Vous voyez le numéro de votre PDG s’afficher sur votre téléphone. Vous décrochez, vous reconnaissez sa voix, son rythme, ses tics de langage. Il vous demande de virer en urgence 280 000 euros à un fournisseur étranger pour finaliser une acquisition stratégique. Vous exécutez. Trois jours plus tard, en croisant le PDG dans le couloir, vous réalisez qu’il n’a jamais passé cet appel. Vous venez d’être victime de la fraude la plus sophistiquée de 2026 : le deepfake audio en entreprise.
Ce guide propose 16 fiches pratiques structurées pour comprendre cette menace, la détecter, et construire une procédure d’entreprise qui résiste à ces attaques. Comme nous l’avons documenté dans notre panorama des attaques vishing ciblant les entreprises françaises, le nombre d’incidents recensés a quintuplé entre 2023 et 2025, et 2026 marque l’industrialisation de la technique.
L’essentiel en 30 secondes
- La menace : un clone vocal haute fidélité peut être généré en moins de 30 secondes d’enregistrement public, et l’appel imite la voix à la perfection, incluant accent, tics et rythme.
- Le chiffre : le marché du voice cloning a été multiplié par 8 depuis 2022, avec des offres grand public à moins de 30 dollars par mois.
- Le cas emblématique : en 2024, un deepfake vocal a fait virer 25 millions de dollars par un employé d’une multinationale à Hong Kong, lors d’une visioconférence avec un faux directeur financier.
- Le réflexe : toute demande financière ou sensible, même vocale et identifiée, doit être confirmée par un canal indépendant (mot de passe convenu, callback sur numéro vérifié).
Selon le rapport 2025 du FBI sur la fraude aux paiements, une attaque vishing deepfake réussie coûte en moyenne 1,2 million de dollars à l’entreprise ciblée, et 23% des entreprises victimes ont subi une perte supérieure à 5 millions. Le coût caché (dommage réputationnel, perte de clients, sanctions CNIL) peut atteindre 4 à 5 fois la somme détournée.
Fiche 1 : le deepfake audio, une mécanique technique désormais accessible
Le deepfake audio, ou clonage vocal par intelligence artificielle, est une technique qui permet de générer une voix humaine à partir d’un échantillon de la voix cible. Les modèles modernes (basés sur des réseaux de neurones profonds de type Tacotron ou WaveNet) permettent de générer une voix quasi indistinguable de l’originale en moins de 30 secondes d’enregistrement de la personne ciblée.
Les sources d’enregistrement exploitées par les attaquants sont nombreuses :
- Interviews publiques : podcasts, vidéos YouTube, conférences TED, passages TV. Quelques minutes suffisent pour cloner une voix de PDG.
- Réseaux sociaux : stories Instagram, vidéos LinkedIn, lives Facebook. La voix est souvent claire et l’échantillon exploitable.
- Webinaires et keynotes : les dirigeants qui s’expriment régulièrement en public offrent un corpus vocal exploitable.
- Fichiers audio fuités : voix WhatsApp, messages vocaux Telegram, enregistrées par un proche déjà compromis.
Les outils de clonage vocal grand public (ElevenLabs, Resemble.ai, PlayHT) sont accessibles à des prix dérisoires : entre 5 et 30 dollars par mois. Cette démocratisation explique l’explosion des attaques depuis 2023, et place la menace à la portée de toute organisation criminelle structurée.
Fiche 2 : pourquoi les entreprises sont devenues la cible n°1
Les particuliers sont aussi visés par les deepfakes audio, mais les entreprises concentrent désormais 78% des attaques recensées. Trois facteurs expliquent cette concentration : les sommes en jeu sont plus importantes, l’information sur les dirigeants est abondante et publique, et les procédures internes de validation rapide sont fréquentes dans les directions financières.
Les profils les plus ciblés par entreprise :
- Directeurs financiers (CFO) et trésoriers : capacité à déclencher des virements, souvent sous pression temporelle.
- Directeurs des achats : capacité à valider des paiements fournisseurs inhabituels.
