Deepfake d’un dirigeant : les 7 premières heures qui sauvent la réputation

Un matin ordinaire. 7h42. Le directeur de la communication d’un groupe coté reçoit une alerte sur son téléphone : une vidéo circule sur X et Telegram montrant le PDG annonçant une fusion secrète avec un concurrent, ou pire, tenant des propos racistes lors d’un prétendu conseil d’administration. La vidéo est d’une qualité troublante. Elle cumule déjà 200 000 vues. Le cours de l’action décroche à l’ouverture. Bienvenue dans l’ère des deepfakes exécutifs.

En 2023, le PDG du géant publicitaire WPP, Mark Read, a été la cible d’une tentative de fraude par deepfake. En février 2024, une entreprise hongkongaise a perdu 25 millions de dollars après qu’un employé a participé à une visioconférence où tous les autres participants y compris le directeur financier étaient des avatars synthétiques. En 2025, les incidents se comptent par dizaines chaque mois. Le phénomène n’est plus marginal : il est structurel. Et il impose aux directions générales, aux DirCom et aux équipes de crise une discipline nouvelle, chronométrée, implacable.

Car la réputation se joue vite. Très vite. Les études de propagation virale convergent : une désinformation visuelle atteint 80 % de son audience finale dans les sept à dix premières heures. Passé ce délai, les démentis ne rattrapent jamais complètement le mensonge initial. C’est dans ce créneau étroit ces heures fondatrices que se décide si l’organisation absorbera le choc ou si elle portera durablement la cicatrice.

Voici, heure par heure, la méthode.

Heure 0 à 1 : Détecter, authentifier, ne pas paniquer

La première heure est celle du discernement. Elle est aussi la plus dangereuse, car elle est celle où la tentation du silence ou, inversement, celle de la réaction impulsive sont les plus fortes. Ni l’une ni l’autre ne sont tenables analyse l’expert en communication de crise Florian Silnicki, Président Fondateur de l’agence LaFrenchCom.

Détecter sans attendre d’être alerté par l’extérieur. Toute organisation exposée doit disposer d’un dispositif de veille augmentée intégrant des outils de détection de contenu synthétique. Les plateformes comme Reality Defender, Sensity AI, ou Hive Moderation permettent une analyse en quelques minutes. Mais la détection technique ne suffit pas : il faut croiser avec une veille humaine sur les plateformes à forte viralité — X, TikTok, Telegram, Reddit, et désormais Bluesky et Threads. L’alerte doit remonter au directeur de la communication en moins de quinze minutes, quel que soit le jour ou l’heure.

Authentifier avant de démentir. Erreur cardinale : démentir une vidéo qui, à l’analyse, s’avère authentique. Cela s’est produit en 2019 avec Nancy Pelosi, dont une vidéo ralentie — et non un deepfake — avait été qualifiée à tort de falsification par ses équipes. L’effet boomerang fut considérable. Avant toute prise de parole, il faut donc : visionner intégralement le contenu, le confronter à l’agenda réel du dirigeant concerné, vérifier les métadonnées lorsqu’elles sont disponibles, et surtout demander au dirigeant lui-même une confirmation directe. Cela paraît évident ; c’est pourtant l’étape la plus souvent bâclée sous l’effet du stress.

Constituer une “timeline de vérité”. Dès la soixantième minute, un document interne doit recenser : l’heure précise de première apparition du contenu, les plateformes d’origine, les comptes relais, la trajectoire de viralité, et les éléments factuels qui contredisent la vidéo (où était réellement le dirigeant, avec qui, pour quel événement). Cette timeline sera la colonne vertébrale de toute la communication à venir. Elle doit être tenue à jour en continu.

Ne rien publier publiquement. Durant cette première heure, aucune prise de parole externe. Le silence est stratégique, pas coupable. L’erreur serait de laisser une personne intermédiaire, community manager ou porte-parole régional, improviser un démenti non coordonné. Une consigne claire doit être diffusée à toutes les équipes concernées : « Nous avons connaissance du contenu, nous l’analysons, aucune communication externe sans validation de la cellule de crise. »

Heure 1 à 2 : Activer la cellule de crise et verrouiller la chaîne de décision

La deuxième heure est celle de l’organisation. La qualité de la réponse publique dépendra directement de la qualité de la cellule qui la conçoit.

