En février 2024, un employé d’une multinationale basée à Hong Kong a transféré 25 millions de dollars à des escrocs après une visioconférence truquée. Tous les participants à l’appel — y compris le directeur financier — étaient des deepfakes générés en temps réel. L’employé avait des doutes, mais la qualité des vidéos et la cohérence de la réunion l’ont convaincu de procéder au virement. L’affaire, révélée par la police de Hong Kong, illustre un basculement : les deepfakes sont passés d’un phénomène de curiosité technologique à un outil de fraude industrielle.
En 2026, la menace s’est amplifiée. Les outils de génération de deepfakes sont accessibles, bon marché et de plus en plus réalistes. Et les entreprises — même les plus grandes — restent largement vulnérables.
À retenir
- Les deepfakes audio et vidéo sont utilisés pour la fraude au président, l'usurpation d'identité et la manipulation de marché
- Le coût mondial de la fraude par deepfake dépasse 12 milliards de dollars en 2025 selon Deloitte
- Les outils de détection existent mais ne suffisent pas — la formation des équipes est le premier rempart
- L'AI Act européen classe les deepfakes parmi les systèmes soumis à des obligations de transparence
Comment fonctionne un deepfake
Un deepfake utilise des réseaux de neurones — principalement des GANs (Generative Adversarial Networks) et des modèles de diffusion — pour générer ou modifier du contenu audiovisuel de manière réaliste. Concrètement, il existe trois catégories de deepfakes utilisées contre les entreprises.
Le deepfake vidéo remplace le visage d’une personne dans une vidéo en temps réel ou en post-production. Les modèles actuels peuvent reproduire les expressions faciales, les mouvements de lèvres et les micro-expressions avec une précision troublante. C’est ce qui a été utilisé dans l’affaire de Hong Kong.
Le deepfake audio — ou voice cloning — reproduit la voix d’une personne à partir de quelques secondes d’enregistrement. En 2023, trois secondes de voix suffisaient pour générer un clone vocal convaincant avec des outils comme ElevenLabs ou VALL-E de Microsoft. En 2026, la qualité est encore supérieure et les outils sont accessibles à quiconque.
Le deepfake textuel — souvent oublié — utilise les LLM pour imiter le style d’écriture d’une personne. Un email rédigé « à la manière de » votre PDG, avec son vocabulaire et ses tournures habituelles, est un deepfake textuel.
12 Mds $
le coût estimé de la fraude par deepfake dans le monde en 2025 — un chiffre multiplié par 6 en trois ans
Source : Deloitte, AI-Powered Fraud Report, 2025
Les risques concrets pour les entreprises
Fraude au président 2.0
La fraude au président classique — un escroc se fait passer pour le dirigeant par email ou téléphone — existe depuis des décennies. Les deepfakes la rendent exponentiellement plus efficace. Un appel audio avec la voix clonée du PDG, suivi d’une visioconférence avec son image, élimine les principaux signaux d’alerte que les équipes financières sont formées à repérer.
Selon le FBI (IC3 Report, 2025), les pertes liées aux fraudes par compromission d’email d’entreprise (BEC) ont atteint 2,9 milliards de dollars aux États-Unis en 2024. Les deepfakes accélèrent cette tendance en rendant les scénarios de fraude plus crédibles.
Usurpation d’identité et recrutement frauduleux
Des candidats utilisent des deepfakes vidéo lors d’entretiens à distance pour usurper l’identité de personnes qualifiées. Le FBI a émis une alerte dès 2022 sur ce phénomène. En 2026, les deepfakes en temps réel sont suffisamment fluides pour tromper un recruteur lors d’un entretien Teams ou Zoom. Une fois embauché, le fraudeur accède aux systèmes internes de l’entreprise.
Manipulation de marché et désinformation
Un deepfake du PDG d’une entreprise cotée annonçant de faux résultats ou une fausse acquisition peut faire bouger un cours de bourse en quelques minutes — le temps que le démenti soit publié, le mal est fait. En mai 2023, une fausse image d’explosion au Pentagone, générée par IA, a brièvement fait chuter les marchés.
Les deepfakes audio sont les plus dangereux en contexte professionnel. Ils sont plus faciles à produire que les deepfakes vidéo, plus difficiles à détecter à l’oreille, et exploitent un canal — le téléphone — où les collaborateurs sont habitués à agir sur la base de la voix seule.
Comment détecter un deepfake
La détection repose sur trois niveaux complémentaires : l’observation humaine, les outils technologiques et les procédures organisationnelles.