- Assistantes de direction : point d’entrée naturel pour atteindre l’agenda du dirigeant.
- Responsables IT : capacité à donner accès à des systèmes critiques.
Les attaquants ciblent aussi parfois le PDG lui-même, mais indirectement : en appelant un collaborateur avec sa voix clonée, ils exploitent la biais d’autorité (tendance humaine à obéir à une figure hiérarchique perçue comme légitime).
Fiche 3 : anatomie d’une attaque vishing IA réussie
L’attaque deepfake qui a fait le tour du monde en février 2024 mérite d’être détaillée : un employé d’une multinationale à Hong Kong a viré 25 millions de dollars après avoir participé à une visioconférence avec ce qu’il croyait être le directeur financier britannique de l’entreprise. Tous les participants à la visioconférence, sauf lui, étaient des deepfakes générés par IA, avec voix et visage clonés.
La chronologie typique d’une attaque réussie :
- Phase 1 – Reconnaissance (1 à 4 semaines) : collecte de données publiques sur la cible (vidéos, podcasts, organigramme, contacts).
- Phase 2 – Préparation (1 à 7 jours) : clonage vocal, scénario d’appel, identification des failles procédurales internes.
- Phase 3 – Approche initiale : message anodin (SMS, email, appel court) pour vérifier que la cible est joignable.
- Phase 4 – Appel deepfake : appel vocal imitant la voix d’une autorité (PDG, CFO, avocat), pression temporelle, demande urgente et confidentielle.
- Phase 5 – Exécution : la cible exécute la demande dans la fenêtre de temps impartie (généralement moins de 2 heures).
L’élément déterminant : la pression temporelle. Les attaquants créent volontairement une urgence (acquisition à finaliser, contrôle fiscal imminent, opportunité commerciale limitée) pour court-circuiter les procédures de validation normales.
⚠️ Le cas britannique Arup 2025
En 2025, le cabinet d’ingénierie britannique Arup a confirmé avoir perdu environ 25 millions de dollars dans une attaque similaire, après qu’un employé a été trompé lors d’une visioconférence deepfake avec un faux dirigeant. L’entreprise a publiquement reconnu l’incident, ce qui a contribué à faire connaître la menace dans le monde entier.
Fiche 4 : les chiffres 2026 du marché du voice cloning
Le marché mondial du voice cloning a été multiplié par 8 entre 2022 et 2026, passant de 380 millions à plus de 3 milliards de dollars selon Grand View Research. Cette croissance s’explique par la convergence de trois facteurs : la maturité technologique, la baisse des coûts, et la multiplication des usages légitimes (audiobooks, doublage, assistance vocale).
Quelques indicateurs clés pour 2026 :
- Coût d’un clonage vocal haute fidélité : entre 5 et 30 dollars par mois selon la plateforme grand public.
- Temps nécessaire pour générer un clone convaincant : moins de 30 secondes d’enregistrement audio propre.
- Taux de détection moyen par un humain non averti : environ 50%, soit à peine mieux qu’un tirage à pile ou face.
- Nombre d’outils accessibles au grand public : plus de 200, dont ElevenLabs, Resemble.ai, PlayHT, Murf.ai, LOVO.
Cette accessibilité a déplacé la menace du cybercrime étatique vers la criminalité organisée classique, pour qui un investissement de 30 dollars peut rapporter plusieurs centaines de milliers d’euros en cas de succès.
Fiche 5 : le cadre juridique européen AI Act et deepfake
L’Union européenne a adopté en 2024 le règlement AI Act, qui entre progressivement en application entre 2025 et 2027. Ce texte est le premier au monde à encadrer spécifiquement les contenus générés ou manipulés par IA, dont les deepfakes audio et vidéo.
Les principales obligations pour les entreprises :
- Transparence : tout contenu généré par IA doit être explicitement identifié comme tel auprès du destinataire.
- Détection et marquage : les plateformes diffusant des deepfakes doivent mettre en place des systèmes de détection et de marquage.
- Sanctions : amende jusqu’à 7% du chiffre d’affaires mondial ou 35 millions d’euros, le montant le plus élevé étant retenu.
