement a été justifiée par une acquisition prétendument critique en termes de délai.

Phase 4 : passage à l’action. L’appel deepfake est planifié, le virement est ordonné. Les montants sont immédiatement transférés via plusieurs comptes dans différents pays. Au bout de 24 à 48 heures, les fonds ne sont pratiquement plus traçables.

Ce schéma le montre : la faille n’est pas la technologie de l’entreprise, mais la confiance entre les personnes. C’est précisément pourquoi les contre-mesures organisationnelles fonctionnent mieux que les mesures techniques.

Outils de détection : ce que propose le marché et ce qui aide vraiment

La détection des deepfakes est une course entre attaquants et défenseurs, que les défenseurs perdent structurellement. Chaque amélioration des logiciels de détection est dépassée par de meilleurs modèles de génération. Il existe néanmoins des outils qui reflètent l’état actuel de la technique.

Côté analyse, des produits comme Deepfake Detection de Pindrop, Reality Defender et Sensity AI utilisent des modèles fondés sur l’IA qui identifient des artefacts dans l’image, le son et la vidéo : mouvements de lèvres non naturels, incohérences dans l’éclairage, anomalies dans le spectre de fréquences de la voix. Ces outils fonctionnent bien avec des vidéos préproduites, mais atteignent leurs limites face aux deepfakes en temps réel.

Pour une utilisation en entreprise, les solutions qui sécurisent le canal de communication plutôt que de détecter le deepfake lui-même sont plus pertinentes. Des plateformes comme Veridas ou iProov misent sur la vérification biométrique : avant qu’une transaction sensible ne soit déclenchée, le donneur d’ordre doit s’authentifier via un contrôle d’identité séparé et vérifié. C’est techniquement plus complexe, mais plus robuste que de tenter de démasquer le deepfake.

L’évaluation honnête : aucun outil n’offre une sécurité à cent pour cent. La détection technique est une brique, mais elle ne remplace pas les mesures organisationnelles. Le BSI recommande donc une approche combinant technique et processus.

Mesures immédiates : protocole de vérification en 30 minutes

La défense la plus efficace contre la fraude au président par deepfake est organisationnelle, et non technique. Un protocole de vérification peut être mis en place en une demi-heure et ne coûte rien, si ce n’est de la discipline.

1. Rappel obligatoire pour les transactions financières. Toute instruction de paiement dépassant un seuil défini (par exemple 5 000 euros) doit être confirmée par un rappel sur un numéro de téléphone connu et enregistré en interne. Pas le numéro figurant dans l’e-mail, pas celui donné pendant l’appel vidéo, mais le numéro de l’annuaire interne. Cette règle s’applique sans exception, même si le dirigeant appelle personnellement et invoque l’urgence.

2. Système de mot de passe. Un mot de passe convenu, qui n’est utilisé dans aucune communication numérique et n’a été échangé qu’oralement, en présence physique. En cas de doute sur l’identité, le mot de passe est demandé. Simple, analogique et résistant aux deepfakes.

3. Validation par deux personnes. Aucune personne seule ne doit pouvoir autoriser des virements supérieurs au seuil. Le principe des quatre yeux est déjà la norme dans de nombreuses entreprises. Son extension aux deepfakes : les deux valideurs doivent vérifier l’instruction indépendamment l’un de l’autre, et non dans le même appel ou le même chat.

4. Formation de sensibilisation. Les collaborateurs des fonctions financières et d’assistance doivent savoir que les deepfakes existent et à quel point ils peuvent être convaincants. Le cas Arup est le support de formation le plus parlant : un professionnel de la finance expérimenté, dans un groupe multinational, s’est fait piéger. Personne n’est immunisé. Des rappels réguliers de la formation sont essentiels, car la technologie évolue plus vite que la prise de conscience.

5. Définir un processus d’urgence. Que se passe-t-il lorsqu’une tentative de fraude est détectée ? Qui est informé ? Comment le virement est-il bloqué ? Plus la réaction est rapide, plus les chances de récupérer les fonds sont élevées. Les banques disposent généralement d’une courte fenêtre pour les rappels de fonds.

Cadre juridique : ce que dit le droit pénal et ce que les entreprises peuvent faire

La fraude au président fondée sur les deepfakes relève du paragraphe 263 du StGB (escroquerie) et, le cas échéant, du paragraphe 263a du StGB (fraude informatique). Les poursuites pénales sont toutefois difficiles : les auteurs opèrent le plus souvent à l’international, et les flux d’argent sont dissimulés via des portefeuilles crypto ou des comptes situés dans des pays tiers.

Pour les entreprises touchées, l’aspect civil est plus pertinent : qui est responsable du dommage ? En règle générale, l’employeur, sauf si une négligence grave peut être prouvée à l’encontre du collaborateur. Et c’est précisément là que le protocole de vérification devient un bouclier : une entreprise capable de documenter l’existence de processus et leur respect est mieux placée en cas de litige qu’une entreprise sans aucune mesure de précaution.

À l’international, les autorités de poursuite coopèrent de plus en plus. Europol a identifié la fraude assistée par deepfake comme une menace croissante et coordonne des enquêtes transfrontalières. En Allemagne, les services centraux de lutte contre la cybercriminalité des parquets généraux sont compétents. Le taux de réussite dans la récupération des fonds reste toutefois faible dès que les montants ont quitté le système bancaire européen.

