Deepfake en entreprise : comment réagir et se protéger

La prochaine grande crise de votre entreprise ne commencera peut-être ni par un article de presse, ni par une fuite de documents, mais par une vidéo. Une voix au téléphone. Un message vocal sur une messagerie. Crédible, virale et entièrement fabriquée. Le deepfake en entreprise n’est plus une menace de science-fiction analyse l’expert en communication de crise Florian Silnicki, Président Fondateur de l’agence LaFrenchCom. Ainsi en février 2024, le groupe d’ingénierie Arup a perdu environ 25 millions de dollars après qu’un de ses employés à Hong Kong a participé à une visioconférence où tous les participants, y compris un faux directeur financier, étaient des avatars synthétiques. Quelques mois plus tôt, Ferrari échappait de justesse à une tentative similaire.

Ce guide va droit au but. Il répond aux deux questions que se posent dirigeants, directeurs financiers, RSSI et responsables de la communication : comment réagir quand une attaque par deepfake est en cours, et comment se protéger pour réduire le risque qu’elle réussisse. Pour comprendre le tableau d’ensemble de ces nouvelles crises, vous pouvez vous reporter à notre guide pilier sur la communication de crise face à l’IA ; ici, on entre dans le concret de l’action et de la prévention.

Deepfake en entreprise : de quoi parle-t-on exactement ?

Un deepfake est un contenu — audio, vidéo ou image — généré ou modifié par intelligence artificielle pour faire dire ou faire à quelqu’un ce qu’il n’a jamais dit ni fait. Les réseaux de neurones génératifs imitent un visage, une voix, des intonations et des tics de langage avec un réalisme qui trompe l’œil et l’oreille.

Ce qui a tout changé, c’est l’accessibilité. Avant 2018, produire une minute de fausse vidéo exigeait des compétences pointues et coûtait, selon l’étude de l’éditeur Surfshark, entre 300 et 20 000 dollars. Aujourd’hui, la même opération se réalise pour quelques euros, sans expertise particulière, avec des outils grand public. Côté audio, trois à dix secondes d’enregistrement — une interview, un extrait de conférence, une story sur les réseaux sociaux — suffisent à cloner une voix de manière convaincante. Autrement dit : plus un dirigeant est public, plus il est facile à imiter.

Une menace devenue industrielle : les chiffres qui alertent

L’ampleur du phénomène a basculé en 2025. Selon l’étude Surfshark, les pertes mondiales cumulées liées à la fraude par deepfake ont atteint environ 863 millions d’euros (1 milliard de dollars) sur la seule année 2025, contre 110 millions d’euros pour toute la période 2019-2023 réunie. Le fournisseur de vérification d’identité Signicat estime que le coût des attaques par deepfake a bondi d’environ 2 000 % depuis l’arrivée de l’IA générative en 2023, et de 200 % sur la seule année écoulée.

La cible n’est plus seulement les grands groupes. D’après l’étude mondiale de Sumsub, les deepfakes utilisés pour usurper une identité ont progressé d’environ 700 % à l’échelle mondiale entre le premier trimestre 2024 et le premier trimestre 2025, avec des hausses du même ordre en France (+700 %), au Royaume-Uni (+900 %) et en Allemagne (+1 100 %). En France, plus de 1 000 affaires de faux ordres de virement ont été recensées en 2024, et la Banque de France chiffre à plusieurs centaines de millions d’euros le préjudice des fraudes par manipulation. Pour une entreprise victime, le coût moyen d’une fraude au faux dirigeant se situe le plus souvent entre 40 000 et 120 000 euros — un montant qui peut être fatal à une PME. Comme le résument plusieurs experts du secteur, on est passé de la fraude isolée à l’industrialisation de la manipulation.

Les quatre visages du deepfake en entreprise

Toutes les attaques ne se ressemblent pas. Identifier le type d’agression conditionne la bonne réponse.

La fraude au dirigeant (ou « fraude au président »)

C’est la variante la plus coûteuse. Un faux dirigeant — voix clonée, parfois vidéo — ordonne à un collaborateur du service financier d’effectuer un virement urgent et confidentiel. L’urgence et l’autorité hiérarchique paralysent le jugement, surtout dans les PME où la chaîne de validation est courte et où l’on remet rarement en cause un ordre du patron. Le cas Arup illustre la version la plus aboutie : une visioconférence entièrement peuplée d’avatars. Ferrari, à l’inverse, montre comment on déjoue l’attaque : intrigué par un appel imitant la voix du PDG, un cadre a posé une question dont seul le véritable dirigeant connaissait la réponse. Le piège s’est refermé sur les fraudeurs.