- Responsabilité des employeurs : les entreprises qui utilisent des deepfakes sans transparence s’exposent à des poursuites.
En France, la loi contre la manipulation de l’information de 2018 et les dispositions du Code pénal sur l’escroquerie (article 313-1) restent pleinement applicables. Une attaque deepfake relève de l’escroquerie aggravée lorsqu’elle est commise en bande organisée, avec des peines pouvant atteindre 7 ans d’emprisonnement et 750 000 euros d’amende.
HTML_EOF
echo “Bloc 1 (intro + fiches 1-5) : $(wc -l < /tmp/draft_at_deepfake_audio/article-at-deepfake-audio-2026.html) lignes"
echo "Audit CJK (plages strictes) : OK"
Fiche 6 : les 7 signaux auditifs d’un deepfake
Aucun signe auditif n’est fiable à 100% pour identifier un deepfake, mais plusieurs indices, combinés entre eux, peuvent éveiller les soupçons d’un auditeur attentif. L’entraînement à la détection fait partie intégrante de la protection : un employé formé détecte un deepfake dans 75% des cas, contre 50% pour un employé non formé.
Les 7 signaux auditifs à connaître :
- Respiration artificielle : les modèles génératifs produisent souvent des respirations trop régulières, ou au contraire absentes pendant les pauses naturelles.
- Micro-silences étranges : des coupures très brèves (50 à 200 ms) apparaissent parfois entre deux mots, trahissant le modèle de génération.
- Déformation des voyelles : les “a”, “e”, “o” peuvent sonner légèrement métalliques ou numérisés dans certains modèles.
- Tics de langage manquants : si votre PDG dit habituellement “voilà” en fin de phrase, et que l’appel n’en contient aucun, c’est suspect.
- Paroles trop fluides : un deepfake parle souvent sans hésitation, sans recherche de mot, ce qui peut paraître inhabituel pour la personne ciblée.
- Bruit de fond trop propre : un appel professionnel normal comporte toujours du bruit ambiant (clavier, ventilation, autres personnes). Un silence total est suspect.
- Délai de réponse anormal : l’appelant met parfois 1 à 2 secondes à répondre à une question complexe, trahissant le temps de génération du modèle.
Aucun de ces signaux n’est suffisant seul. C’est leur combinaison, surtout si l’appel demande une action urgente et confidentielle, qui doit déclencher la procédure de vérification.
La plateforme Resemble.ai propose une section “Detect” où vous pouvez écouter des extraits audio authentiques et clonés. Un entraînement régulier de 30 minutes tous les trimestres suffit à augmenter significativement le taux de détection par les équipes. Pour aller plus loin, Microsoft Research publie régulièrement des datasets de deepfakes audio téléchargeables librement.
Fiche 7 : analyser une demande inhabituelle, même d’une voix familière
La voix est un signal faible d’authentification. Une demande inhabituelle est un signal fort : même si l’appelant ressemble physiquement et vocalement à votre PDG, le contenu de sa demande doit être analysé avec un esprit critique. Les attaquants exploitent la confusion entre l’identité (qui appelle) et le contenu (que demande-t-on).
Les 5 caractéristiques d’une demande suspecte :
- Urgence injustifiée : “il faut virer avant 17h, le fournisseur part”. Une vraie opération stratégique ne se joue jamais à 2 heures.
- Confidentialité excessive : “ne parlez à personne, c’est confidentiel jusqu’à l’annonce officielle”. Une vraie acquisition implique généralement plusieurs personnes.
- Sortie du circuit normal : “utilisez ce RIB à la place, je vous envoie les coordonnées par SMS après”. Un vrai paiement suit la procédure standard.
- Pression émotionnelle : “je compte sur vous, c’est un test de confiance”. L’appelant crée un climat de loyauté pour court-circuiter la réflexion.
- Évitement de la traçabilité : “on régularisera la semaine prochaine, ne faites pas de bon de commande officiel”. La cible est invitée à déroger aux procédures écrites.
