Avec la montée en puissance de l’IA, les entreprises françaises sont de plus en plus souvent confrontées aux deepfakes. D’apparence anodins, les nouveaux outils boostés à l’IA générative peuvent, en effet, devenir des armes redoutables dans les mains des cybercriminels. Y compris dans celles des débutants ! Quelles sont les techniques employées ? Quels sont les secteurs les plus ciblés ? Que pouvez-vous faire pour protéger votre propre entreprise des deepfakes ? Nous vous expliquons l’essentiel à savoir pour optimiser votre stratégie de cybersécurité !
Un deepfake, c’est quoi exactement ?
Que sont ces fameux deepfakes qui font trembler les entreprises ? Tout simplement des photos, des vidéos ou même des enregistrements audio ultra-réalistes, modifiés ou réalisés à 100 % grâce à l’intelligence artificielle. C’est pourquoi on retrouve l’expression « deep learning », qui fait référence à « l’apprentissage profond » utilisé dans le domaine de l’IA, et le mot « fake » (« faux » en anglais) derrière ce mot-valise. En français, on parle aussi d’hypertrucage.
Aujourd’hui, tout le monde (ou presque) est capable d’en produire, grâce aux différents outils et applications disponibles sur la Toile. Tout du moins quand il s’agit d’une photo ou d’une vidéo : pour obtenir un deepfake audio extrêmement crédible, il faut plus de matériel et de savoir-faire.
Fort heureusement, la plupart des personnes qui en créent le font uniquement dans un but récréatif. Qui n’a jamais eu envie de s’afficher au bras de George Clooney, par exemple ? (Ndlr : ceci est un pur exemple, donné dans le but d’agrémenter l’article. Il ne reflète en rien les goûts de la rédactrice. Bien entendu).
Bref : tant que cela reste dans le cercle privé, il n’y a pas vraiment de problème. Mais sans surprise, de (très) nombreuses personnes malintentionnées se sont rapidement emparées du phénomène. La première vague était surtout constituée de fake news en tous genres. Pour essayer de les contrer, Google a même été contraint de créer une grande base de données dès l’année 2019. Régulièrement mise à jour, elle contient plusieurs milliers de vidéos deepfakes, pour aider les ingénieurs à créer des outils de détection automatisés.
Toutefois, c’est surtout à la montée en puissance des deepfakes dirigés directement contre les entreprises qu’on assiste aujourd’hui…
Comment les deepfakes sont-ils utilisés pour piéger les entreprises ?
L’usurpation d’identité : telle est la principale forme de fraude numérique à laquelle les cybercriminels s’adonnent grâce aux deepfakes, d’après la dernière grande étude mondiale de Sumsub.
« Entre le premier trimestre 2024 et le premier trimestre 2025, les deepfakes utilisés pour usurper des identités ont bondi de 700 % à l’échelle mondiale. L’Europe, en apparence mieux protégée, n’échappe pas à la déferlante : + 700 % en France, + 900 % au Royaume-Uni, + 1 100 % en Allemagne. »
Source : La Dépêche, juillet 2025, d’après les chiffres de l’étude Sumsub
Ils n’hésitent donc pas à faire appel au clonage de voix ou à la modélisation faciale pour prendre les entreprises au piège. Le « coup » le plus classique ? La fraude au président. Que ce soit par téléphone ou en visio, ils imitent la voix et/ou l’apparence du CEO pour ordonner un virement urgent sur leur compte… Mais ils peuvent aussi se faire passer pour un très gros client de l’entreprise. Ou même pour l’un de ses fournisseurs !
Le cas le plus impressionnant ? Sans doute celui de l’entreprise Arup, basée à Hong Kong. Convaincu de participer à une visioconférence avec plusieurs de ses collaborateurs, un salarié malchanceux a effectué une quinzaine de transactions sur différents comptes. Somme perdue au total ? Près de 25 millions de dollars ! Pour parvenir à leurs fins, les cybercriminels avaient consciencieusement récupéré sur YouTube des dizaines de vidéos montrant différents employés de la société…
Mais n’allez pas croire pour autant que seules les grandes entreprises sont touchées par ces attaques sophistiquées. Dans les faits, plusieurs PME françaises ont signalé des tentatives de fraude au président, dans lesquelles la voix du dirigeant était reproduite à l’identique par intelligence artificielle. Podcasts, interviews : autant de contenus qui peuvent leur servir pour entraîner leur IA.
