Hong Kong, 25,6 millions de dollars envolés en une visioconférence truquée. France, +93 % de fraude au virement en un an. Trois secondes d'audio suffisent désormais pour cloner votre PDG.
Hong Kong, février 2024. Un cadre financier du géant britannique Arup rejoint une visioconférence Teams convoquée par son directeur financier. Autour de la table virtuelle, six collègues qu'il reconnaît parfaitement : leur voix, leur visage, leurs tics de langage. La consigne est claire, urgente, confidentielle : exécuter quinze virements pour finaliser une acquisition discrète. Total transféré : 25,6 millions de dollars. Aucun fonds récupéré à ce jour. La totalité des interlocuteurs sauf lui étaient des deepfakes vidéo générés en temps réel. Selon le Verizon DBIR 2025, le contenu IA dans les emails malveillants a doublé en deux ans (passage de 5 % à 10 %), et le pretexting reste utilisé dans 30 % des incidents d'ingénierie sociale. Côté français, Cybermalveillance.gouv.fr mesure une explosion de +93 % de la fraude au virement chez les professionnels en un an. Si vous dirigez une entreprise de 20 à 250 salariés, votre tour viendra. La question n'est plus « si » mais « quand », et surtout « comment réagirez-vous dans les six premières minutes ».
La menace de 2026 n'a plus rien à voir avec les escroqueries grossières des années 2010. Le moteur de cette nouvelle vague d'attaques tient en trois ruptures technologiques majeures. Premièrement, le clonage vocal instantané : selon une étude McAfee Labs (« The Artificial Imposter », 2023, rappelée par Consumer Reports en mars 2025), trois secondes d'enregistrement suffisent désormais pour générer un clone vocal présentant 85 % de similarité avec l'original. Trois secondes, c'est moins long qu'un message vocal laissé sur LinkedIn, qu'un extrait d'interview YouTube ou qu'une intervention dans un webinaire sectoriel. Deuxièmement, le face-swap temps réel en visioconférence : la technologie utilisée dans l'affaire Arup permet de superposer un visage synthétique sur un appel Zoom, Teams ou Google Meet, avec une latence inférieure à 80 millisecondes et une qualité indétectable à l'œil nu.
Troisièmement, le phishing hyper-personnalisé par grands modèles de langage : un LLM moissonne LinkedIn, le site corporate, les communiqués de presse, l'organigramme public, puis génère en quelques secondes un courriel calibré pour le destinataire, dans son registre, sans la moindre faute, traduit instantanément en français, italien ou allemand. Proofpoint observe une croissance annuelle de +35 % au Japon, +31 % en Corée et +29 % aux Émirats, marchés historiquement protégés par la barrière linguistique. Le rapport ENISA Threat Landscape 2025 est sans appel : plus de 80 % des campagnes d'ingénierie sociale recensées début 2025 sont assistées par IA. La séquence type combine désormais courriel, voix et vidéo dans une chaîne d'authentification croisée, ce que les analystes appellent le BEC 2.0 (Business Email Compromise version 2). Pour comprendre les fondations d'une défense crédible, consultez notre page dédiée à la cybersécurité d'entreprise.
Les cas publiquement documentés dessinent une typologie inquiétante. Arup illustre la fraude réussie à grande échelle. Ferrari incarne le modèle de l'attaque déjouée par la culture de la méfiance. WPP démontre que même les groupes media internationaux disposant de moyens cyber importants restent vulnérables. La banque émiratie révèle l'ancienneté du procédé. Voici la cartographie consolidée des six attaques majeures qui doivent figurer dans toute formation de comité de direction en 2026.
| Cas | Année | Méthode | Montant | Issue |
|---|---|---|---|---|
| Arup (Hong Kong) | Février 2024 | Deepfake vidéo live multi-participants en Teams | 25,6 M$ (200 M HKD) | 15 virements exécutés, aucune récupération |
| Banque émiratie | Janvier 2020 | Clonage vocal directeur, courriels d'avocat factices | 35 M$ | 17 complices, fonds éparpillés mondialement, 400 k$ tracés |
| Ferrari | Juillet 2024 | Voix clonée du CEO Benedetto Vigna sur WhatsApp | Tentative | Déjouée par une question piège sur un livre récent |
| WPP (groupe média) | Mai 2024 | Clone vocal du CEO Mark Read sur Teams, faux WhatsApp | Tentative | Détectée par les équipes sécurité |
| UK Energy firm | 2019 | Premier clonage vocal CEO connu publiquement | 243 000 $ | Virement exécuté vers la Hongrie puis comptes multi-pays |
| PME agroalimentaire bretonne | 2022 | Faux appel CEO et courriel IBAN hongrois | 340 000 € | Virement parti, procédure judiciaire en cours |
Le point commun de tous ces cas tient en deux mots : urgence et secret. L'attaquant invoque systématiquement une opération confidentielle (acquisition imminente, redressement fiscal, contrôle réglementaire) qui interdit toute vérification par les canaux internes habituels. Selon un document du Parlement européen (EPRS 2025), 49 % des entreprises sondées ont déjà subi une fraude audio ou vidéo deepfake. Europol IOCTA 2025 recense également plus de 330 sites d'arnaque à l'investissement deepfake démantelés en 2025, en hausse de 25 % d'une année sur l'autre.