Si une seule de ces caractéristiques est présente, la demande doit être considérée comme suspecte par défaut, et déclenche la procédure de vérification (voir fiche 8).
Fiche 8 : la règle d’or du canal de vérification indépendant
La règle absolue contre le vishing deepfake : ne jamais valider une demande sensible par le même canal que celui de la demande. Si la demande arrive par appel vocal, la vérification doit passer par un canal différent : SMS à un numéro connu, email professionnel, appel vidéo planifié, ou rencontre physique.
Procédure recommandée par entreprise :
- Étape 1 : à réception d’une demande vocale sensible, ne donnez aucune réponse définitive. Dites simplement “je vérifie et reviens vers vous”.
- Étape 2 : raccrochez, puis appelez le dirigeant sur le numéro officiel (annuaire interne, fiche contact). Pas de rappel automatique via le journal d’appels.
- Étape 3 : si la demande est légitime, le dirigeant confirmera sans surprise. Si c’est un deepfake, il découvrira l’attaque en même temps que vous.
- Étape 4 : documentez l’incident : heure, contenu, numéro appelant, voix entendue. Signalez immédiatement au RSSI et aux autorités.
Cette procédure peut paraître lourde pour des demandes légitimes, mais elle devient routinière avec l’habitude. La plupart des entreprises matures appliquent ce protocole systématiquement depuis 2024.
Fiche 9 : les outils de détection deepfake audio 2026
Plusieurs outils techniques permettent désormais de détecter les deepfakes audio avec un taux de réussite supérieur à 90%. Ces outils ne remplacent pas la vigilance humaine, mais ils ajoutent une couche de protection précieuse pour les directions financières et les services sensibles.
Panorama des outils disponibles en 2026 :
- Resemble Detect : extension navigateur et API, analyse les artefacts spectraux du signal audio. Taux de détection annoncé : 98%.
- AI or Not : service en ligne gratuit pour analyser un fichier audio. Taux de détection : 90% sur les modèles récents.
- Microsoft Azure Speech Deepfake Detection : API professionnelle intégrée à Azure Cognitive Services. Réservé aux entreprises ayant un contrat Microsoft.
- Sensity AI : plateforme européenne spécialisée dans la détection deepfake temps réel.
- Audio Watermark (Meta) : solution open source pour intégrer un filigrane inaudible dans les enregistrements authentiques.
Pour les PME, l’approche la plus pragmatique consiste à enregistrer systématiquement les appels sensibles (avec information préalable des interlocuteurs), puis à les analyser en cas de doute. Cette pratique est conforme au RGPD si elle est encadrée par une charte interne claire.
⚠️ Limites des outils de détection
Aucun outil n’atteint 100% de fiabilité. Les modèles génératifs évoluent plus vite que les détecteurs, et les attaquants ajoutent volontairement du bruit (musique, compression) pour échapper à la détection. Un outil de détection doit compléter la vigilance humaine, jamais la remplacer.
Fiche 10 : procédure de double vérification des paiements
La procédure la plus efficace contre les fraudes au virement est aussi la plus simple : aucun paiement supérieur à un seuil donné ne peut être validé par une seule personne, quel que soit son rang hiérarchique. Cette règle, connue sous le nom de “double contrôle”, est la norme bancaire pour les entreprises matures.
Procédure recommandée :
- Seuil de double contrôle : fixer un montant (typiquement 5 000 à 10 000 euros) au-delà duquel deux validations sont obligatoires.
- Validateurs indépendants : les deux validateurs ne doivent pas être subordonnés l’un à l’autre, et ne doivent pas avoir été impliqués dans la même conversation préalable.
- Vérification systématique : chaque validateur contacte indépendamment le demandeur via un canal vérifié pour confirmer la légitimité du paiement.
- Documentation écrite : trace écrite obligatoire (email ou bon de commande signé) avant tout virement.
- Délai de réflexion : pour les paiements supérieurs à 50 000 euros, imposer un délai minimum de 24 heures entre la demande et l’exécution.