Le deepfake réputationnel

Ici, l’objectif n’est pas l’argent mais l’image. Fausse déclaration d’un PDG annonçant un rappel de produit, propos racistes ou sexistes attribués à un porte-parole, vidéo compromettante mettant en scène un dirigeant : le contenu vise à détruire la confiance. Sa force est qu’il n’a pas besoin de convaincre tout le monde — il lui suffit d’exister assez longtemps pour semer le doute et se propager avant le démenti.

La manipulation de marché et la désinformation

Une fausse annonce attribuée à un dirigeant coté, une fausse vidéo d’incident industriel, de faux communiqués peuvent faire bouger un cours de Bourse ou déstabiliser un concurrent. Couplée à des réseaux de comptes automatisés, cette désinformation synthétique fabrique une crise de toutes pièces.

L’infiltration et le contournement biométrique

Variante en forte croissance : de faux candidats, très convaincants en visioconférence, postulent à des postes à distance — surtout dans l’informatique — pour s’introduire dans l’organisation. Les deepfakes servent aussi à contourner les systèmes de vérification d’identité (reconnaissance faciale ou vocale). Ces attaques visent l’accès aux systèmes plus que le virement immédiat, mais préparent souvent des fraudes ultérieures.

Comment réagir face à une attaque par deepfake

La réaction doit être rapide, ordonnée et adaptée au type d’attaque. Voici les protocoles.

Réagir à une fraude au dirigeant en cours

Si un virement suspect vient d’être demandé ou exécuté, chaque minute compte. Le premier réflexe est de suspendre l’opération : ne pas valider tant que l’identité du demandeur n’est pas confirmée, et si le virement est parti, contacter immédiatement la banque pour tenter un rappel de fonds, qui n’est possible que dans une fenêtre très courte. Il faut ensuite vérifier par un second canal indépendant — rappeler le dirigeant sur son numéro officiel issu de l’annuaire interne, jamais sur celui fourni par l’interlocuteur. En parallèle, on préserve les preuves (enregistrements, journaux d’appel, e-mails, captures) et on alerte la direction, le RSSI et les autorités : en France, dépôt de plainte et signalement aux services compétents. La rapidité de la détection interne est souvent ce qui distingue la perte évitée de la perte consommée.

Réagir à un deepfake réputationnel : la riposte en deux temps

Face à une vidéo ou un audio potentiellement faux qui circule, le communicant est tiraillé entre réagir vite et vérifier avant de parler. Un démenti précipité sur un contenu en réalité authentique serait désastreux ; mais le silence laisse le faux occuper le terrain. La résolution tient en deux temps.

Premier temps, immédiat : occuper l’espace sans se prononcer sur le fond, par un message du type « nous avons connaissance de ce contenu, nous procédons à des vérifications et communiquerons rapidement ». Ce holding statement maintient la confiance sans engager prématurément.

Second temps, après authentification technique : la prise de position ferme. Si le contenu est faux, il faut le qualifier explicitement de deepfake, expliquer comment on le sait (analyse forensique, incohérences, source identifiée), porter plainte pour marquer le sérieux de la démarche, et relayer un message unique et cohérent sur tous les canaux. La transparence sur le processus de vérification devient elle-même un gage de crédibilité.

Les réflexes à proscrire absolument

Quelques erreurs aggravent systématiquement la situation : payer sous la pression de l’urgence sans vérification ; démentir trop vite un contenu non authentifié ; amplifier le faux en y répondant massivement alors qu’il était encore confidentiel ; et, à l’opposé, rester silencieux trop longtemps en espérant que « ça passe ». Ni précipitation ni paralysie : une réponse méthodique, en deux temps, par un porte-parole identifié.

Comment se protéger : six leviers de prévention

La meilleure gestion de crise reste celle qu’on n’a pas à mener. La prévention repose sur six leviers complémentaires, à la croisée de la communication, de la finance et de la cybersécurité.

1. Le protocole de vérification à double canal. C’est la mesure la plus efficace contre la fraude au dirigeant, et la moins coûteuse. Règle d’or : aucun virement urgent ne s’exécute sur la foi d’un seul canal (téléphone ou e-mail ou visio), même si la voix et le visage semblent parfaits. Toute demande sensible doit être confirmée par un second canal indépendant, via les coordonnées officielles internes.

2. Les mots de passe verbaux et codes d’authentification. Pour les visioconférences et les opérations sensibles, instaurer un mot de passe verbal ou une phrase de contrôle connue des seuls interlocuteurs légitimes. C’est exactement le réflexe qui a sauvé Ferrari : une question dont seul le vrai dirigeant détenait la réponse.

3. La formation et la sensibilisation, en priorité la finance. Les fonctions financières, la comptabilité et les assistants de direction sont les cibles privilégiées. Ils doivent connaître le mode opératoire de la fraude, savoir résister à la pression hiérarchique simulée et appliquer la vérification systématique. Des exercices réguliers ancrent ces réflexes mieux qu’une note de service.

