4 min de lecture

Le groupe britannique d’ingénierie Arup a perdu 25,6 millions de dollars lors d’un seul appel vidéo falsifié par intelligence artificielle. L’attaquant avait reproduit à l’aide d’une IA le directeur financier (CFO) et des collègues. Un employé des finances a effectué 15 virements en une seule journée. Ce cas n’est plus isolé : la fraude par clonage vocal a augmenté de 680 % en 2025. Pour les directeurs informatiques (CIO) et les membres des conseils d’administration, la protection contre les deepfakes devient une question de sécurité personnelle.

L’essentiel

Le cas Arup : anatomie d’une attaque par deepfake

En janvier 2024, un employé des finances du groupe britannique d’ingénierie Arup, basé à Hong Kong, a reçu un courriel suspect. Afin de dissiper ses doutes, il a été invité à participer à un appel vidéo. Sur son écran, il a vu et entendu son directeur financier (CFO) ainsi que plusieurs collègues. Tous parlaient de façon convaincante, répondaient aux questions posées et donnaient des instructions précises concernant des virements. L’employé a alors effectué 15 transferts vers cinq comptes bancaires différents situés à Hong Kong, pour un montant total de 25,6 millions de dollars.

Aucun des participants à cet appel n’était réel. Tous étaient des deepfakes générés par intelligence artificielle, créés à partir d’enregistrements vidéo et audio librement accessibles. L’attaque n’a été découverte que plusieurs heures plus tard. La police de Hong Kong a rendu l’affaire publique en février 2024 ; Arup a confirmé sa victimisation en mai 2024. Ce cas illustre à quel point la technologie des deepfakes a progressé : il ne s’agit plus uniquement de vidéos falsifiées isolées, mais désormais d’appels vidéo interactifs en temps réel impliquant plusieurs participants entièrement générés par IA.

Arup n’est pas une petite entreprise dépourvue de sécurité informatique. C’est un groupe mondial comptant plus de 18 000 employés, notamment connu pour avoir conçu la structure statique de l’Opéra de Sydney. Si Arup peut être trompé, alors toute entreprise peut l’être. La question n’est plus « si », mais « quand » une attaque similaire touchera votre propre entreprise.

Les chiffres : pourquoi 2026 sera l’année des attaques par deepfake

Les statistiques sont sans équivoque. La fraude par clonage vocal a augmenté de 680 % en 2025 par rapport à l’année précédente. Les attaquants n’ont besoin que de trois secondes d’enregistrement audio pour produire une copie vocale présentant 85 % de ressemblance avec la voix originale. Les vidéos publiées sur LinkedIn, les interventions dans des podcasts, les enregistrements de conférences et les webinaires internes constituent gratuitement la matière première nécessaire.

La fraude dite « CEO-Fraud », consistant à tromper délibérément des employés en imitant des cadres dirigeants, touche selon les rapports sectoriels au moins 400 entreprises chaque jour dans le monde. En 2024, 64 % des entreprises américaines ont subi une attaque de type « Business Email Compromise » (BEC), entraînant des pertes moyennes de 150 000 dollars par incident. Les deepfakes augmentent considérablement le taux de réussite de ces attaques, car ils neutralisent la dernière ligne de défense des employés : la vérification visuelle et auditive.

« Il existe un problème fondamental de sécurité et de protection des données qui éclipse l’engouement autour des agents IA. »
Meredith Whittaker, présidente de Signal (SXSW, mars 2025)

Particulièrement inquiétant : 80 % des entreprises ne disposent d’aucun protocole établi ni de plan de réponse face aux attaques fondées sur les deepfakes. Les formations classiques à la sensibilisation à la cybersécurité se concentrent sur les courriels de phishing et l’ingénierie sociale textuelle. La défense contre la tromperie audiovisuelle n’est pas prévue dans la plupart des organisations. Au début de l’année 2025, une vague coordonnée d’attaques par deepfake a frappé des entrepreneurs italiens éminents : des criminels ont imité le ministre de la Défense et escroqué au moins 1 million d’euros à une seule victime.

Sources : Deepstrike.io 2025, Fortune/CNN 2024, rapports sectoriels

Pourquoi les cadres dirigeants sont particulièrement exposés

Les cadres dirigeants et les directeurs généraux sont les cibles privilégiées des attaques par deepfake, pour trois raisons. Premièrement : leurs voix et leurs visages sont largement accessibles au public. Discours inauguraux, interviews, podcasts, vidéos LinkedIn et assemblées générales fournissent du matériel audio et vidéo de haute qualité permettant d’entraîner des modèles de deepfakes. Plus un cadre dirigeant est médiatisé, plus sa contrefaçon est aisée.

