AccueilFAQLe PDG cloné : quand la communication de crise devient une crise de la preuve

Le PDG cloné : quand la communication de crise devient une crise de la preuve

Sommaire

fraude

8h12. Un message vocal arrive sur le téléphone d’un directeur financier. La voix est familière, l’intonation aussi. Le “PDG” parle vite, comme d’habitude, un peu pressé. Il exige un virement “dans l’heure”, pour une opération “strictement confidentielle”. Le directeur financier hésite, puis reçoit un second signal : une invitation à une réunion Teams. La caméra s’allume. Le visage du PDG est là. Les collègues aussi. Tout semble normal.

À 8h29, l’entreprise a transféré sept chiffres à un compte bancaire qu’elle ne reverra plus.

Ce scénario n’est plus un thriller. C’est une variante contemporaine de l’arnaque au président, à laquelle on a greffé le carburant de notre époque : la synthèse de voix, la génération vidéo, et la manipulation “à l’échelle”. À Hong Kong, un employé a été amené à effectuer 15 transactions vers cinq comptes pour un total de HK$200 millions après une visioconférence où “dirigeants” et collègues étaient des deepfakes. Dans un autre cas, une entreprise britannique a perdu €220 000 après un appel téléphonique attribué à une voix synthétique imitant un dirigeant, selon l’assureur de l’entreprise.

Pour un COMEX, le vrai basculement n’est pas technologique. Il est organisationnel : la communication de crise n’est plus seulement la gestion d’un récit, mais la gestion d’une preuve. Autrement dit : comment prouver, vite et publiquement, qu’un contenu est faux ou qu’un message est authentique quand nos sens et nos outils du quotidien (visioconférence, messageries, extraits vidéo) peuvent être imitables ?

La nouvelle grammaire du risque : “ce n’est pas ce qui est dit, c’est qui le dit”

Les crises classiques s’ouvrent par un fait : accident industriel, cyberattaque, rappel produit, affaire RH. On court après la vérité… mais on sait, en général, que la source est tangible.

Les crises deepfake s’ouvrent par un doute :

  • Le message est-il réel ?
  • La personne est-elle bien la personne ?
  • Le canal est-il le canal ?

Ce n’est pas un détail. C’est un changement de nature. Les deepfakes attaquent simultanément trois piliers :

  1. L’identité (un individu est imité).
  2. L’autorité (l’imitation déclenche des actes : virement, accès, déclaration).
  3. La confiance (le public, les salariés, les partenaires, ne savent plus quoi croire).

Le FBI, dans un avis de 2024, résume le mouvement : des acteurs malveillants utilisent des techniques de clonage voix/vidéo pour se faire passer pour des personnes de confiance afin d’obtenir des informations sensibles ou faire autoriser des transactions frauduleuses.

Pour le COMEX, cela signifie : la première décision de crise n’est plus “que dire ?” mais “comment établir une preuve exploitable ?”. Et cette preuve doit être utilisable dans trois arènes à la fois : interne, médias, autorités/régulateurs.

Pourquoi maintenant : l’économie du faux a changé

On parle de deepfakes depuis des années. Mais ce qui change aujourd’hui, c’est le rapport coût/effet :

  • Les outils sont accessibles et s’industrialisent ; la création d’audio/vidéo “crédibles” n’exige plus un studio.
  • Le cycle est court : un contenu peut circuler avant même que le siège ne sache qu’il existe.
  • Le faux est multi-canal : une voix WhatsApp, un message Teams, un extrait YouTube détourné, une fausse adresse email, tout dans la même séquence.

L’exemple WPP est éclairant : des fraudeurs ont créé un faux compte WhatsApp avec une image publique du CEO, organisé une réunion Teams et combiné clone vocal + images issues de vidéos publiques + messages dans le chat. L’attaque a échoué, mais la mécanique est devenue “réplicable”.

La conséquence stratégique est simple : les attaques ne ciblent plus seulement votre système d’information. Elles ciblent votre système de décision.

Les quatre scénarios “COMEX” à anticiper

Pour gouverner un risque, il faut le découper en scénarios. Ceux qui touchent le COMEX se concentrent généralement en quatre familles.

Scénario A — Le faux ordre (fraude financière / procurement)

Objectif : déclencher un transfert, un changement de RIB, une “transaction exceptionnelle”.

C’est le scénario Hong Kong/Arup : un employé, rassuré par une visio deepfake, exécute des virements multiples.
C’est aussi la version “audio only” : appel urgent, accent imité, pression temporelle, virement exécuté.

