Blog

Deepfake et arnaque au président : se protéger en 2026.

Article

Publié le, 13 May 2026 par Core Security
Deepfake et arnaque au président : se protéger en 2026

Description

Deepfake vocal, fausse visioconférence, virement frauduleux : comment l'IA transforme l'arnaque au président et comment protéger votre PME dès aujourd'hui.

⏱ Temps de lecture estimé : ~14 minutes

📑 Sommaire

Deepfake et arnaque au président. Ce que vous devez savoir en 30 secondes

Il est 16h30, un vendredi. Votre responsable comptable reçoit une invitation à une visioconférence urgente. Sur l'écran apparaît votre visage, votre voix, vos expressions. Le message est pressant : une acquisition stratégique doit être finalisée ce soir, un virement de 25 000 € est indispensable dans l'heure, et surtout — personne d'autre ne doit être au courant. Votre comptable s'exécute. Quelques heures plus tard, vous découvrez que vous n'avez jamais passé cet appel.

Ce scénario n'est plus de la science-fiction. C'est le quotidien des PME françaises en 2026. La fraude au président — l'une des escroqueries financières les plus coûteuses en entreprise — vient de changer de nature grâce à l'intelligence artificielle. Les deepfakes permettent désormais de cloner votre voix et votre visage à partir de quelques secondes d'audio ou de vidéo disponibles en ligne. Et le coût d'une telle attaque est passé sous la barre des 50 €.

Dans cet article, vous comprendrez comment fonctionne cette menace, pourquoi votre PME est une cible de choix, et surtout quelles procédures simples permettent de bloquer ces attaques, même sans budget cybersécurité conséquent. Si vous vous interrogez sur la façon dont l'IA générative transforme les cyberattaques, la fraude au président deepfake en est l'exemple le plus concret et le plus immédiatement dangereux.

Qu'est-ce que l'arnaque au président ? Définition

L'arnaque au président, aussi appelée FOVI (Faux Ordre de Virement) ou BEC (Business Email Compromise), est une fraude par usurpation d'identité. Un escroc se fait passer pour un dirigeant ou un responsable de l'entreprise — souvent le PDG ou le directeur financier — et ordonne à un collaborateur d'effectuer un virement urgent vers un compte frauduleux.

Jusqu'en 2024, cette fraude reposait principalement sur l'email. Un message bien rédigé, une adresse légèrement modifiée, un ton autoritaire. La parade était simple : le contre-appel téléphonique permettait de vérifier l'authenticité de la demande.

En 2026, cette parade ne fonctionne plus. Grâce aux deepfakes, les escrocs peuvent désormais passer ce contre-appel eux-mêmes — avec votre voix.

Deepfake : comment les escrocs clonent votre identité

Qu'est-ce qu'un deepfake dans le contexte de la fraude au président ?

Un deepfake est un contenu audio ou vidéo généré par intelligence artificielle qui imite de façon convaincante la voix, le visage et les expressions d'une personne réelle. Pour créer un clone vocal, quelques secondes d'enregistrement suffisent. Pour un deepfake vidéo, quelques minutes de séquences vidéo sont nécessaires.

Les sources utilisées par les escrocs pour collecter votre empreinte vocale et visuelle sont nombreuses et souvent accessibles publiquement :

  • Interviews et podcasts sectoriels dans lesquels vous vous exprimez,
  • Vidéos LinkedIn, présentations lors de conférences ou webinaires,
  • Messages vocaux sur le répondeur de l'entreprise,
  • Audios ou vidéos partagés via WhatsApp ou Teams,
  • Appels préliminaires : l'escroc vous appelle sous un prétexte anodin et enregistre discrètement votre voix.

Une fois cette matière première collectée, des services de clonage vocal accessibles en ligne — certains proposés pour 5 à 50 € par mois — permettent de générer une voix synthétique indiscernable de l'originale, capable de reproduire votre accent, vos intonations et vos tournures habituelles.