Pour les entreprises de taille intermédiaire, le principal enseignement juridique est le suivant : la prévention est la meilleure voie non seulement sur le plan économique, mais aussi au regard de la responsabilité. Les dirigeants qui n’ont manifestement pas pris de mesures de protection appropriées peuvent, dans certaines circonstances, voir leur responsabilité personnelle engagée. La mise en place d’un protocole de vérification documenté n’est donc pas seulement une mesure de sécurité, mais aussi une mesure de protection contre la responsabilité des dirigeants.

Le BSI a explicitement attiré l’attention, dans son rapport de situation 2025, sur la menace que représentent les deepfakes pour les entreprises et recommande, outre les mesures techniques, surtout des concepts de protection organisationnels. Il n’existe pas encore d’obligation de signalement pour les incidents liés aux deepfakes, mais les entreprises relevant de NIS2 ou de la loi-cadre KRITIS doivent de toute façon signaler les incidents de sécurité importants.

Piloter consciemment sa présence numérique

Les dirigeants font face à un dilemme : la visibilité sur LinkedIn et dans les médias est bénéfique pour l’activité, mais elle fournit aussi de la matière pour les deepfakes. La solution n’est pas l’invisibilité, mais une gestion plus consciente des contenus audio et vidéo publics.

Mesures concrètes : publier de préférence les vidéos sur LinkedIn avec des incrustations de texte et de la musique, plutôt qu’avec une voix parlée continue. Ne pas archiver les interviews en podcast sur le canal de l’entreprise, mais renvoyer vers la plateforme de l’animateur. Ne pas mettre les enregistrements de conférences en accès public sur YouTube, mais les placer derrière un espace de connexion. Ces mesures n’éliminent pas le risque, mais elles augmentent considérablement l’effort nécessaire pour les attaquants.

Conclusion

La fraude au faux PDG par deepfake n’est pas un scénario d’avenir, ni un problème réservé aux grands groupes. La technologie est disponible, les coûts pour les attaquants baissent, la qualité augmente. Les PME et ETI constituent une cible attrayante en raison de leurs hiérarchies plates et de leurs circuits de décision informels.

La bonne nouvelle : les contre-mesures les plus efficaces ne sont pas coûteuses et peuvent être mises en œuvre immédiatement. Un protocole de rappel, un système de mot-code et l’application systématique du principe des quatre yeux pour les transactions financières ne coûtent rien et protègent plus efficacement que n’importe quel logiciel. Ceux qui investissent en plus dans des formations de sensibilisation et vérifient que leur cyberassurance couvre les deepfakes ont traité l’essentiel du risque.

Questions fréquentes

Comment reconnaître un appel vidéo deepfake ?

Soyez attentif à une synchronisation labiale peu naturelle, à un éclairage incohérent du visage, à des artefacts sur les contours des cheveux et des oreilles ainsi qu’à des délais inhabituels. Cependant, les deepfakes actuels atteignent un niveau de qualité qui rend la détection visuelle peu fiable. Ne vous fiez pas à vos yeux, mais à des processus de vérification.

De combien de matériel les attaquants ont-ils besoin pour créer un deepfake vocal ?

Les services actuels de clonage vocal ont besoin de moins de dix secondes d’audio pour produire une copie convaincante d’une voix. Les vidéos LinkedIn, les interventions dans des podcasts ou les interviews sur YouTube fournissent généralement plus qu’assez de matière.

Mon assurance cyber couvre-t-elle la fraude par deepfake ?

Cela dépend du contrat. De nombreuses assurances cyber prévoient des sous-limites basses pour les dommages liés à l’ingénierie sociale ou excluent explicitement les attaques assistées par l’IA. Vérifiez l’étendue de la couverture avec votre courtier en assurances et négociez, le cas échéant, une extension.

Qu’est-ce qu’un protocole de vérification ?

Un processus défini qui garantit que les instructions de paiement et autres transactions sensibles sont confirmées via un second canal indépendant. Les éléments typiques sont le rappel sur un numéro enregistré en interne, la demande d’un mot de passe convenu et la validation par deux personnes.

Dois-je signaler une attaque par deepfake ?

Il n’existe pas d’obligation de signalement spécifique pour les incidents liés aux deepfakes. Les entreprises relevant de NIS2 ou de la loi-cadre KRITIS doivent toutefois déclarer les incidents de sécurité importants. En cas de préjudice financier, il est recommandé de déposer plainte auprès du BKA ou du service cybercriminalité compétent.

Les petites entreprises sont-elles vraiment ciblées par des attaques deepfake ?

Oui. La baisse des coûts de création de deepfakes rend les attaques contre des cibles plus petites économiquement rentables. De plus, les PME disposent souvent de moins de contrôles que les grands groupes. Les montants fraudés sont individuellement plus faibles, mais le taux de réussite est plus élevé.

Plus d’articles du réseau MBF Media

  • cloudmagazin – Cloud, SaaS et infrastructure IT pour les décideurs
  • Digital Chiefs – Leadership, transformation et perspectives C-level
  • SecurityToday – Cybersécurité, conformité et protection des données

Source de l’image de titre : Diva Plavalaguna / Pexels

Aussi disponible en

Un magazine de evernine media GmbH
Le magazine des décideurs pour le Mittelstand DACH