Autres manières dont les deepfakes sont utilisés contre les entreprises
Si l’usurpation d’identité en visio ou par téléphone reste la plus grande « tendance » du moment, retenez que les cybercriminels peuvent aussi utiliser la technique du deepfake pour :
- créer de faux documents plus vrais que nature (ex. : facture, justificatif d’identité) ;
- faire chanter les chefs d’entreprise, en créant de toutes pièces des « preuves » compromettantes. Bien sûr, elles ne sont pas vraies. Mais elles sont tellement réalistes que beaucoup de victimes craignent des répercussions si jamais elles étaient publiées sur le Net…
Quelles sont les entreprises les plus visées par les deepfakes ?
Selon les chiffres européens de l’étude Sumsub, la montée en puissance des attaques par deepfakes touche surtout les entreprises de :
- l’e-commerce (+ 176 % de tentatives de fraude entre le 1er trimestre 2024 et le 1er trimestre 2025) ;
- la crypto (+ 84 % sur la même période).
Bien qu’assez récents, les secteurs de l’EdTech (Education Technology) et de la FinTech (Technologie Financière), enregistrent eux aussi des augmentations inquiétantes.
Cela étant dit, il ne s’agit que des secteurs les plus touchés. En réalité, n’importe quelle entreprise peut être ciblée par ce genre d’attaque de nos jours, quels que soient sa taille et son domaine d’activité.
Quelles sont les conséquences pour les entreprises ?
Bien entendu, les deepfakes peuvent créer d’importantes pertes financières « immédiates » : nous pensons en particulier aux virements frauduleux… Mais cela ne s’arrête pas là. En effet, une attaque basée sur un deepfake peut aussi gravement entacher la réputation de l’entreprise si l’affaire est rendue publique. A plus forte raison si elle s’accompagne d’une fuite de données sensibles. Tenez-le-vous pour dit : les cybercriminels ne se contentent pas toujours de dérober de l’argent. Ils peuvent aussi en profiter pour voler des informations et les revendre sur le Darknet… Avec les conséquences que cela implique ! À savoir :
- d’éventuelles poursuites judiciaires, si l’entreprise a fait preuve de négligence dans la sécurisation de ses processus internes ;
- la perte de confiance des clients de l’entreprise, mais aussi de ses fournisseurs et de ses autres partenaires. Perte de confiance qui se traduit généralement par une baisse du chiffre d’affaires à plus ou moins court terme.
Enfin, les conséquences humaines ne sont également pas à négliger : stress pour les équipes, sentiment de trahison ou de culpabilité, tensions internes… Autant de problèmes qui auront des répercussions négatives sur la productivité des équipes.
De quoi comprendre pourquoi de plus en plus d’entreprises considèrent la menace deepfake comme un enjeu stratégique de cybersécurité en 2025… Même s’il existe encore beaucoup de progrès à faire en la matière !
Pourquoi les entreprises françaises restent vulnérables face à ce type de fraude numérique ?
Les entreprises françaises, toutes tailles confondues, restent très exposées aux attaques par deepfakes.
D’une part, parce que la cybersécurité est encore trop souvent reléguée au second plan dans de nombreuses organisations. Cela s’observe particulièrement dans les PME : faute de ressources ou de sensibilisation, elles n’investissent pas suffisamment dans la protection de leurs systèmes d’information. Même combat pour les formations en cybersécurité, trop souvent laissées de côté. Comme leurs collaborateurs ne sont pas préparés à la détection des contenus falsifiés par IA, ils tombent plus facilement dans le panneau.
D’autre part, la culture du respect de l’autorité est encore très marquée en France. Dans l’absolu, ce n’est pas une mauvaise chose. Mais face à une usurpation d’identité par deepfake, cela pose un vrai souci. Une simple vidéo ou un message imitant la voix du PDG peut suffire à déclencher des virements ou des partages de données sensibles, sans vérification complémentaire. Tout simplement parce que personne n’ose remettre en question les ordres du Big Boss !
Quant aux protocoles de vérification mis en place dans certaines entreprises, ils sont souvent inadaptés face à cette nouvelle menace. Trop souples, peu perfectionnés, ils ne parviennent pas à mettre en échec les cybercriminels.
« Les protocoles de vérification actuels sont obsolètes face à la montée de ces nouvelles menaces. Il devient essentiel d’intégrer des technologies biométriques capables de détecter les deepfakes et de repérer les documents synthétiques. »
Source : Pavel Goldman-Kalaydin, responsable IA chez Sumsub
Comment pouvez-vous protéger votre entreprise contre les deepfakes ?
Pour faire face à ce type de menace, la première chose à faire est de former vos collaborateurs. En particulier ceux des services « sensibles », comme la comptabilité et les ressources humaines.
A minima, ils doivent être capables de reconnaître les principaux signaux d’alerte, pouvant trahir une usurpation d’identité. Une urgence exagérée, une demande inhabituelle de virement ou de transfert de données : autant de choses qui doivent leur mettre la puce à l’oreille.