Le cas Arup : 25,6 millions de dollars perdus en une visioconférence

En février 2024, un employé du bureau hongkongais du groupe d'ingénierie britannique Arup rejoint une visioconférence avec ce qui semble être son directeur financier et plusieurs collègues. Pendant une heure, il échange normalement, pose des questions, obtient des réponses cohérentes. Rassuré, il valide 15 virements pour un total de 25,6 millions de dollars. Chaque participant à cette réunion était un deepfake généré en temps réel par intelligence artificielle. Cet incident illustre que même les vérifications visuelles ne suffisent plus.

Ce cas n'est pas isolé. Selon Cybermalveillance.gouv.fr, la fraude au virement a progressé de 93 % en un an chez les professionnels français, et de 262 % dans les collectivités.

Pourquoi votre PME est une cible privilégiée

Les grandes entreprises ne sont-elles pas les principales cibles ?

Non. Les PME de 20 à 100 salariés sont désormais les cibles les plus rentables pour les escrocs. Elles disposent de flux financiers suffisamment importants pour justifier l'attaque, mais leurs procédures internes sont souvent moins formalisées que celles des grands groupes.

Trois facteurs expliquent cette vulnérabilité spécifique :

  • L'autorité non contestée du dirigeant — Dans une PME, l'équipe est réduite et la parole du patron est rarement remise en question. Un appel du PDG en personne suffit à déclencher l'action,
  • L'absence de procédures de double validation — Les grandes entreprises imposent systématiquement deux validations indépendantes pour tout virement. Les PME fonctionnent souvent sur la confiance et la réactivité. Consultez notre article Principe de séparation des tâches en cybersécurité.
  • Une exposition numérique non maîtrisée — Interviews, podcasts, vidéos LinkedIn : les dirigeants de PME laissent souvent des traces audio et vidéo publiques que les escrocs exploitent pour créer leurs deepfakes.

Le coût d'entrée d'une attaque étant passé sous les 50 €, les escrocs peuvent désormais cibler simultanément des centaines de PME en automatisant la phase de collecte d'empreintes vocales.

Les 4 scénarios d'attaque les plus fréquents en 2026

Scénario Mode opératoire Cible dans l'entreprise
Appel vocal deepfake L'escroc appelle avec la voix clonée du dirigeant et demande un virement urgent et confidentiel Comptable, DAF, assistante de direction
Visioconférence deepfake Fausse réunion vidéo avec le "dirigeant" ou des "collègues" entièrement générés par IA Responsable financier, directeur de filiale
Double canal frauduleux Email suspect + appel de "confirmation" deepfake sur numéro usurpé (spoofing) Toute personne habilitée à valider un paiement
Fraude au faux fournisseur augmentée Voix clonée d'un contact fournisseur pour demander un changement de RIB, avec deepfake vidéo pour "confirmer" Service achats, comptabilité fournisseurs

Ces quatre scénarios exploitent tous les mêmes leviers psychologiques : l'urgence ("c'est pour ce soir"), l'autorité ("c'est le PDG qui demande") et la confidentialité ("n'en parlez à personne"). Ce triptyque est précisément conçu pour court-circuiter la vigilance naturelle et les procédures habituelles. Pour mieux comprendre ces mécanismes, notre analyse des attaques par ingénierie sociale détaille comment les attaquants exploitent les biais cognitifs humains.

Comment reconnaître une tentative d'arnaque deepfake

Peut-on encore détecter un deepfake à l'oreille ou à l'œil nu ?

De plus en plus difficilement. En 2026, les meilleurs outils de clonage vocal produisent des résultats que même des proches ne peuvent pas distinguer. Cependant, la technologie de génération en temps réel a une limite physique : le temps de traitement.

Surveillez les micro-artefacts de latence : lors d'une visioconférence deepfake, il existe souvent un léger décalage (quelques millisecondes de trop) entre une question complexe posée à l'improviste et la réponse. Ce "temps de réflexion" artificiel est dû au temps de calcul nécessaire à l'IA pour générer des expressions faciales et une synchronisation labiale cohérentes avec le nouveau flux de paroles.