Deuxièmement : les ordres émanant des cadres dirigeants sont rarement remis en question. Dans les organisations hiérarchiques, le seuil psychologique pour contester une instruction donnée par le PDG ou le CFO est élevé. Les attaquants exploitent délibérément cette dynamique. Le cas Arup montre que, même en présence de doutes initiaux, un appel vidéo convaincant suffit à pousser l’employé à exécuter les consignes.

Troisièmement : les entreprises des pays DACH (Allemagne, Autriche, Suisse) dotées de structures hiérarchiques plates sont particulièrement vulnérables. Dans de nombreuses PME, le CFO dispose d’un accès direct aux systèmes de virement. Aucun principe des « quatre yeux » n’est appliqué aux transferts inférieurs à 100 000 euros. Un seul responsable financier trompé peut ainsi transférer des sommes à six chiffres en quelques minutes, sans qu’un deuxième collaborateur doive valider l’opération.

Quatre niveaux de protection contre les attaques par deepfake

Niveau 1 : Détection technique. Des logiciels spécialisés peuvent analyser en temps réel les vidéos et les fichiers audio suspects. Des outils tels que Pindrop, Sensity AI ou Resemble Detect recherchent des artefacts dans la parole et l’image, invisibles à l’œil et à l’oreille humains. Les taux de détection varient entre 85 et 95 %, selon la qualité de la falsification. Les CIO doivent intégrer ces outils dans leur architecture de sécurité, notamment pour les plateformes d’appels vidéo et les systèmes téléphoniques.

Niveau 2 : Protocoles organisationnels. Pour tous les transferts financiers dépassant un seuil défini, un protocole de vérification doit être mis en place, impossible à contourner par vidéo ou par audio. Concrètement : rappel sur un numéro fixe préalablement enregistré (et non sur le numéro mentionné durant l’appel falsifié), confirmation via un messager chiffré accompagnée d’un mot-clé convenu à l’avance, ou validation physique par un deuxième détenteur d’un droit d’accès. Ces protocoles doivent être formalisés par écrit, portés à la connaissance de l’ensemble de l’équipe financière et testés régulièrement.

Niveau 3 : Formation à la sensibilisation. Les employés doivent savoir que les deepfakes existent et comprendre leur mode de fonctionnement. Les formations classiques contre le phishing ne suffisent plus. Les CIO doivent mettre en place des modules spécifiques de sensibilisation aux deepfakes, illustrés d’exemples concrets et axés sur les signes révélateurs : mouvements buccaux anormaux, décalage entre le mouvement des lèvres et le son émis, absence de réaction à des questions imprévues, éclairage inhabituel. La leçon essentielle : toute instruction inhabituelle doit être systématiquement remise en question, indépendamment de l’identité de son émetteur et de la crédibilité apparente de sa personne – visuelle ou auditive.

Niveau 4 : Réduction de l’empreinte numérique publique. Les CIO et les CISO doivent, en collaboration avec le service communication, évaluer la quantité de matériel audio et vidéo relatif aux cadres dirigeants accessible au public. Tout ne peut pas être supprimé, mais la quantité peut être réduite. Les réunions internes ne doivent pas être enregistrées, sauf nécessité impérative. Les captations de présentations du comité de direction ne doivent pas être publiées sans protection sur YouTube ou sur le site internet de l’entreprise. Chaque minute de matériel public constitue une minute de données d’entraînement pour les attaquants.

Ce que les CIO doivent inscrire immédiatement à leur ordre du jour

La protection contre les deepfakes n’est plus un sujet de niche réservé au département sécurité. C’est un sujet stratégique pour le conseil d’administration. La responsabilité personnelle des dirigeants, renforcée par la directive NIS2, aggrave la situation : si aucune mesure de protection adéquate n’a été prise face à une menace avérée, cela peut être qualifié de faute grave.

Pour les CIO, cela signifie concrètement : d’ici le deuxième trimestre 2026, une analyse des risques liés aux deepfakes doit être finalisée pour l’organisation concernée. Qui sont les personnes les plus exposées ? Quelle quantité de matériel public existe-t-il ? Quels processus de transfert financier sont vulnérables ? À partir de cette analyse, des protocoles de vérification seront définis, des outils de détection évalués et des formations à la sensibilisation déployées. Les coûts restent modestes comparés à ceux d’une attaque réussie. Arup a perdu 25,6 millions de dollars. Un programme complet de protection contre les deepfakes pour une PME coûte une fraction de ce montant.

Questions fréquentes

Source de l’image : Tima Miroshnichenko / Pexels