L'idée répandue selon laquelle les criminels visent uniquement les grandes capitalisations internationales relève du fantasme rassurant. La réalité, documentée par le FBI IC3 2024, fait état de 2,77 milliards de dollars de pertes BEC déclarées sur la seule année 2024, avec 21 442 plaintes, et un cumul 2022-2024 approchant les 8,5 milliards de dollars. Le profil type de la victime ? Une PME de 20 à 250 salariés, structure hiérarchique courte, directeur administratif et financier polyvalent, comptable de confiance habitué à exécuter rapidement les ordres de la direction, peu ou pas de procédure formalisée de double validation.
Quatre raisons font de la PME française la proie idéale. Premièrement, la surface d'exposition publique du dirigeant : LinkedIn fourni, interviews sectorielles, podcasts business, vidéos YouTube de conférences professionnelles. Trois secondes d'audio suffisent, rappelons-le. Deuxièmement, l'absence de séparation des pouvoirs sur les virements : un comptable seul valide souvent des sommes à six chiffres. Troisièmement, l'écart technologique : moins de 30 % des PME françaises disposent d'un EDR à détection comportementale ou de DMARC en politique de rejet (p=reject). Quatrièmement, la sous-déclaration : par crainte réputationnelle, beaucoup de victimes ne portent pas plainte, ce qui prive la communauté cyber d'indicateurs de compromission. Cette opacité bénéficie aux attaquants. Si vous n'avez pas encore audité votre périmètre, notre service d'audit informatique stratégique intègre désormais un volet ingénierie sociale.
Aucun outil de détection ne remplace la vigilance humaine. Voici les cinq signaux faibles que vos équipes doivent reconnaître instantanément :
Selon KnowBe4, 82,6 % des courriels de phishing contiennent désormais du contenu généré par IA. Vos collaborateurs doivent intégrer que l'absence de fautes d'orthographe n'est plus un critère de légitimité, bien au contraire.
La défense la plus efficace, la moins coûteuse et la plus rapide à déployer reste la procédure dite des « quatre yeux ». Elle repose sur trois principes non négociables. D'abord, tout virement supérieur à un seuil défini (5 000 €, 10 000 €, à calibrer selon votre activité) exige la signature électronique de deux personnes distinctes, dont au moins une de la direction générale. Ensuite, la validation s'effectue via un canal alternatif à celui de la demande initiale : si la demande arrive par courriel, la confirmation passe par téléphone fixe interne ; si elle arrive par appel, elle est confirmée par signature dans le logiciel comptable.
Enfin, et c'est le point différenciant de 2026, un mot de passe verbal pré-établi (passphrase) doit être convenu entre les membres du comité de direction et l'équipe comptable, jamais transmis par voie numérique, jamais prononcé en visioconférence, jamais archivé dans un outil cloud. Cette passphrase est demandée en cas de doute, et son absence de réponse satisfaisante déclenche immédiatement le protocole d'alerte. Couplez ce dispositif à une liste blanche d'IBAN fournisseurs dans votre ERP, à un blocage automatique de tout virement hors-pattern (montant supérieur à la moyenne historique du fournisseur, pays inhabituel, premier virement vers un nouvel IBAN), et à une revue mensuelle par le comité d'audit.
Aucune procédure organisationnelle ne tiendra sans un socle technique solide. Voici le comparatif des défenses prioritaires à déployer en 2026, classées par rapport coût-bénéfice pour une PME de 50 à 250 postes.