Cela dit, plusieurs signaux d’alerte restent pertinents :

  • Une demande de virement urgente et confidentielle, quelle que soit la voie de communication,
  • Une instruction explicite de ne pas en parler à d'autres collègues ou à la direction,
  • Un appel depuis un numéro inhabituel, même si le nom affiché est celui d'un collègue ou d'un dirigeant (le spoofing permet d'usurper n'importe quel numéro),
  • Une qualité audio ou vidéo dégradée justifiée par une excuse ("je suis en déplacement", "mauvaise connexion"),
  • Une invitation à une visioconférence surprise sur une plateforme inhabituelle,
  • Un interlocuteur qui refuse ou esquive une vérification par un autre canal.

Le critère décisif n'est pas la qualité du deepfake — il peut être parfait. C'est la demande elle-même : aucun dirigeant légitime n'a besoin qu'un virement soit effectué dans l'heure, en secret, sans double vérification.

Les 6 mesures concrètes pour protéger votre PME

La bonne nouvelle : les mesures les plus efficaces contre l'arnaque au président deepfake sont organisationnelles, pas technologiques. Elles ne nécessitent pas de budget important. Elles nécessitent de la méthode.

  1. Instituez une règle absolue sur les virements — Aucun virement d'un montant supérieur à un seuil défini (par exemple 2 000 €) ne peut être exécuté sur la base d'un seul ordre, quelle que soit la voie de communication. Cette règle s'applique même si la demande vient de vous. Publiez-la, formalisez-la, et faites-en un réflexe automatique dans votre comptabilité.
  2. Créez un mot de passe ou code de confirmation interne — Établissez un mot ou une phrase secrète connue uniquement des personnes habilitées à valider des virements. Pour toute demande urgente, ce code doit être prononcé par l'interlocuteur. Un deepfake ne connaît pas votre mot de passe interne. Cette mesure simple bloque la quasi-totalité des tentatives.
  3. Imposez le rappel sur numéro de référence — Face à toute demande de virement, même provenant de voix connues, l'interlocuteur doit être rappelé sur son numéro officiel enregistré dans l'annuaire de l'entreprise et d’utiliser un canal de communication différent (ex: si l'appel est sur Teams, appeler sur le mobile pro) — jamais sur le numéro qui a appelé. Le spoofing permet d'afficher n'importe quel numéro ; seul le numéro de référence est fiable. Cette procédure de double vérification est l'équivalent du second facteur d'authentification appliqué aux processus financiers.
  4. Appliquez le principe des quatre yeux — Toute validation financière au-delà d'un certain seuil requiert la signature de deux personnes distinctes et indépendantes. Si l'une d'entre elles est soi-disant le donneur d'ordre, elle ne peut pas simultanément être le validateur. Ce principe, issu des bonnes pratiques de séparation des tâches, est la barrière organisationnelle la plus robuste.
  5. Sensibilisez vos équipes avec des cas concrets — Une session de sensibilisation d'une heure, illustrée par des exemples réels, change durablement les réflexes. L'objectif n'est pas de rendre vos collaborateurs paranoïaques, mais de leur donner la permission de dire "je dois vérifier avant d'exécuter" sans se sentir en faute. La sensibilisation à la cybersécurité est, selon l'ANSSI, l'investissement au meilleur retour pour les PME.
  6. Maîtrisez votre empreinte numérique publique — Inventoriez les contenus audio et vidéo de vous disponibles en ligne. Avant de participer à un podcast ou une vidéo publique, pesez ce que vous y divulguez. Ce n'est pas une raison de cesser toute communication, mais d'en avoir conscience. Limitez les informations sur votre organigramme, vos process internes et vos partenaires financiers sur votre site et les réseaux sociaux.

Que faire si vous avez été victime d'un virement frauduleux ?