Les indices visuels et auditifs
Sur une vidéo, plusieurs indices peuvent trahir un deepfake :
- Incohérences du regard : les yeux qui ne clignent pas naturellement ou qui ne suivent pas le mouvement de la tête
- Artefacts aux contours : flou ou pixellisation autour du visage, du cou, des oreilles et de la ligne des cheveux
- Désynchronisation lèvres-son : un léger décalage entre les mouvements des lèvres et la voix
- Éclairage incohérent : des ombres qui ne correspondent pas à la source de lumière visible
- Micro-expressions absentes : les deepfakes peinent encore à reproduire les expressions faciales subtiles et involontaires
Pour l’audio, les indices sont plus difficiles à percevoir : intonation trop régulière, absence de respirations naturelles, artefacts métalliques dans les transitions.
Les outils technologiques
Plusieurs solutions de détection ont émergé :
- Microsoft Video Authenticator analyse les images pour détecter les manipulations pixel par pixel
- Intel FakeCatcher utilise l’analyse du flux sanguin dans le visage (PPG) pour distinguer un vrai visage d’un deepfake
- Sensity AI surveille le web et les communications pour détecter des deepfakes ciblant une organisation
- Reality Defender propose une API de détection intégrable aux outils de communication d’entreprise
Ces outils ont des taux de détection variables — entre 65 % et 95 % selon les études et les types de deepfakes. Ils sont utiles mais pas infaillibles.
3 secondes
de voix suffisent pour cloner la voix d'une personne avec les outils actuels de voice cloning
Source : Microsoft Research, VALL-E Technical Report, 2024
Les procédures organisationnelles
La meilleure protection reste organisationnelle. Des règles simples réduisent drastiquement le risque :
- Mot de passe verbal : un code convenu entre le dirigeant et l’équipe financière pour valider les virements importants
- Double validation : tout virement au-delà d’un seuil doit être confirmé par un second canal (SMS, email, appel retour sur un numéro connu)
- Politique de rappel : ne jamais exécuter un virement sur la base d’un seul appel, même si la voix est reconnue
- Vérification d’identité renforcée pour les entretiens de recrutement à distance (demande de document en temps réel, questions personnalisées)
Le cadre réglementaire : AI Act et deepfakes
L’AI Act européen impose des obligations spécifiques concernant les deepfakes. L’article 50 exige que tout contenu généré ou manipulé par IA soit clairement identifié comme tel. Cette obligation de transparence s’applique aux entreprises qui produisent ou diffusent du contenu généré par IA.
Pour les deepfakes utilisés à des fins frauduleuses, le droit pénal classique s’applique déjà — escroquerie, usurpation d’identité, manipulation de marché. Mais l’AI Act ajoute une couche réglementaire qui oblige les organisations à mettre en place des dispositifs de gouvernance IA incluant la détection et la prévention des deepfakes.
La question n’est plus de savoir si votre entreprise sera ciblée par un deepfake, mais quand. La préparation — technique et humaine — fait la différence entre une tentative détectée et une fraude réussie. Les entreprises qui forment leurs équipes aux risques concrets de l’IA sont significativement mieux protégées.
Former les équipes : le maillon essentiel
Les outils de détection technologiques sont un complément, pas un substitut à la compétence humaine. La majorité des fraudes par deepfake réussissent non pas parce que la technologie est parfaite, mais parce que la victime n’a pas été formée à remettre en question ce qu’elle voit et entend.
Un programme de formation efficace couvre trois dimensions :
- Comprendre : comment les deepfakes sont créés, ce qu’ils peuvent reproduire, où sont leurs limites
- Détecter : exercices pratiques de détection sur des exemples réels et simulés
- Réagir : procédures à suivre en cas de doute — qui contacter, comment vérifier, comment signaler
Les entreprises qui intègrent ces exercices dans leur formation IA réduisent leur exposition. Le shadow AI — l’utilisation non encadrée d’outils IA — amplifie le risque si les équipes ne sont pas préparées.
Protéger votre entreprise avec Brain
Brain prépare vos équipes aux menaces IA émergentes — deepfakes, prompt injection, jailbreak — à travers des mises en situation concrètes. Les collaborateurs apprennent à détecter, réagir et appliquer les bonnes procédures dans leur contexte métier.
Découvrez les formules Brain pour former vos équipes aux risques IA.
Articles similaires
IA et cybersécurité : guide défense entreprise 2026
Détection des menaces, réponse aux incidents, analyse des vulnérabilités : comment l'IA renforce votre cybersécurité et protège votre entreprise.
Prompt injection : risques et protections pour l'IA
Le prompt injection détourne vos IA d'entreprise. Attaques réelles, risques concrets et stratégies de protection à mettre en place dès maintenant.
5 dangers réels de l'IA en entreprise (2026)
Fuite de données, biais, hallucinations, dépendance, désinformation : les 5 vrais risques IA en entreprise. Analyse concrète et solutions.