Se rendre au contenu

Deepfakes et faux appels vidéo : la nouvelle menace pour les dirigeants

Clonage vocal, fausses visioconférences, comment des attaquants usurpent l'identité de patrons ou partenaires pour obtenir des virements.

Votre CFO reçoit un appel vidéo de vous. Il vous voit, il vous entend. Vous lui demandez de valider un virement confidentiel de 80'000 CHF avant la clôture du trimestre. Il s'exécute. Vous n'avez jamais passé cet appel.

Ce scénario s'est produit en 2024 à Hong Kong : un employé a viré l'équivalent de 25 millions de dollars après une visioconférence entièrement falsifiée avec de faux collègues générés par IA. En 2026, la technologie est encore plus accessible, et les PME suisses sont dans le viseur.

Qu'est-ce qu'un deepfake, concrètement ?

Un deepfake est un contenu audiovisuel synthétique généré par intelligence artificielle. À partir de quelques minutes de vidéo ou d'audio d'une personne réelle, disponibles publiquement sur LinkedIn, YouTube, ou des interviews, un algorithme peut :

  • Reproduire le visage d'une personne en temps réel sur un flux vidéo
  • Cloner sa voix avec une précision troublante, y compris l'accent, le débit, les tics de langage
  • Animer une photo fixe pour simuler une vraie présence vidéo
  • Synchroniser lèvres et voix de façon convaincante

Ce qui demandait autrefois des semaines de travail à une équipe technique se fait aujourd'hui en quelques heures, avec des outils accessibles en ligne pour quelques dizaines de francs par mois.

Les trois attaques deepfake les plus courantes contre les PME

1. Le faux appel téléphonique du dirigeant

C'est la variante la plus répandue car la plus simple à exécuter. L'attaquant clone la voix du CEO ou du directeur financier à partir d'interviews ou de vidéos LinkedIn. Il appelle ensuite un employé, souvent la comptabilité, en se faisant passer pour le dirigeant et demande un virement urgent ou des informations d'accès sensibles.

Le ton est juste, l'accent est correct, le numéro affiché peut être usurpé. Difficile de douter.

2. La fausse visioconférence Teams ou Zoom

Plus sophistiquée, cette attaque implique un faux participant en vidéo dans une réunion. L'attaquant génère en temps réel le visage et la voix d'un dirigeant, d'un avocat ou d'un partenaire bancaire. La victime voit une personne qu'elle reconnaît, dans un contexte professionnel crédible, et valide une action, virement, transmission de données, signature électronique.

3. Le deepfake vocal pour contourner la vérification biométrique

Certaines banques et services utilisent la reconnaissance vocale comme facteur d'authentification. Des attaquants ont déjà utilisé des voix clonées pour contourner ces systèmes et accéder à des comptes d'entreprise.

Pourquoi les PME sont particulièrement vulnérables

Dans une grande entreprise, un virement important passe par plusieurs niveaux de validation, des procédures formelles et des équipes dédiées à la conformité. Dans une PME, c'est souvent une seule personne qui gère les finances, et elle connaît bien le dirigeant, lui fait confiance, et peut agir vite sous pression.

Les criminels exploitent précisément cette proximité et cette agilité qui font la force des petites structures.

De plus, les dirigeants de PME sont souvent très visibles en ligne : présentation sur le site web, interviews locales, posts LinkedIn, vidéos d'événements. Autant de matière première pour entraîner un modèle de clonage vocal ou facial.

Les signaux d'alerte à reconnaître

Même les deepfakes les plus sophistiqués présentent des indices :

  • Micro-décalages entre le mouvement des lèvres et la voix
  • Qualité vidéo dégradée ou floue autour des contours du visage
  • Comportement inhabituel : la personne évite de tourner la tête, de sourire naturellement, de réagir à l'improviste
  • Demande urgente et confidentielle : les attaquants créent toujours un sentiment d'urgence et demandent la discrétion
  • Contexte inhabituel : un appel inattendu, en dehors des horaires habituels, depuis un numéro ou un compte inconnu

La règle d'or : plus la demande est urgente et financièrement importante, plus la vérification doit être rigoureuse.

Comment protéger votre entreprise


Appliquer la règle des deux canaux Toute demande de virement reçue par e-mail ou appel vidéo doit être confirmée via un second canal indépendant, un SMS, un appel sur le numéro habituel enregistré dans votre téléphone, jamais sur le numéro fourni dans la demande suspecte.

Limiter votre exposition publique Réduisez la quantité de contenu audio et vidéo disponible publiquement sur vous et vos dirigeants. Protégez les paramètres de confidentialité de vos profils LinkedIn. Moins il y a de matière première, plus le clonage est difficile.

Former vos équipes à la vérification systématique La formation n'est pas un luxe. Un employé qui sait qu'un deepfake est possible et qui connaît les procédures de vérification résiste bien mieux à cette menace qu'un employé pris par surprise.

Mettre en place des seuils de validation pour les virements Tout virement au-dessus d'un certain montant doit nécessiter une validation par deux personnes, indépendamment du canal par lequel la demande est arrivée. Cette mesure simple rend la fraude au président, deepfake ou non, structurellement plus difficile.

Ce que dit la réglementation suisse

En cas de virement frauduleux, la responsabilité peut incomber à l'entreprise si elle n'a pas mis en place des procédures de contrôle raisonnables. La nouvelle loi sur la protection des données (nLPD) impose également de notifier les violations de données à l'OFPD dans les 72 heures. Une attaque deepfake réussie peut déclencher ces obligations si des données personnelles sont compromises.

Conclusion

Les deepfakes ne sont plus une menace futuriste. Ils sont opérationnels, accessibles et déjà utilisés contre des entreprises comme la vôtre. La bonne nouvelle : se protéger ne demande pas de technologie avancée. Cela demande des procédures claires, des équipes formées, et un partenaire de confiance pour évaluer votre exposition.