4. Les outils de détection de deepfakes. À mesure que la génération progresse, l’œil humain devient insuffisant pour repérer les artefacts les plus fins. Des solutions spécialisées analysent en temps réel les micro-signaux invisibles : Reality Defender (détection multimodale probabiliste, sans filigrane préalable), FakeCatcher d’Intel (qui repère les signaux physiologiques comme le flux sanguin), ou encore la suite open source InVID/WeVerify pour l’analyse forensique assistée. Aucun outil n’est infaillible, mais ils font gagner les minutes décisives entre l’apparition d’un contenu suspect et sa qualification.

5. Le pre-bunking et les canaux officiels. Plutôt que d’attendre l’attaque, communiquez en amont sur votre vulnérabilité (« nos dirigeants ne demanderont jamais un virement par visioconférence ») et établissez des canaux d’authentification reconnus de vos parties prenantes. Quand le faux surgit, le public dispose déjà d’un réflexe de vérification.

6. La gouvernance et les exercices de simulation. Intégrez le scénario deepfake à votre plan de gestion de crise, constituez une cellule transversale (communication, juridique, cyber, technique) et entraînez-la par des simulations incluant une fausse vidéo ou un faux appel. Une charte d’usage de l’IA, en complément, limite les fuites de données qui alimentent ensuite les fraudes.

Checklist anti-deepfake pour votre entreprise

À mettre en place sans attendre :

• Procédure de double validation documentée pour tout virement ou opération sensible.
• Coordonnées officielles internes des dirigeants, accessibles à toutes les fonctions exposées.
• Mot de passe verbal pour les visioconférences impliquant des décisions financières.
• Plan de réponse deepfake : holding statement pré-rédigé, arbre de décision, contacts banque, juridique et autorités.
• Programme de sensibilisation annuel pour la finance, la direction et la communication.
• Outil de détection sélectionné et intégré aux flux critiques (visio, vérification d’identité).
• Communication préventive auprès des clients, fournisseurs et collaborateurs sur les canaux légitimes.
• Exercice de crise avec scénario deepfake réalisé au moins une fois par an.

FAQ : deepfake en entreprise

Comment reconnaître un deepfake ? Les indices visuels (clignements anormaux, synchronisation labiale imparfaite, éclairage incohérent, contours flous) et vocaux (intonation trop lisse, respirations absentes) existent encore, mais ils disparaissent vite à mesure que la technologie progresse. La parade la plus fiable n’est pas l’œil humain mais le couple vérification par second canal + outil de détection spécialisé.

Que faire si mon entreprise est victime d’une fraude au dirigeant ? Suspendre immédiatement l’opération, contacter la banque pour tenter un rappel de fonds, vérifier par un canal indépendant, préserver toutes les preuves, alerter la direction et le RSSI, puis déposer plainte et signaler aux autorités compétentes.

Comment réagir à un deepfake qui nuit à notre réputation ? En deux temps : un message immédiat indiquant que vous avez connaissance du contenu et procédez à des vérifications, puis, après authentification technique, une prise de position ferme qualifiant le contenu de faux, expliquant comment vous le savez, et accompagnée d’un dépôt de plainte si nécessaire.

Une PME est-elle réellement concernée ? Oui, et de plus en plus. La technologie est devenue accessible pour quelques dizaines d’euros, et les chaînes de validation courtes des PME en font des cibles rentables. Les pertes constatées atteignent plusieurs dizaines de milliers d’euros par incident.

Quels outils de détection de deepfakes choisir ? Cela dépend de l’usage : Reality Defender pour une détection multimédia en entreprise, FakeCatcher d’Intel pour la vidéo, InVID/WeVerify pour l’analyse forensique. L’essentiel est d’intégrer la détection aux points critiques et de conserver un humain dans la boucle de décision.

Le double contrôle suffit-il à se protéger ? C’est la mesure la plus efficace contre la fraude financière, mais elle ne couvre pas le deepfake réputationnel ni l’infiltration. Une protection sérieuse combine procédures, formation, détection technique et préparation à la crise.

Conclusion : la confiance se prépare avant l’attaque

Le deepfake a fait basculer la sécurité de l’entreprise dans une ère où voir et entendre ne suffisent plus à croire. Mais la bonne nouvelle est que la parade ne repose pas d’abord sur une technologie de pointe : elle repose sur des réflexes simples et systématiques — vérifier par un second canal, instaurer un mot de passe verbal, former les équipes exposées, préparer une riposte en deux temps. Les entreprises qui s’en sortiront ne seront pas celles qui possèdent les meilleurs algorithmes, mais celles qui ont transformé la vérification en culture et la préparation en réflexe.

Pour resituer ces réponses dans la stratégie globale de communication de crise à l’ère de l’IA, consultez notre guide pilier : c’est là que se dessine la vision d’ensemble dont ce protocole anti-deepfake n’est qu’un maillon — essentiel, mais un maillon.