Quelles sont les étapes immédiates en cas de virement frauduleux réalisé ?

Chaque heure compte. La réactivité dans les premières heures est déterminante pour limiter les pertes.

  1. Appelez immédiatement votre banque — Demandez le blocage ou le rappel du virement. Les banques disposent de procédures d'urgence. Plus vite vous agissez, plus les chances de récupérer les fonds sont élevées. Passé 24 heures, les fonds ont généralement transité par plusieurs comptes étrangers,
  2. Déposez plainte auprès des autorités — Police ou gendarmerie, en précisant qu'il s'agit d'une fraude au virement par deepfake. Sans plainte écrite, votre banque peut refuser toute procédure de remboursement,
  3. Signalez sur Cybermalveillance.gouv.fr — La plateforme Cybermalveillance vous oriente vers les démarches adaptées et des prestataires référencés pour la remédiation,
  4. Signalez sur Pharos — La plateforme de signalement Pharos alimente directement les enquêtes des forces de l'ordre,
  5. Prévenez votre assurance — Si vous disposez d'une assurance cyber, déclarez l'incident immédiatement. Les délais de déclaration sont souvent très courts (24 à 72h),
  6. Sécurisez vos systèmes — Changez les mots de passe des comptes concernés et bloquez les accès utilisés lors de l'incident. Une fraude au président est parfois précédée d'une compromission de messagerie : vérifiez si votre boîte email a été piratée.

Pour comprendre comment une cyberattaque peut paralyser une PME et les réflexes de continuité d'activité à adopter, consultez notre guide sur comment éviter un mois sans activité après une cyberattaque.

Ce que dit la réglementation : vos obligations et recours

La fraude au président deepfake n'est pas seulement un risque financier. Elle engage également des questions de responsabilité juridique et de conformité.

Responsabilité de l'entreprise victime

Plusieurs arrêts de la Cour de cassation rendus en 2024 et 2026 ont précisé les obligations de vigilance des banques en cas de virement frauduleux. Mais ils ont aussi rappelé que l'entreprise a une responsabilité propre : l'absence de procédures internes de vérification peut être retenue comme une faute contributive, réduisant le montant remboursé par la banque. Consultez notre Guide sur la politique de sécurité - PSSI

Obligations RGPD en cas de compromission de messagerie

Lorsque la fraude au président est précédée d'un piratage de boîte email — ce qui est fréquent — une violation de données personnelles peut avoir eu lieu. Dans ce cas, l'entreprise est tenue de notifier la CNIL dans les 72 heures si l'incident est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.

Signalement à l'ANSSI

Pour les entreprises évoluant dans des secteurs critiques ou soumises à NIS2, un incident par deepfake impliquant une compromission de système d'information doit être signalé à l'ANSSI via le portail dédié. Le non-respect de cette obligation peut entraîner des sanctions administratives.

Résumé — Les points clés à retenir

  • La fraude au président a été transformée par l'IA : le clonage vocal et les deepfakes vidéo rendent les vérifications classiques insuffisantes,
  • En 2026, une attaque deepfake coûte moins de 50 € à monter, ce qui rend les PME aussi rentables à cibler que les grands groupes,
  • La fraude au virement a progressé de 93 % en un an chez les professionnels français selon Cybermalveillance.gouv.fr,
  • Le contre-appel téléphonique classique ne protège plus si le numéro rappelé est usurpé ou si la voix elle-même est clonée,
  • Les mesures les plus efficaces sont organisationnelles : règle absolue sur les virements, mot de passe interne, rappel sur numéro de référence, principe des quatre yeux,
  • En cas d'incident : appeler sa banque immédiatement, déposer plainte, signaler sur Cybermalveillance.gouv.fr,
  • La sensibilisation des équipes reste l'investissement le plus rentable face à ces attaques.

