Les attaques deepfake augmentent – comment les entreprises peuvent se protéger

18.02.2025

L’arnaque au PDG par e-mail, c’était hier. L’accès simplifié à l’intelligence artificielle permet désormais aux cybercriminels d’imiter voix et visages pour soutirer de l’argent ou des informations. Aujourd’hui, ces attaques par deepfake surviennent déjà toutes les cinq minutes.

Les deepfakes basés sur l’IA sont la raison pour laquelle les entreprises – ou plutôt leurs collaborateurs – tombent dans le piège. Derrière une voix prétendument familière se cachent de plus en plus souvent des criminels.

Ces attaques par deepfake et la falsification de documents numériques ont augmenté de 244 % en 2024, devenant une menace croissante pour les entreprises. Le vishing assisté par IA, un néologisme formé à partir de phishing et voice (soit des attaques par téléphone utilisant des voix générées par IA), représente un danger grandissant, tant pour les entreprises que pour les particuliers. Selon le cabinet de conseil Deloitte, les pertes financières liées aux attaques par deepfake assistées par IA devraient atteindre 40 milliards de dollars d’ici 2027. Cela représente plus du triple des 12,3 milliards enregistrés en 2023.

Comme le rapporte it-daily.net, cette année, un deepfake est détecté toutes les cinq minutes. Les tentatives de fraude assistées par IA gagnent en sophistication et se multiplient, les cybercriminels affinant sans cesse leurs techniques pour contourner les mécanismes de défense.

L’EMEA mieux préparée qu’APAC et les Amériques

Dans la région EMEA (Europe, Moyen-Orient et Afrique), les attaques ciblent actuellement en priorité les processus d’intégration des clients. Les tentatives de fraude durant cette phase particulièrement vulnérable ont progressé de 3,1 % à 3,4 %. La situation est encore plus préoccupante en Asie-Pacifique (6,8 %) et sur le continent américain (6,2 %). Ces écarts s’expliquent notamment par des règles plus strictes en matière de KYC (Know Your Customer – « Connaître son client ») et d’onboarding en Europe, où les exigences réglementaires sont parmi les plus rigoureuses au monde.

Par ailleurs, la vérification d’identité numérique devrait constituer un pilier essentiel de tout processus d’onboarding. Cette mesure permet d’anticiper et de contrer les fraudes ainsi que la criminalité financière avant même qu’elles ne surviennent.

Malgré ces dispositifs de sécurité, les exemples d’attaques par deepfake – réussies ou tentées – se multiplient, y compris contre des entreprises de premier plan. Un grand constructeur automobile italien de luxe a récemment échappé de justesse à une escroquerie : un manager, resté méfiant, a démasqué l’imposteur se faisant passer pour le PDG en lui posant des questions ciblées.

Bildmotiv zu Unternehmen müssen sich gegen Deepfake-Angriffe wappnen, um Cyberkriminalität zu verhindern. (Bildquelle :
Unternehmen müssen sich gegen Deepfake-Angriffe wappnen, um Cyberkriminalität zu verhindern. (Bildquelle : Adobe Stock / Bussarin)

Face à une première demande restée sans réponse par e-mail, le fraudeur a passé un appel en imitant à la perfection la voix du PDG – y compris son accent du sud de l’Italie.

Des dommages pouvant se chiffrer en millions

Ce coup d’essai s’est soldé par un échec, mais il aurait pu coûter bien plus qu’un simple œil au beurre noir. C’est ce qu’a vécu, il y a un an, une banque basée à Hong Kong. Des escrocs y ont utilisé un deepfake vidéo du directeur financier pour soutirer 200 millions de dollars de Hong Kong – soit près de 25 millions d’euros. Un record mondial pour une fraude financière reposant sur l’IA. Et ces cas se multiplient à une vitesse alarmante.

Le secteur financier et sa clientèle sont particulièrement vulnérables aux deepfakes ou aux arnaques téléphoniques assistées par IA. Mais d’autres industries ne sont pas épargnées. Récemment, un fournisseur d’énergie britannique – et sa maison mère allemande – en ont fait les frais. Des cybercriminels ont piégé un cadre dirigeant au Royaume-Uni via une attaque de vishing (hameçonnage vocal), le poussant à virer 243 000 dollars américains, soit 217 000 euros, à un prétendu fournisseur basé en Hongrie.