Risque communication :

  • fuite publique (“comment ont-ils pu se faire avoir ?”),
  • soupçon d’incompétence ou de contrôle interne faible,
  • contagion aux partenaires et banques.

Scénario B — La fausse déclaration (réputation, social, politique RH)

Objectif : faire dire au PDG ce qu’il n’a jamais dit : propos discriminants, annonce de licenciements, “aveu” compromettant, prise de position géopolitique.

Risque communication :

  • amplification sociale,
  • crise interne (salariés),
  • clients/investisseurs qui demandent des explications avant même que vous puissiez prouver le faux.

Scénario C — La fausse preuve (contentieux, enquête, concurrence)

Objectif : produire un audio/vidéo “preuve” dans un litige, une enquête interne, une négociation commerciale.

Risque communication :

  • pression juridique,
  • risque d’auto-incrimination si l’organisation commente trop vite,
  • risque d’“effet Streisand” si l’on dément maladroitement.

Scénario D — Le faux accès (IT / sécurité / compromission)

Objectif : utiliser l’identité du PDG/CFO/CIO pour obtenir un reset MFA, un accès à un coffre-fort, un partage de documents, un “onboarding” accéléré.

Le FBI décrit des campagnes où des messages (texte/voix) établissent la confiance puis poussent la cible vers des liens et plateformes contrôlées par l’attaquant.

Risque communication :

  • l’incident peut se transformer en cyberattaque majeure,
  • la communication est alors “double” : deepfake + data breach.

La crise de la preuve : pourquoi “détection” ne suffit pas

Beaucoup d’organisations répondent au risque deepfake par la promesse : “on va détecter”. C’est nécessaire. Mais insuffisant. Et parfois dangereux : la détection devient un alibi qui retarde l’action (“attendons le rapport technique”).

Deux limites structurantes :

  1. La détection est une course.
    Des programmes de recherche montrent une dynamique d’“arms race” entre forensics et deepfakes, et un phénomène de “data drift” : les détecteurs vieillissent vite car les outils de génération progressent.
  2. La preuve n’est pas seulement technique.
    Même si un expert conclut “probablement faux”, votre problème est :
  • comment le démontrer au public ?
  • comment sécuriser la parole officielle ?
  • comment empêcher que le faux déclenche des actes (virements, décisions, panique interne) ?

C’est ici qu’une idée clé s’impose : passer d’une logique “détecter le faux” à une logique “attester le vrai”.

Attester le vrai : l’enjeu des “chaînes de provenance”

Dans le monde des médias, une réponse émerge : documenter l’origine et l’historique d’un contenu via des métadonnées signées.

La coalition C2PA (Content Provenance and Authenticity) décrit un standard ouvert qui permet d’établir l’origine et les modifications d’un contenu via des “Content Credentials”.
L’idée n’est pas de dire “ceci est vrai” par magie. L’initiative CAI (Content Authenticity Initiative) le rappelle : ces credentials fournissent une information d’origine et d’historique, mais ne sont pas destinés à déclarer qu’un contenu est “réel”.

Traduction COMEX : la provenance n’est pas une baguette magique. C’est un outil d’architecture de confiance.

Pourquoi c’est stratégique pour la communication de crise

Parce que, demain, une entreprise haut de gamme devra pouvoir dire :

  • “Nos prises de parole vidéo officielles sont signées et vérifiables.”
  • “Les contenus non signés ne sont pas des contenus corporate.”
  • “Voici le canal où l’on peut vérifier nos messages.”

Vous ne gagnerez pas toutes les batailles du faux. Mais vous pouvez gagner la bataille de la référence : où se trouve la source vraie, comment la vérifier, et comment éduquer vos parties prenantes à ce réflexe.

La doctrine : parler vite sans figer une contre-vérité

La communication de crise, dans l’ère deepfake, doit tenir une contradiction : être rapide (sinon le faux s’installe) et être prudente (sinon vous vous contredisez).

Voici une doctrine en trois temps.

Temps 1 — “Nommer le risque” (sans valider le contenu)

Objectif : mettre en place une posture officielle sans entrer dans l’analyse détaillée.

Formulation type :

“Nous avons connaissance d’un contenu circulant en ligne prétendant montrer/faire parler [fonction]. Nous procédons à des vérifications. À ce stade, nous recommandons de se référer exclusivement à nos canaux officiels.”

C’est une phrase qui protège : elle reconnaît le phénomène, elle ne commente pas le fond, elle fixe un protocole.