Conclusion : la technologie a évolué, les parades aussi

La fraude au président existe depuis des décennies. Ce qui change en 2026, c'est que l'IA générative a supprimé les deux dernières barrières qui permettaient de la détecter : les fautes de français dans les emails et la vérification par contre-appel. Face à une voix parfaitement clonée sur un numéro parfaitement usurpé, la vigilance humaine seule ne suffit plus.

Mais la réponse n'est pas technologique. Elle est procédurale. Une règle simple — aucun virement sans double vérification indépendante — suffit à déjouer la quasi-totalité de ces attaques, aussi sophistiquées soient-elles. Un deepfake parfait est inutile si votre organisation exige toujours un second accord avant d'exécuter.

Si vous souhaitez évaluer l'exposition de votre PME à ce type de fraude et mettre en place les procédures adaptées, Core Security vous accompagne. Nos experts certifiés ISO 27001 et ISO 27005, basés à Paris, interviennent directement dans vos locaux pour réaliser des diagnostics cyber complets, mener des audits de vulnérabilité humaine et former vos équipes aux menaces les plus récentes. Contactez-nous pour un premier échange sans engagement.

FAQ - Deepfake et arnaque au président : se protéger en 2026

En 2026, 5 à 10 secondes d'enregistrement audio suffisent pour générer un clone vocal convaincant avec les outils grand public disponibles en ligne. Une interview de 2 minutes ou un message vocal de répondeur constituent une matière première amplement suffisante pour un attaquant.

Seulement s'il est effectué sur le numéro officiel enregistré dans l'annuaire interne de l'entreprise — jamais sur le numéro qui a passé l'appel entrant. Le spoofing permet aux escrocs d'afficher n'importe quel numéro. Si vous rappelez le numéro qui vous a contacté, vous rappellez l'escroc, qui peut utiliser une nouvelle fois le deepfake pour vous rassurer.

Les PME de 20 à 100 salariés sont aujourd'hui les cibles privilégiées. Elles présentent des flux financiers suffisants pour justifier l'attaque, des procédures internes moins formalisées, et une autorité du dirigeant plus directe et moins contestable. Le faible coût d'une attaque deepfake rend leur ciblage très rentable à grande échelle.

De moins en moins. Les meilleurs outils reproduisent l'accent, les intonations et les habitudes verbales avec une précision déconcertante. La détection à l'oreille ne doit plus être votre ligne de défense principale. Concentrez-vous sur le contexte : toute demande urgente, confidentielle et financière doit déclencher une vérification par procédure interne, quel que soit le réalisme de l'interlocuteur.

Agissez immédiatement : appelez votre banque pour tenter de bloquer le virement, déposez plainte auprès des forces de l'ordre, signalez l'incident sur cybermalveillance.gouv.fr, et prévenez votre assureur cyber dans les délais contractuels. Chaque heure compte : les fonds frauduleux transitent très rapidement vers des comptes à l'étranger.

Cela dépend du contrat. Certaines assurances cyber couvrent les fraudes financières par ingénierie sociale, d'autres les excluent ou les couvrent partiellement. Vérifiez votre contrat, et si vous n'en avez pas encore, notez que l'absence de procédures internes de vérification peut être opposée par l'assureur pour réduire l'indemnisation. La mise en place des procédures décrites dans cet article renforce votre position en cas de sinistre.

L'objectif n'est pas de rendre vos collaborateurs méfiants envers leurs collègues, mais de leur donner la de vérifier. Dites-leur explicitement : "Si quelqu'un vous demande un virement urgent, même si c'est moi, appliquez la procédure. Je ne vous en tiendrai jamais rigueur." Cette phrase, prononcée par le dirigeant lui-même lors d'une session de sensibilisation, change durablement la culture interne et désamorce la pression d'autorité sur laquelle repose toute l'arnaque.

Description

Deepfake vocal, fausse visioconférence, virement frauduleux : comment l'IA transforme l'arnaque au président et comment protéger votre PME dès aujourd'hui.

⏱ Temps de lecture estimé : ~14 minutes

Catégories

  1. Actualités
  2. Cybersécurité
  3. Informatique