| Défense | Cible neutralisée | Coût indicatif PME | Délai de mise en œuvre | Efficacité |
|---|---|---|---|---|
| DMARC p=reject + SPF + DKIM | Usurpation domaine émetteur | 0 à 500 € (config interne) | 2 à 4 semaines | Élevée contre spoofing direct |
| Passkeys FIDO2 (MFA résistant phishing) | MFA fatigue, vol de session | 2 à 5 €/utilisateur/mois | 4 à 8 semaines | Très élevée (élimine 99 % des comptes compromis) |
| EDR à détection comportementale | Endpoint compromis post-clic | 4 à 8 €/poste/mois | 1 à 2 semaines | Élevée sur exécution malveillante |
| Reality Defender (API détection deepfake) | Visio et audio synthétiques | 3 000 à 12 000 €/an | 2 à 6 semaines | 96 % de précision annoncée |
| Pindrop / TruthScan (vocal) | Appels entrants synthétiques | 2 000 à 8 000 €/an | 3 à 8 semaines | Élevée sur clonage vocal |
| Formation continue + simulations phishing | Erreur humaine | 15 à 40 €/salarié/an | Continue | -40 % de risque en 90 jours, -86 % à 1 an |
| Cyber-assurance avec clause FOVI | Transfert du résiduel | 3 000 à 15 000 €/an | 2 à 4 semaines | Variable selon plafonds |
Les passkeys FIDO2 méritent une attention particulière : selon le DBIR 2025, 14 % des incidents reposent désormais sur la MFA fatigue (bombardement de notifications jusqu'à acceptation par lassitude). Les passkeys, stockées dans un HSM ou un Secure Enclave, ne peuvent être exfiltrées ni hameçonnées. Côté détection deepfake, Reality Defender et Pindrop conviennent aux PME structurées ; pour les structures plus modestes, la priorité reste DMARC plus passkeys plus EDR.
L'arnaque au président par deepfake mobilise trois corpus juridiques distincts. Au pénal, l'article 313-1 du Code pénal (escroquerie) prévoit 5 ans d'emprisonnement et 375 000 € d'amende, peines cumulables avec l'article 226-4-1 (usurpation d'identité numérique : 1 an et 15 000 €). Au niveau européen, l'AI Act entre en application le 2 août 2026 : son article 50 impose une transparence obligatoire sur tout contenu deepfake (image, audio, vidéo), avec des sanctions pouvant atteindre 7,5 millions d'euros ou 1,5 % du chiffre d'affaires mondial.
Côté protection des données, le RGPD articles 33 et 34 oblige à notifier la CNIL sous 72 heures si une fuite de données personnelles est consécutive à l'attaque (vol de fichier paie via accès e-mail compromis, par exemple), et à informer les personnes concernées en cas de risque élevé. Enfin, pour les entreprises soumises à NIS2 (toutes les ETI et de nombreuses PME des secteurs critiques), l'incident doit être déclaré à l'ANSSI dans les 24 heures (alerte précoce), puis sous 72 heures (notification complète). Pour cadrer cette conformité, consultez notre dossier conformité NIS2 PME 2026.
Les six premières minutes décident de tout. La Recovery Asset Team du FBI récupère 66 % des fonds lorsque l'alerte intervient dans les 72 premières heures, taux qui s'effondre largement au-delà. Voici la séquence à appliquer sans la moindre hésitation :
Pour le détail complet du protocole post-incident, consultez notre guide cyberattaque PME : que faire dans les 24 premières heures. La rapidité de votre réaction conditionne directement votre survie économique : selon IBM, le coût moyen mondial d'une brèche atteint 4,44 millions de dollars en 2025 (4,88 M$ en 2024), dont une part substantielle imputable au délai de réaction.
Les questions ci-dessous reprennent les interrogations les plus fréquentes remontées par les comités de direction lors de nos audits de sensibilisation. Si la vôtre n'y figure pas, contactez directement nos équipes via notre formulaire de devis gratuit.
L'arnaque au président par deepfake n'est plus un risque émergent, c'est une certitude statistique pour toute PME française qui n'aura pas formalisé sa procédure des quatre yeux, déployé DMARC, passkeys et EDR comportemental, et formé ses équipes d'ici la fin 2026. Le coût d'inaction se chiffre désormais en dizaines, parfois en centaines de milliers d'euros, sans compter l'atteinte réputationnelle et la déchéance possible de votre cyber-assurance. Le coût d'action, lui, reste proportionné à la taille de votre structure et largement amortissable sur 24 mois. Les attaquants ne dorment jamais, leurs outils coûtent moins de 50 € sur le dark web, et votre dirigeant a déjà laissé suffisamment d'audio public pour être cloné en moins de 90 secondes. Infranat accompagne les PME et ETI françaises dans la mise en place complète du dispositif anti-FOVI deepfake, de l'audit initial à la formation des équipes en passant par le déploiement technique. Réservez dès aujourd'hui votre audit cybersécurité gratuit et reprenez le contrôle avant que la voix de votre PDG ne devienne l'arme de votre ruine.