Temps 2 — “Verrouiller les canaux”

Objectif : éviter que les salariés, partenaires, médias, ne se rabattent sur des copies.

Dans l’affaire WPP, le CEO a alerté en interne sur les signaux faibles (demande de passeport, transfert d’argent, “transaction secrète”).
Ce réflexe est crucial : la communication interne est souvent la première digue.

Temps 3 — “Publier une preuve communicable”

Objectif : produire un élément clair, non technique, partageable, qui explique “pourquoi c’est faux” ou “comment vérifier le vrai”.

Ce peut être :

  • la source originale (vidéo officielle signée / canal officiel),
  • une chronologie simple,
  • une attestation de plainte/dépôt auprès des autorités (si approprié),
  • des captures et éléments factuels sans sur-promesse.

Le kit d’activation : 60 minutes, 24 heures, 72 heures

Dans les 60 premières minutes : l’enjeu n’est pas la réputation, c’est la propagation

Objectifs : stopper l’hémorragie, empêcher la prise de décision sous fausse identité, stabiliser l’interne.

  1. Activer une “cellule preuve” (CISO/forensics + juridique + com).
  2. Geler les actions déclenchables par la voix (paiements urgents, modifications RIB, resets MFA, décisions RH sensibles).
  3. Message interne flash (Teams/Slack/intranet) :
    • “Si vous recevez une demande inhabituelle au nom d’un dirigeant, stoppez, vérifiez via le canal X.”
  4. Rappeler le protocole de vérification (appel retour sur numéro connu, double validation, canal secondaire).

Point COMEX : assumez un principe “zero trust” sur l’identité, le temps de la crise.

Dans les 24 heures : l’enjeu est l’autorité (qui parle au nom de l’entreprise ?)

Objectifs : établir un narratif minimal, canaliser les demandes externes, donner aux managers un script unique.

  • Q&A interne pour 3 populations : managers, finance/IT, front client.
  • Statement externe court, stable, sans interprétation technique excessive.
  • Coordination banque/assureur/autorités si fraude financière.
  • Collecte des preuves : URLs, horodatage, copies, logs.

Le FBI insiste sur la vigilance face aux demandes urgentes de fonds ou d’identifiants, et recommande des pratiques comme l’authentification multi-facteur et la vérification de l’authenticité des communications.
Ce n’est pas qu’un sujet “IT” : c’est une ligne de communication interne et externe (“voici nos standards de vérification”).

Dans les 72 heures : l’enjeu est la confiance et l’apprentissage

Objectifs : expliquer, corriger, renforcer.

  • Rétablir la chaîne de confiance (canaux officiels, signatures, protocoles).
  • Engager les plateformes (signalement, takedown, preuves).
  • Lancer un “deepfake drill” (même court) : parce que le vrai coût n’est pas la première attaque, c’est la répétition.

La “chaîne de confiance” : ce que le COMEX doit faire décider, pas déléguer

On délègue souvent aux équipes com ou cyber la réponse. Mais la crise de la preuve touche à la gouvernance : qui peut engager l’entreprise ? sur quel canal ? avec quelle preuve ?

Voici les décisions structurantes à prendre au niveau COMEX.

Décision 1 — Une politique “canaux officiels” explicite

  • Liste publique et interne des canaux où l’entreprise publie (site, newsroom, LinkedIn corporate, etc.).
  • Principe : “tout message hors de ces canaux n’est pas officiel”.

C’est banal… jusqu’au jour où un faux compte “CEO” fait une annonce sur une plateforme.

Décision 2 — Un protocole “proof-of-life” pour les instructions sensibles

Ce n’est pas un gadget. C’est une procédure comme un ordre de paiement.

Exemples (à adapter) :

  • “Aucune demande de virement > X n’est valide via WhatsApp/voix.”
  • “Toute demande urgente doit être confirmée via un canal secondaire pré-enregistré.”
  • “Mots de passe/phrases de challenge” (utile, mais à considérer comme faible si compromis ; à combiner).

Décision 3 — Un dispositif d’attestation des contenus corporate

Vous pouvez être ambitieux (signature/provenance type C2PA) ou pragmatique (hash, stockage, archivage, horodatage). L’essentiel est la capacité à dire :

  • “voici la version source”,
  • “voici comment vérifier”.

Les standards comme C2PA visent précisément à établir l’origine et les modifications d’un contenu.
Et les initiatives de content credentials expliquent que ces métadonnées sont signées et “tamper-evident” (toute altération est détectable).