Bien entendu, il est également essentiel de renforcer les procédures de validation interne. Cela passe notamment par la mise en place de contrôles croisés pour les ordres de virement ou les décisions sensibles. À plus forte raison lorsqu’ils semblent émaner d’un supérieur : votre stratégie doit être basée sur la vérification systématique des informations, pas sur la confiance aveugle envers la hiérarchie.
Veillez également à utiliser des canaux de confirmation indépendants (ex. : appel direct, messagerie interne sécurisée, code de validation) pour empêcher les fraudes. Vous pouvez même convenir d’un « mot de passe » à prononcer lors des échanges vocaux, pour vérifier l’identité de la personne. Certaines entreprises le font déjà pour se protéger des deepfakes, mais il reste recommandé de changer régulièrement le mot de passe. Une fuite est toujours possible !
Equipez-vous bien contre les cybermenaces !
Sachez également que des solutions technologiques commencent à émerger pour détecter les deepfakes audio et vidéo. Elles s’appuient sur l’analyse des métadonnées, des fréquences sonores ou des micro-expressions faciales, par exemple.
Cerise sur le gâteau : certains outils s’intègrent directement aux systèmes de visioconférence ou de messagerie, pour repérer plus rapidement les attaques.
Parmi les outils les plus populaires, citons notamment :
- Sensity AI , capables d’analyser aussi bien les vidéos que les images et les voix ;
- FakeCatcher, le détecteur de deepfakes en temps réel d’Intel ;
- Pindrop. Spécialisé dans la sécurité des centres d’appels, il détecte les voix générées artificiellement ou les signatures vocales suspectes ;
- ou encore Hive Moderation, utilisé pour scanner des images, vidéos et contenus audio dans un flux de messagerie ou un système interne.
Pour vivre heureux, vivons cachés ?
Comme dit plus haut, les cybercriminels peuvent exploiter de nombreux contenus en ligne pour créer des deepfakes. De là à penser qu’il faut « cacher » totalement vos collaborateurs, il n’y a qu’un pas… Mais est-il bien sage de le franchir, à une époque où les consommateurs privilégient de plus en plus les marques à visage humain ? Les photos ou les vidéos montrant les coulisses de l’entreprise, avec les équipes en plein travail, fonctionnent très bien sur les réseaux sociaux par exemple. C’est une manière toute simple (et à moindres frais ) de resserrer les liens avec votre clientèle.
Alors, plutôt que de vous en priver totalement, pourquoi ne pas limiter plutôt l’exposition publique des voix et visages de vos dirigeants au strict nécessaire ? Quitte au besoin à restreindre l’accès de certains contenus en ligne ? Bien entendu, cela ne vous dispense pas de mettre une véritable stratégie de cybersécurité en place, pour combattre les deepfakes et les autres menaces, comme les célèbres ransomwares (rançongiciels). Mais le manque de contenus facilement accessibles pourrait, à lui seul, décourager déjà beaucoup de criminels… À méditer !
Besoin d’aide pour optimiser votre stratégie de cybersécurité ?
Avec l’arrivée des IA génératives, les cybercriminels sont de plus en plus nombreux. Et vos collaborateurs sont en première ligne face à eux ! Hélas, beaucoup de salariés commettent encore des erreurs. Au point que 33 % des cyberattaques sont directement imputables à leur négligence ou leur maladresse. D’où la nécessité de former vos équipes, pour limiter au maximum les risques !
Pour cela, vous pouvez envisager la formation Initiation à la Cybersécurité, par exemple. 100 % en ligne, vos collaborateurs peuvent l’intégrer à n’importe quel moment de l’année, pour apprendre à identifier les principales cyberattaques (ex. : phishing, pièges divers sur les réseaux sociaux…). Et savoir comment réagir en cas de problème !
Cela étant dit, si vous souhaitez former un véritable expert de la cybersécurité parmi vos troupes, il vous faut une formation très poussée. Comme l’Executive Mastère Management de la Cybersécurité, par exemple. Entre autres choses, ce mastère lui permettra :
- de développer une vision globale des enjeux de cybersécurité ;
- de maîtriser la conception et le déploiement des architectures de sécurité ;
- d’anticiper les plus grandes menaces, etc.
Vous n’êtes pas certain(e) de disposer du budget nécessaire ? Ne vous inquiétez pas : du CPF jusqu’aux aides régionales, il existe de nombreux dispositifs de financement activables.
N’hésitez pas à en parler directement avec nos conseillers. Ils vous aideront à trouver la solution la plus adaptée !