Convocation immédiate de la cellule de crise deepfake. Elle doit être préconstituée et documentée dans un playbook tenu à jour. Sa composition type : le directeur général (ou son suppléant désigné), le directeur de la communication, le directeur juridique, le directeur de la cybersécurité, le DRH, un représentant de la direction financière (si cotation), et idéalement un conseil externe en communication de crise rompu à ce type d’incident. Sept à neuf personnes maximum : au-delà, la cellule devient un comité et ralentit.

Désignation d’un “incident commander” unique. Ce point est crucial. Une crise deepfake génère un flux d’informations décorrélé et des sollicitations multiples — médias, régulateurs, salariés, clients, autorités. Sans un décideur unique habilité à trancher en temps réel, l’organisation se fragmente. Cette fonction est généralement assurée par le DirCom, sous supervision directe du DG. Son autorité doit être reconnue et explicite.

Sanctuarisation de la communication interne. Dès cette phase, un canal sécurisé (Signal, Wire, ou un outil d’entreprise dédié) est activé pour la cellule. Les échanges sensibles ne doivent plus transiter par mail ordinaire — les attaquants derrière un deepfake disposent souvent de capacités offensives étendues. Par ailleurs, toute décision prise dans la cellule est horodatée et archivée : ce journal de bord sera indispensable pour les enquêtes ultérieures, judiciaires ou régulatoires.

Cartographie des parties prenantes à prévenir en priorité. Dans l’ordre habituel : le conseil d’administration (pour une société cotée, l’information doit remonter en moins de deux heures), les régulateurs compétents (AMF pour les cotations, CNIL si des données personnelles sont en jeu, ARCOM pour les contenus audiovisuels), les grands clients et partenaires stratégiques, les représentants du personnel, et enfin les médias clés. Cette cartographie n’est pas improvisée : elle fait partie du playbook.

Premier contact avec les plateformes. Il est essentiel de comprendre que les grandes plateformes disposent de canaux d’urgence dédiés aux contenus synthétiques nuisibles. Meta, TikTok, X, YouTube ont tous des procédures accélérées pour les deepfakes visant des personnalités identifiées. Encore faut-il en connaître les points d’entrée. Un trusted flagger status préalablement négocié fait gagner plusieurs heures. Si ce travail n’a pas été fait en amont, cette deuxième heure doit servir à identifier le bon contact.

Heure 2 à 3 : Authentification technique et préparation de la riposte

La troisième heure est technique. Elle conditionne la crédibilité de tout ce qui suivra.

Analyse forensique du contenu. Deux niveaux d’analyse doivent être lancés en parallèle. D’abord, l’analyse automatisée par les outils de détection d’IA générative — ils fournissent en quelques minutes un score de probabilité de manipulation. Ensuite, et c’est indispensable, une analyse humaine experte : un laboratoire forensique spécialisé (en France, on peut citer des entités comme l’IRCGN, ou des sociétés privées comme Buster.ai) peut produire un rapport exploitable en deux à quatre heures. Ce rapport sera la pièce maîtresse à présenter aux médias et aux autorités.

Recherche des marqueurs d’authenticité absente. Les deepfakes, même les plus avancés, laissent des traces : clignements oculaires anormaux, désynchronisation subtile entre les phonèmes et les mouvements labiaux, artefacts autour des oreilles et des dents, incohérences d’éclairage, signature spectrale audio particulière. L’équipe technique doit produire une liste d’éléments concrets et démontrables — ce sont ces éléments qui seront pédagogiquement expliqués dans la communication externe. Démontrer vaut mieux qu’affirmer.

Construction de la preuve positive. En parallèle, il faut rassembler la preuve que le dirigeant était ailleurs, faisait autre chose, au moment prétendu du contenu. Agenda verrouillé, témoins, géolocalisation, enregistrements vidéo authentiques, participations à des événements vérifiables : tout ce qui permet de construire un alibi factuel. Dans l’affaire du deepfake de Volodymyr Zelensky en 2022, c’est sa contre-vidéo tournée dans les minutes suivantes, dans un décor reconnaissable, qui a annihilé l’attaque.