Décision 4 — Une position publique sur l’usage de l’IA générative

Beaucoup d’entreprises utilisent l’IA pour le marketing, le RH, le service client. La question “utilisez-vous des deepfakes ?” peut surgir en crise. Anticipez :

  • Charte d’usage.
  • Transparence.
  • Gouvernance d’approbation.

L’UE prépare des mécanismes de mise en pratique des obligations de transparence et d’étiquetage des contenus générés/manipulés (dont deepfakes) dans le cadre de l’AI Act.
Même si votre crise est une attaque, le contexte réglementaire influence l’attente sociale : “qu’avez-vous mis en place ?”.

Le paradoxe de la preuve : “plus vous prouvez, plus vous amplifiez”

Un piège fréquent : répondre au deepfake en le rediffusant “pour expliquer”. On se retrouve à faire la promotion du faux.

Trois règles “haute couture” pour éviter l’effet boomerang

  1. Ne republiez pas le deepfake (sauf nécessité juridique). Décrivez-le.
  2. Répondez par un original (un contenu corporate sûr), pas par une analyse du faux.
  3. Évitez le “débat technique” public : la plupart des audiences ne jugent pas la compression vidéo, elles jugent votre assurance, votre vitesse, votre cohérence.

Votre objectif est de déplacer la conversation : du contenu à la méthode (“voici comment vérifier ce qui est officiel”).

Les 12 questions à poser lundi matin

  1. Quels sont nos canaux officiels et sont-ils connus de tous (salariés, partenaires, médias) ?
  2. Avons-nous un protocole “aucune instruction sensible par voix” ?
  3. Qui valide un message externe “deepfake” : com, juridique, CEO, tous ? sous quel délai ?
  4. Avons-nous une cellule preuve (forensics + juridique + com) activable en 30 minutes ?
  5. Notre dispositif de paiement résiste-t-il à l’attaque “visio du CFO” ?
  6. Notre IT a-t-elle un protocole anti “CEO demande un reset MFA” ?
  7. Avons-nous un modèle de message interne “stop & verify” prêt à l’emploi ?
  8. Avons-nous des relations plateformes/PR pour accélérer signalements et takedown ?
  9. Avons-nous une doctrine sur l’usage de la provenance/signature de contenus ?
  10. Qui porte la parole : CEO réel, porte-parole, DG, CISO ? selon quelle typologie ?
  11. Sommes-nous prêts à documenter la crise sans “sur-promesse” technique ?
  12. Quand faisons-nous un exercice ? (la réponse “l’an prochain” est déjà un retard)

Deux pages de “prêt-à-publier” : messages modèles

Message interne (salariés) — 6 lignes, utilisable en 5 minutes

Nous avons connaissance de tentatives d’usurpation d’identité (messages/voix/visioconférences) visant des collaborateurs.
Aucune demande urgente de transfert d’argent, de documents confidentiels ou d’accès informatique ne doit être exécutée sans vérification via les canaux habituels.
En cas de doute : stoppez, alertez votre manager et contactez [point de contact] via [canal officiel].
Nous reviendrons vers vous dès que possible avec des informations vérifiées.

Message externe (médias / réseaux) — positionnement minimal

Nous avons connaissance d’un contenu circulant en ligne prétendant impliquer un membre de notre direction. Nous procédons à des vérifications.
Nous invitons nos parties prenantes à se référer exclusivement à nos canaux officiels pour toute information.
Si nécessaire, nous engagerons toutes démarches utiles auprès des autorités compétentes.

Le luxe, demain, c’est la certitude

Dans les crises traditionnelles, la rareté est la vérité. Dans les crises deepfake, la rareté devient la certitude.

Le COMEX doit intégrer une idée simple : l’entreprise qui survivra le mieux n’est pas celle qui “détecte” le plus, mais celle qui sait “attester” le plus vite — et qui a préparé ses rituels de preuve : canaux, procédures, messages, responsabilités.

Les attaques continueront. Le FBI avertit de l’usage croissant d’IA (texte, image, audio, vidéo) pour rendre les fraudes plus crédibles et plus rapides. Des institutions publiques montent des cadres d’évaluation de détection, signe que le sujet est désormais de politique publique autant que de cybercriminalité. Et les standards de provenance progressent, sans pour autant promettre l’infaillibilité.

Pour un support ultra haut de gamme, la recommandation finale est volontairement sobre :

Ne cherchez pas à être “anti-deepfake”. Devenez “pro-preuve”.
La communication de crise, en 2026, est d’abord un art de la vérification — puis, seulement ensuite, un art du récit.