Deepfakes, la prochaine grande menace pour les entreprises ? Depuis quelques années, les deepfakes se perfectionnent à une vitesse fulgurante. Ces vidéos, images ou enregistrements audio générés par intelligence artificielle peuvent imiter à la perfection l’apparence et la voix d’une personne. Si, au départ, ils relevaient d’un simple divertissement ou d’une prouesse technologique, ils sont aujourd’hui devenus une arme redoutable pour les cybercriminels. Alors que les attaques par ransomware et phishing restent des menaces majeures, une nouvelle forme de cyberattaque gagne du terrain : l’ingénierie sociale dopée aux deepfakes. Les tactiques d’ingénierie sociale deviennent encore plus sophistiquées à mesure que les outils d’IA s’améliorent. Les entreprises ont d’ailleurs observé une augmentation de ce type d’attaque ces derniers mois.

Des deepfakes plus crédibles que jamais

Les premiers deepfakes étaient relativement faciles à détecter : synchronisation labiale imparfaite, expressions figées, clignements d’yeux absents… Mais aujourd’hui, grâce aux avancées en IA générative, il devient quasiment impossible de distinguer un deepfake d’une vidéo réelle. Certains outils, accessibles en ligne, permettent même de créer en quelques minutes un clone vocal ou vidéo d’un individu avec seulement quelques secondes d’enregistrement initial.

Les attaques d’ingénierie sociale ne sont pas nouvelles, mais elles entrent dans une nouvelle ère : l’hyperpersonnalisation. Au fur et à mesure que les outils d’IA se développent, il est de plus en plus facile pour les acteurs malveillants de se concentrer sur des comportements, des émotions et des actions humaines crédibles et réalistes, non seulement pour imiter des individus authentiques, mais aussi pour manipuler le comportement des victimes. La capacité des attaquants à se faire passer pour des individus, des organisations et/ou des requêtes légitimes s’améliore, avec un certain nombre de nouvelles tactiques pour les aider

Les entreprises en première ligne

Les acteurs malveillants peuvent utiliser une multitude d’informations personnelles volées, d’identités synthétiques et de technologies d’intelligence artificielle pour convaincre les employeurs qu’ils sont des employés légitimes, qualifiés et dotés d’une identité valide – et une fois qu’ils ont accès aux systèmes de l’organisation ciblée, ils peuvent commettre des fraudes importantes.
Si les personnalités publiques sont les premières cibles des deepfakes, les entreprises sont loin d’être à l’abri. Plusieurs types d’attaques se dessinent :

      • Fraude au président : Un cybercriminel peut utiliser un deepfake vidéo ou audio pour se faire passer pour un PDG et donner de faux ordres à ses collaborateurs. Nous avons tous lu dans la presse des exemples de fraude où le directeur financier voit et entend son CEO lui demander un transfert d’urgence sur un compte frauduleux. La pression et le réalisme de la scène réduisent considérablement l’esprit critique.
      • Espionnage industriel et désinformation : Un deepfake peut être utilisé pour diffuser de fausses informations sur une entreprise, manipuler ses collaborateurs ou faire fuiter des annonces stratégiques pour influencer les marchés. Un faux témoignage d’un cadre supérieur affirmant une faillite imminente pourrait faire plonger une action en bourse en quelques heures.
      • Escroqueries aux fournisseurs et clients : Les entreprises qui reposent sur des appels vidéo pour valider des transactions sont particulièrement vulnérables. Un deepfake bien conçu peut convaincre un fournisseur de modifier des coordonnées bancaires ou persuader un client qu’il parle bien à son interlocuteur habituel.

    Comment se protéger ?

    Face à cette menace grandissante, les entreprises doivent adopter une approche proactive. Voici quelques mesures essentielles :

        1. Sensibiliser les équipes : Comme pour toute attaque d’ingénierie sociale, la première ligne de défense est humaine. Les collaborateurs doivent être formés à identifier les signes d’un deepfake et à adopter des protocoles de vérification renforcés (ex. authentification à deux facteurs pour toute transaction financière).
        2. Multiplier les canaux de confirmation : Un appel vidéo ne doit jamais être la seule preuve d’identité. Une double vérification par e-mail, appel téléphonique traditionnel ou message sécurisé peut éviter bien des fraudes.
        3. Utiliser des outils de détection : Certaines solutions basées sur l’IA peuvent analyser les vidéos et audios pour repérer des anomalies propres aux deepfakes (latence dans les réponses, incohérences dans les expressions faciales…).
        4. Surveiller son empreinte numérique : Moins une entreprise (et ses dirigeants) laisse de traces vocales et vidéo accessibles publiquement, plus il est difficile pour un attaquant de créer un deepfake convaincant. Réduire l’exposition en ligne peut limiter les risques.
        5. Élaborer une stratégie de réponse : En cas d’attaque avérée, l’entreprise doit être prête à réagir rapidement pour limiter les dégâts. Une communication de crise efficace et une collaboration avec les autorités sont essentielles pour contenir l’impact d’un deepfake malveillant.

    Deepfakes, une menace qui ne fait que commencer

    Les deepfakes ne sont pas seulement une curiosité technologique ou une menace lointaine. Ils s’imposent déjà comme un nouvel outil d’arnaque et de déstabilisation dans le paysage cybercriminel. Pour les entreprises, la vigilance est de mise : il ne s’agit plus seulement de protéger des données, mais aussi de préserver la confiance et l’intégrité des interactions humaines. Car si nous ne pouvons plus croire ce que nous voyons et entendons, comment assurer la sécurité des décisions critiques ?

    Les organisations doivent prendre dès aujourd’hui la mesure du danger et adapter leurs pratiques pour avoir une longueur d’avance sur les cybercriminels.
    Deepfakes, la prochaine grande menace /Deepfakes, la prochaine grande menace