Élaboration des messages clés. À ce stade, la cellule doit figer trois à cinq messages clés qui constitueront l’ossature de toute communication ultérieure. Ces messages doivent être : brefs (une phrase chacun), factuels, non défensifs, et compatibles entre eux. Par exemple : « Le contenu qui circule est une manipulation par intelligence artificielle. » ; « Le dirigeant n’a jamais tenu ces propos. » ; « Une plainte pénale a été déposée. » ; « Nous coopérons avec les autorités et les plateformes. » ; « Notre stratégie et nos engagements restent inchangés. » Ces messages seront déclinés sur tous les canaux, dans toutes les langues utiles, sans variation.

Préparation des contenus visuels de contre-attaque. La communication de crise contemporaine ne peut plus se limiter au communiqué texte. Il faut produire, dans cette fenêtre, une courte vidéo authentique du dirigeant — filmée à l’instant, dans un contexte identifiable et daté — qui sera diffusée en même temps que le démenti officiel. Ce format frappe l’imaginaire ; il est irremplaçable.

Heure 3 à 4 : Première prise de parole, maîtrisée et priorisée

La quatrième heure marque le basculement : l’organisation passe du silence à la parole. Ce basculement est délicat. Trop tôt, il manque de substance et donne prise au doute. Trop tard, il laisse la désinformation s’installer comme référence par défaut.

Hiérarchie des destinataires. La première communication n’est pas publique : elle est interne. Les salariés doivent être informés avant d’apprendre la crise par les réseaux sociaux. Un message du DG, court et clair, diffusé sur l’intranet et par email, explique la situation et donne une ligne de conduite. « N’alimentez pas la rumeur en partageant la vidéo, même pour la dénoncer. Renvoyez les questions externes à la direction de la communication. Nous vous tiendrons informés. »

Information prioritaire des parties prenantes critiques. Simultanément, les membres du conseil d’administration, les principaux investisseurs, les grands clients, et les régulateurs reçoivent une information directe — appel téléphonique pour les plus sensibles, message écrit formel pour les autres. Cette information précède de quinze à trente minutes la communication publique. Elle évite que ces parties prenantes découvrent la crise par la presse, ce qui serait un affront de gouvernance.

Premier communiqué public. Il est publié sur le site corporate, les comptes officiels LinkedIn et X, et envoyé aux agences de presse. Il est court — 150 à 200 mots maximum. Il affirme quatre choses, et quatre seulement : le contenu est faux ; c’est un deepfake ; des mesures ont été prises (plainte, alerte aux plateformes) ; un point d’information plus complet suivra. Il ne s’excuse de rien, ne se justifie de rien, ne commente pas le fond des propos fabriqués — le piège classique serait de nier ligne à ligne, ce qui amplifie la mémorisation du faux contenu. Règle d’or : on ne nie pas les propos inventés, on disqualifie le média qui les véhicule.

Diffusion de la contre-vidéo. Immédiatement après le communiqué, la vidéo authentique du dirigeant est publiée. Elle dure moins d’une minute. Le dirigeant y apparaît calme, dans un cadre reconnaissable, avec une date vérifiable (journal du jour, référence à un événement récent). Il affirme simplement : « Une vidéo falsifiée circule. Elle n’est pas de moi. Voici un enregistrement authentique, réalisé ce matin. Merci de ne pas relayer la manipulation. » Pas de colère, pas d’ironie, pas de longueurs.

Heure 4 à 5 : Action juridique et mobilisation des plateformes

La cinquième heure bascule dans l’action — juridique, technique, et institutionnelle. La parole seule ne suffit jamais : elle doit être accompagnée d’actes visibles qui démontrent la détermination de l’organisation.

Dépôt de plainte. En France, la plainte peut être déposée auprès de la plateforme PHAROS, du parquet territorialement compétent, ou directement auprès de la section J3 du parquet de Paris, spécialisée en cybercriminalité. La loi du 21 mai 2024 (loi SREN) a introduit des dispositions spécifiques sur les deepfakes, complétées par le règlement européen sur l’IA (AI Act) applicable depuis 2025. Les fondements juridiques sont multiples : usurpation d’identité numérique (article 226-4-1 du Code pénal), diffusion de montage sans consentement (article 226-8), atteinte à la vie privée, diffamation, manipulation de cours pour une société cotée. Le dépôt de plainte n’est pas qu’un acte judiciaire : c’est un signal public de gravité et de détermination. Il doit être annoncé.