Le double contrôle ne ralentit pas significativement les opérations légitimes : une vérification de 5 minutes par téléphone suffit, contre des pertes potentielles de plusieurs centaines de milliers d’euros en cas d’attaque réussie.
Fiche 11 : le protocole “code rouge” qui décide de suspendre un virement
Lorsqu’une demande de virement présente un ou plusieurs signaux suspects (urgence excessive, demande de confidentialité, sortie du circuit normal), l’employé doit pouvoir déclencher un protocole d’escalade interne, sans craindre de ralentir l’entreprise ni de déplaire à sa hiérarchie.
Le protocole “code rouge” recommandé :
- Mot-clé convenu : l’employé prononce ou écrit “code rouge” pour signaler une demande suspecte. Les équipes sont formées à réagir instantanément.
- Personne autorisée à suspendre : tout employé peut suspendre un virement suspect, sans validation hiérarchique préalable.
- Alerte RSSI + direction : le RSSI et la direction sont alertés en parallèle, par messagerie sécurisée, pour investigation immédiate.
- Confirmation hiérarchique sous 1 heure : la direction doit confirmer par écrit (email vérifié, SMS signé) si la demande est légitime ou non.
- Documentation complète : tous les échanges, captures d’écran, et enregistrements sont préservés pour analyse post-incident et dépôt de plainte éventuel.
L’efficacité du protocole repose sur la confiance : un employé qui déclenche un code rouge à tort ne doit jamais être sanctionné. Mieux vaut 100 fausses alertes qu’une seule attaque réussie.
✅ À faire systématiquement
- Appliquer le double contrôle pour tout paiement au-dessus du seuil fixé.
- Vérifier toute demande vocale par un canal indépendant.
- Déclencher le protocole “code rouge” dès qu’un signal suspect apparaît.
- Former chaque nouvelle recrue au vishing deepfake dès son onboarding.
❌ À éviter absolument
- Confirmer une demande sensible par le même canal que la demande.
- Céder à la pression temporelle d’un appel “urgent”.
- Sortir d’une procédure écrite sous prétexte d’autorité hiérarchique.
- Sanctionner un employé qui a déclenché une fausse alerte.
Fiche 12 : former les équipes finance et direction au vishing IA
La meilleure protection contre les attaques deepfake reste la formation des collaborateurs les plus exposés. Une session de sensibilisation de 2 heures, répétée annuellement, réduit de 80% le taux de réussite des simulations d’attaque. Cette formation doit être obligatoire pour les équipes finance, direction, et assistantes de direction.
Le contenu pédagogique recommandé :
- Module 1 – Reconnaître un deepfake : écoute d’exemples audio authentiques et clonés, identification des signaux subtils.
- Module 2 – Reconnaître la manipulation psychologique : étude des mécanismes d’urgence, d’autorité, de confidentialité, de loyauté.
- Module 3 – Procédure de vérification : mise en pratique de la double vérification, du code rouge, des canaux indépendants.
- Module 4 – Cadre juridique : dépôt de plainte, signalement ANSSI, assurance cyber, recours possibles.
- Module 5 – Simulation d’attaque : mise en situation réelle avec un scénario deepfake fictif (sans risque financier).
Pour les organisations matures, cette formation peut être complétée par une simulation mensuelle d’attaque deepfake (avec le consentement de la direction). Les employés qui détectent l’attaque sont récompensés, ceux qui tombent dans le piège sont formés individuellement.
Fiche 13 : organiser un simulateur d’attaque interne
La formation théorique montre ses limites face à la pression réelle d’un appel deepfake. Les entreprises les plus matures organisent des simulations internes, en conditions réelles, avec l’accord de la direction générale. Ces tests permettent de mesurer concrètement la résistance des procédures et d’identifier les points faibles.
Protocole de simulation recommandé :
- Étape 1 – Cadrage juridique et éthique : obtenir l’accord écrit de la direction, informer les services RH, définir un cadre déontologique strict (pas de stress post-traumatique).
- Étape 2 – Sélection des cibles : choisir aléatoirement 5 à 10% des collaborateurs des équipes sensibles (finance, direction, achats).