Les principales contre-mesures

Voici trois mesures clés à mettre en place, tirées des méthodes des attaquants et des réactions habituelles des entreprises ciblées :

  1. Établir des règles claires pour les protocoles de communication et veiller à ce que tous les processus internes concernant les cadres dirigeants soient standardisés et traçables en permanence. Il doit être évident qu’un PDG, par exemple, ne donnera jamais lui-même l’ordre de virer des sommes importantes par e-mail ou par téléphone, ni ne formulera d’autres demandes inhabituelles.
  2. Mettre en place un système de vérification multicanal et s’assurer que toute communication sensible passe par au moins deux canaux distincts – par exemple, un e-mail et un service de messagerie instantanée. Si une instruction importante n’arrive que par un seul canal, les employés doivent l’ignorer ou demander une confirmation via un second canal.
  3. Former régulièrement les collaborateurs constitue la clé de la cybersécurité en général, et des deepfakes en particulier. Comme évoqué en introduction, cela commence par expliquer ce que recouvre ce terme. Selon un sondage Bitkom, 30 % des Allemands ne savent pas ce qu’est un deepfake. Les formations doivent montrer les techniques utilisées par les fraudeurs, expliquer ce qu’est le vishing (hameçonnage vocal) et indiquer comment réagir face à ces menaces.

    Contexte DACH : Le Bitkom est la fédération allemande des technologies de l’information, des télécommunications et des nouveaux médias, équivalent de la Numeum en France.

Illustration des contre-mesures contre les cyberattaques

Illustration des bonnes pratiques en cybersécurité

Pour limiter au maximum les pertes financières – voire les éviter totalement -, les entreprises doivent adopter un modèle de sécurité Zero Trust strict et exiger que chaque communication soit authentifiée après une vérification approfondie.

Par ailleurs, les nouvelles réglementations européennes imposent désormais aux entreprises de renforcer leurs dispositifs de sécurité.

Contexte réglementaire : Ces obligations s’inscrivent notamment dans le cadre du Règlement général sur la protection des données (RGPD) et de la directive NIS2, qui visent à améliorer la résilience des infrastructures critiques et des services numériques au sein de l’UE.

Source de l’image à la une : Adobe Stock / WrightStudio

Partager cet article :

Plus d'articles

11.04.2026

Directeur IA 2026 : Vraie fonction ou simple titre ?

Tobias Massow

⏰ 9 min de lecture Le Chief AI Officer est le poste au niveau C le plus souvent annoncé et le moins ...

Lire l'article
08.04.2026

Gouvernance de l’IA 2026 : Seulement 14 % ont clarifié qui est responsable

Tobias Massow

7 Min. de lecture 87 % des entreprises augmentent leurs budgets en intelligence artificielle. Mais seulement ...

Lire l'article
07.04.2026

18 % d’écart de rémunération, une échéance de l’UE et peu de préparation : transparence des salaires à partir de juin 2026

Benedikt Langer

8 Min. de lecture À partir de juin 2026, les fourchettes salariales devront figurer dans les offres ...

Lire l'article
06.04.2026

Découvrez des solutions innovantes pour la cybersécurité IT et OT

Benedikt Langer

Vom 22. bis 24. Oktober 2024 versammelt sich die IT-Sicherheitsbranche in Nürnberg zur it-sa Expo ...

Lire l'article
06.04.2026

Retour sur le sommet du numérique 2024

Benedikt Langer

Fin octobre s'est tenu à Francfort-sur-le-Main le sommet du numérique 2024 organisé par le gouvernement ...

Lire l'article
06.04.2026

Avec la numérisation, tout le monde gagne

Dr. Sophie Chung

Le système de santé allemand est un domaine du quotidien qui est jusqu'ici peu numérisé. Il n'est ...

Lire l'article
Un magazine de Evernine Media GmbH