Escalade auprès des plateformes. Les canaux d’urgence identifiés à l’heure 2 sont activés. Les demandes de retrait sont accompagnées du rapport forensique préliminaire — les plateformes retirent d’autant plus vite qu’elles disposent d’éléments techniques solides. Dans le cadre du DSA européen, les plateformes dites “très grandes” ont une obligation de diligence accélérée sur les contenus manipulés visant des personnalités. Les délais de retrait, en pratique, varient de une à six heures lorsque le dossier est bien préparé.

Alerte aux régulateurs sectoriels. Pour une entreprise cotée, l’AMF doit être informée si le deepfake est susceptible d’affecter le cours du titre — ce qui est presque toujours le cas. Le manquement à cette obligation d’information constitue en lui-même un risque majeur. Pour les secteurs régulés (banque, assurance, santé, énergie), les autorités correspondantes doivent également être prévenues.

Mobilisation des alliés informationnels. La communication de crise n’est pas monolithique : elle s’appuie sur des relais de confiance. Les grands médias de référence, sollicités pour couvrir l’incident, doivent recevoir le rapport forensique en exclusivité. Les fact-checkers reconnus (AFP Factuel, Les Décodeurs, CheckNews) sont contactés. Leur validation indépendante pèsera davantage qu’une dizaine de communiqués corporates. Idéalement, des voix tierces crédibles — experts en cybersécurité, juristes spécialisés, clients historiques — sont incitées à s’exprimer publiquement pour renforcer la ligne de défense.

Heure 5 à 6 : Amplification de la réponse et gestion de la conversation

La sixième heure est celle de l’amplification. Avoir parlé une fois ne suffit pas : il faut occuper l’espace, car la nature du paysage médiatique est d’abhorrer le vide.

Conférence de presse ou point presse à distance. Selon l’ampleur de la crise, une conférence de presse physique ou un point presse en visioconférence est organisé environ six heures après le déclenchement. Le dirigeant y prend la parole en personne — c’est non négociable. Son absence serait interprétée comme une fuite. Il explique les faits, présente le rapport forensique, annonce les actions engagées, répond aux questions. Le format court (vingt minutes) est préférable : il évite les dérives et les questions opportunistes. La préparation de cet exercice — média training accéléré, anticipation des questions pièges, répétition des messages clés — doit avoir été conduite pendant les heures précédentes.

Diffusion multicanale coordonnée. Le communiqué, la contre-vidéo, et un Q&A synthétique sont diffusés simultanément sur l’ensemble des canaux : site corporate, LinkedIn, X, Instagram, YouTube, newsletters clients, intranet, voire TikTok si l’audience concernée y est présente. Chaque canal reçoit un format adapté, mais les messages clés restent strictement identiques. Cette cohérence est l’un des facteurs les plus déterminants de la perception publique.

Gestion active des commentaires. Les community managers, sous supervision de la cellule, modèrent les conversations sans les étouffer. Les questions légitimes reçoivent des réponses factuelles. Les provocations manifestes sont ignorées — répondre à un troll, c’est lui donner une audience. Les tentatives de désinformation secondaire (commentaires affirmant que le démenti est lui-même un mensonge) sont signalées aux plateformes.

Suivi de l’impact réputationnel en temps réel. Les outils de veille mesurent minute par minute l’évolution du sentiment, la propagation relative du contenu originel par rapport au démenti, les mentions dans les médias traditionnels, les signaux faibles sur les forums spécialisés. Ces métriques alimentent directement la cellule de crise et permettent d’ajuster la stratégie : faut-il une seconde prise de parole ? Un angle complémentaire ? Une interview exclusive à un média de référence ?

Heure 6 à 7 : Consolidation et préparation de l’après

La septième heure ne clôt pas la crise — elle en stabilise le traitement et prépare la phase longue. C’est sans doute l’heure la plus sous-estimée.