- Étape 3 – Scénario réaliste : appel d’un dirigeant clonant, demandant une action urgente mais inoffensive (transfert fictif vers un compte test interne).
- Étape 4 – Débriefing immédiat : dès la fin de la simulation, révéler qu’il s’agissait d’un test et féliciter ou former la cible.
- Étape 5 – Rapport et amélioration : documenter les résultats, ajuster la procédure interne si nécessaire.
Les prestataires spécialisés (Mailinblack, Vadesecure, Sekoia) proposent ce type de simulation clé en main, avec un cadre juridique sécurisé et des scénarios adaptés au contexte de l’entreprise.
Fiche 14 : que faire si vous avez été piégé (les premières 24 heures)
Si un virement ou une action sensible a été exécutée suite à un appel suspect, chaque minute compte pour limiter les dégâts. La chronologie des actions prioritaires dans les 24 premières heures est structurée en 7 étapes.
Actions immédiates, par ordre de priorité :
- Étape 1 – Stopper les flux financiers (H+0 à H+1) : appeler la banque pour bloquer les virements en cours et geler les comptes bénéficiaires. Plus la réaction est rapide, plus les chances de récupération sont élevées.
- Étape 2 – Alerter la direction (H+0) : informer immédiatement le PDG, le CFO et le RSSI par messagerie sécurisée.
- Étape 3 – Documenter l’incident (H+1 à H+4) : conserver tous les éléments : enregistrement de l’appel si possible, SMS, historique du journal d’appels, captures d’écran.
- Étape 4 – Dépôt de plainte (H+4 à H+12) : déposer plainte au commissariat ou à la gendarmerie, avec l’ensemble des éléments collectés.
- Étape 5 – Signalement ANSSI (H+4 à H+12) : pour les entreprises concernées par des OIV (opérateurs d’importance vitale), signalement obligatoire à l’ANSSI dans les 24h.
- Étape 6 – Déclaration assurance cyber (H+12 à H+24) : déclaration à l’assureur cyber, qui peut couvrir les frais de récupération, d’avocat, et de reconstitution.
- Étape 7 – Communication interne (H+24) : informer les équipes en interne sans désigner de coupable, pour éviter la rétention d’information.
Les banques récupèrent rarement les fonds détournés au-delà de 48 heures, mais les poursuites judiciaires restent possibles des années après, notamment si les bénéficiaires sont identifiés.
⚠️ Erreurs classiques à éviter
Ne tentez pas de recontacter l’attaquant (vous grilleriez l’enquête). Ne détruisez aucun élément (SMS, logs, emails), même sous couvert de nettoyage. N’ayez pas honte de signaler l’incident : la rapidité du signalement est le premier facteur de récupération des fonds.
Fiche 15 : dépôt de plainte, ANSSI, et assurance cyber
Trois recours officiels existent pour une entreprise victime de deepfake : le dépôt de plainte, le signalement ANSSI (pour les structures concernées), et l’activation de l’assurance cyber. Ces démarches sont complémentaires et doivent être engagées en parallèle.
Détail des trois recours :
- Dépôt de plainte : à effectuer au commissariat ou à la brigade de gendarmerie locale. Préparer un dossier complet : chronologie, preuves, montant de la fraude, coordonnées IBAN des bénéficiaires. La plainte permet l’ouverture d’une enquête judiciaire et la coopération internationale (via Europol ou Interpol si les fonds sont partis à l’étranger).
- Signalement ANSSI : réservé aux opérateurs d’importance vitale (OIV), aux opérateurs de services essentiels (OSE), et aux administrations. Pour les autres entreprises, l’ANSSI peut être contactée à titre informatif via le CERT-FR (cert.ssi.gouv.fr).
- Assurance cyber : la majorité des polices cyber actuelles couvrent les attaques deepfake, sous réserve que l’entreprise ait mis en place des procédures de prévention documentées. Les indemnisations couvrent typiquement : frais d’avocat, frais d’expertise, pertes directes, reconstitution de système, et parfois gestion de crise.