Selon l'étude McAfee Labs « The Artificial Imposter » (2023, rappelée par Consumer Reports en mars 2025), trois secondes d'enregistrement audio public suffisent désormais pour générer un clone vocal présentant 85 % de similarité avec l'original. Trois secondes, c'est moins long qu'un extrait d'interview YouTube, qu'un message vocal LinkedIn ou qu'une intervention dans un webinaire sectoriel. Tout dirigeant exposé publiquement doit considérer sa voix comme déjà compromise et adopter la procédure des quatre yeux avec passphrase verbale pré-établie.
Selon Cybermalveillance.gouv.fr (rapport 2025), la fraude au virement chez les professionnels a bondi de 93 % en un an. Les analyses sectorielles consolidées situent la perte type d'une PME victime de FOVI deepfake dans une fourchette à six chiffres. Les cas extrêmes documentés en France atteignent 340 000 € pour une PME agroalimentaire bretonne en 2022. La taille de la perte dépend principalement de la rapidité de réaction et de l'existence ou non d'une procédure de double validation.
Oui, à condition qu'elle respecte trois conditions strictes. Premièrement, le canal de validation doit être différent du canal de la demande initiale (téléphone fixe interne si la demande arrive par courriel, signature électronique si l'appel est entrant). Deuxièmement, la deuxième personne doit être hiérarchiquement indépendante de la première. Troisièmement, une passphrase verbale pré-établie, jamais transmise numériquement, doit être exigée en cas de doute. Sans ces trois conditions, la double validation peut être contournée par un attaquant qui aura compromis la messagerie ou usurpé un second compte.
Pour une PME structurée de 50 à 250 salariés, trois solutions principales existent en 2026. Reality Defender (96 % de précision annoncée) propose une API et un plugin live avec un budget de 3 000 à 12 000 € par an. Pindrop et TruthScan ciblent spécifiquement les appels entrants synthétiques pour 2 000 à 8 000 € par an. Intel FakeCatcher exploite la photopléthysmographie (flux sanguin du visage) avec 96 % de précision également. Pour les structures plus modestes, la priorité budgétaire reste DMARC en p=reject, passkeys FIDO2 et EDR comportemental, qui couvrent 80 % du risque pour moins de 10 € par poste et par mois.
La jurisprudence française reste restrictive sur ce point. Un licenciement pour faute grave nécessite de démontrer que le salarié a manqué à une procédure formellement établie, documentée, communiquée et auditée. Si l'employeur n'a pas mis en place de procédure écrite des quatre yeux, ni formé le collaborateur aux risques deepfake, ni déployé les défenses techniques attendues (DMARC, EDR, MFA résistant), la responsabilité du salarié est fortement diluée par celle de l'organisation. La prévention par formation et procédure formalisée protège donc à la fois l'entreprise et le collaborateur.
La plupart des contrats de cyber-assurance incluent une clause FOVI (faux ordre de virement) avec sous-limite spécifique, généralement plafonnée entre 50 000 € et 500 000 € selon les contrats. Attention, cette sous-limite est souvent très inférieure au plafond global du contrat. Vérifiez impérativement trois points : l'inclusion explicite des deepfakes vocaux et vidéo, les conditions de notification (souvent 48 à 72 heures sous peine de déchéance), et les exigences préalables imposées par l'assureur (MFA, EDR, formation annuelle). Sans ces dispositifs documentés, l'assureur peut refuser l'indemnisation.
Le marché noir s'est démocratisé brutalement. Selon Kaspersky, un deepfake-as-a-service complet (clone vocal plus spoofing de numéro VoIP) se négocie aujourd'hui à moins de 50 € l'attaque, contre 300 à 20 000 dollars la minute il y a deux ans. Les outils légitimes détournés (ElevenLabs, Resemble.AI, PlayHT, Descript) coûtent entre 5 et 50 € par mois. Les LLM malveillants spécialisés type FraudGPT (90 €/mois) ou WormGPT (100 €/mois) industrialisent la rédaction de courriels. Les kits d'identité synthétique se négocient autour de 5 dollars. L'asymétrie économique attaque/défense est désormais critique.
Oui, dès que des données personnelles sont exfiltrées ou si l'entité relève de NIS2. Le RGPD impose une notification CNIL sous 72 heures en cas de fuite de données personnelles, et une information des personnes concernées en cas de risque élevé. Pour les entités NIS2 (de nombreuses ETI et PME des secteurs critiques), l'ANSSI doit recevoir une alerte précoce dans les 24 heures et une notification complète dans les 72 heures. Le signalement à cybermalveillance.gouv.fr et le dépôt de plainte au commissariat restent obligatoires en complément.
Mots-clés
Audit informatique gratuit, réponse sous 2h ouvrées.
Demander un audit gratuit