Bilan d’étape formalisé. La cellule de crise se réunit pour un point complet : que savons-nous qui n’était pas connu il y a une heure ? Quelle est la trajectoire du contenu originel ? Quels sont les retours des parties prenantes prioritaires ? Quels sont les signaux d’alerte secondaires (tentatives de deepfakes dérivés, campagnes coordonnées, sollicitations médias inhabituelles) ? Ce bilan est documenté.

Préparation du cycle médiatique suivant. Les sept premières heures correspondent au premier cycle de viralité. Le deuxième cycle — reprises médiatiques, analyses éditoriales, commentaires d’experts — se déroule entre la septième et la vingt-quatrième heure. Il faut le préparer dès maintenant : identifier les angles d’analyse qui pourraient émerger, préparer des tribunes, des interviews exclusives, éventuellement un post personnel du dirigeant sur LinkedIn expliquant comment il a vécu la crise. Humaniser est, à ce stade, un acte stratégique.

Protection des cibles secondaires. Un deepfake de dirigeant s’accompagne souvent d’attaques dérivées : phishing ciblant les collaborateurs en se faisant passer pour le PDG, tentatives de fraude au président, attaques d’ingénierie sociale sur la famille du dirigeant. Une alerte cybersécurité doit être diffusée à l’ensemble de l’organisation, et des mesures de protection renforcées peuvent être activées pour les proches du dirigeant concerné.

Verrouillage de la gouvernance de crise. Un calendrier de points de situation est fixé — toutes les deux heures pour les douze heures suivantes, puis toutes les quatre heures pour les vingt-quatre suivantes, puis un rythme quotidien. Ce rythme, explicite, évite l’épuisement et empêche la cellule de se dissoudre prématurément.

Premier retour d’expérience informel. Enfin, dès la septième heure, un début de hot wash est conduit : qu’est-ce qui a bien fonctionné ? Quels points faibles sont apparus ? Quelles décisions devront être revisitées dans les jours suivants ? Ce premier retour, même sommaire, prépare le débriefing formel qui devra se tenir dans les deux semaines.

Ce qui distingue une réponse réussie d’un échec réputationnel

Sept heures. Cela peut sembler à la fois très court et très long. Très court quand on mesure la quantité de décisions, de vérifications et d’actes à produire. Très long quand on mesure combien de réputations peuvent s’effondrer en bien moins de temps.

La différence entre une organisation qui traverse une crise deepfake sans dommage durable et une organisation qui en sort abîmée tient presque toujours à trois facteurs.

Le premier est la préparation. Les cellules qui improvisent échouent. Celles qui disposent d’un playbook, d’une cellule préconstituée, de contacts établis avec les plateformes, de contrats-cadres avec des laboratoires forensiques, et d’exercices réguliers — au moins deux simulations par an — traversent la tempête. On ne s’entraîne pas pendant la crise ; on y applique ce que l’on a appris.

Le deuxième est la discipline de la vérité. La tentation de la communication défensive, de la minimisation, du silence, ou à l’inverse de la surréaction émotionnelle, est permanente. La réponse efficace est invariablement sobre, factuelle, prouvée, répétée. Elle ne négocie pas avec la réalité.

Le troisième est la vitesse coordonnée. Non pas la vitesse seule — la précipitation tue — mais la vitesse orchestrée, où chaque minute compte, où chaque acte est synchronisé, où la parole publique suit de près la preuve technique, et où les actes juridiques accompagnent les mots. Cette coordination ne s’improvise pas : elle se construit en amont, dans les moments où personne ne parle encore de deepfake.

L’ère des contenus synthétiques ne fait que commencer. Les outils de génération progressent plus vite que les outils de détection. Les coûts baissent. Les motivations des attaquants se diversifient — manipulation financière, déstabilisation géopolitique, chantage, vengeance personnelle. Dans ce contexte, la question n’est plus de savoir si une organisation sera un jour visée, mais quand. Les directions générales qui n’ont pas encore intégré cette réalité dans leur dispositif de crise prennent un risque dont l’ampleur est disproportionnée par rapport au coût de la préparation.

Les sept premières heures ne sauvent pas seulement une réputation. Elles révèlent la maturité d’une organisation. Et cette maturité, aujourd’hui, se mesure en minutes.