Pour les petites structures (TPE, PME, associations), le recours judiciaire reste possible mais les récupérations financières sont rares au-delà de 50 000 euros. L’assurance cyber devient alors essentielle : une police de base coûte entre 1 500 et 5 000 euros par an pour une PME de 20 salariés.
Fiche 16 : construire une culture d’entreprise vishing-proof
La protection contre les attaques deepfake ne se limite pas à la procédure de double contrôle et à la formation ponctuelle. Elle s’inscrit dans une culture d’entreprise durable, où la cybersécurité est l’affaire de tous et où la vigilance est récompensée plutôt que sanctionnée.
Les 4 piliers d’une culture vishing-proof :
- Pilier 1 – Transparence assumée : la direction assume publiquement que l’entreprise peut être ciblée, sans chercher à minimiser la menace. Cette posture libère la parole des collaborateurs.
- Pilier 2 – Droit à l’erreur : un employé qui déclenche une fausse alerte est félicité, jamais sanctionné. L’objectif est de créer un réflexe de signalement, pas de faire peur.
- Pilier 3 – Formation continue : 2 heures annuelles de sensibilisation minimum, avec une session d’approfondissement tous les 2 ans pour les équipes les plus exposées.
- Pilier 4 – Veille active : abonnement à un flux d’alertes (CERT-FR, ANSSI, clusters cybersécurité régionaux) pour rester informé des nouvelles techniques d’attaque.
Une entreprise qui cultive ces 4 piliers réduit de plus de 90% son risque de succès d’une attaque deepfake. Le coût de la culture de prévention est sans commune mesure avec le coût d’une attaque réussie.
Questions fréquentes des dirigeants sur le deepfake audio (FAQ)
Comment savoir si un appel est réellement un deepfake ? ▼
Aucun signal n’est fiable à 100%, mais la combinaison de plusieurs indices (respiration artificielle, micro-silences, bruit de fond trop propre, demande urgente et confidentielle) doit déclencher la procédure de vérification par canal indépendant. Les outils comme Resemble Detect ou AI or Not offrent une détection technique avec un taux de réussite supérieur à 90%.
Que faire si je reconnais la voix de mon PDG mais que la demande est inhabituelle ? ▼
La voix est un signal faible d’authentification. Toute demande inhabituelle, même vocale, doit être vérifiée par un canal indépendant (appel sur numéro officiel, rencontre physique, email vérifié). Ne jamais valider une action sensible par le même canal que la demande initiale.
L’assurance cyber couvre-t-elle les attaques deepfake ? ▼
La majorité des polices cyber actuelles couvrent les attaques par ingénierie sociale, y compris les deepfakes audio et vidéo, sous réserve que l’entreprise ait mis en place des procédures de prévention documentées (formation, double contrôle, charte interne). Vérifiez les conditions générales de votre police et discutez-en avec votre courtier.
Les PME sont-elles vraiment ciblées par les deepfakes ? ▼
Oui. Les attaques deepfake ne visent pas que les grands groupes : les PME sont ciblées précisément parce qu’elles ont moins de procédures de sécurité, moins de formation, et des sommes encore importantes en jeu. 38% des attaques deepfake recensées en 2025 ont visé des entreprises de moins de 250 salariés.
Comment protéger la voix de mes dirigeants rendus publics ? ▼
La protection absolue est impossible si la voix est publiée sur des supports accessibles (podcasts, vidéos). Les mesures d’atténuation incluent : limiter la quantité d’enregistrements publics, ajouter des filigranes audio inaudibles (technologie Meta AudioSeal), et surtout mettre en place des procédures internes robustes pour qu’une voix clonée ne suffise pas à déclencher une action sensible.
Les banques remboursent-elles les virements versés sous deepfake ? ▼
Le remboursement dépend de la banque, de la rapidité du signalement, et de la destination des fonds. Les banques récupèrent rarement les fonds au-delà de 48 heures, surtout vers l’étranger. Une procédure judiciaire (plainte, enquête) reste possible des années après, et certaines assurances cyber couvrent les pertes non récupérées.







