Les technologies de génération audio et vidéo synthétiques, connues sous le nom de deepfakes, ont franchi un seuil critique. Longtemps limitées au divertissement sur les réseaux sociaux ou à la manipulation politique ponctuelle, elles s’imposent désormais comme des instruments à part entière dans les tactiques de cyberattaque.

Ce basculement dépasse le seul registre technologique et s’inscrit dans une transformation structurelle. La perception humaine, qu’il s’agisse d’une voix familière ou d’un visage reconnu, devient elle-même une nouvelle surface d’attaque.

Dans ce contexte, les entreprises font face à une menace qui s’appuie moins sur la technicité brute que sur la manipulation fine des comportements humains. Des campagnes de fraude exploitent aujourd’hui des voix clonées et des vidéos truquées pour simuler des communications authentiques et tromper même les collaborateurs les plus vigilants.

En février 2024, un employé d’une multinationale hongkongaise piégé par un deepfake transférait 24 millions d’euros. L’arnaque a fonctionné, car tout semblait authentique : accent, rythme, ton… La banalisation de ces outils, rendue possible par leur accessibilité économique et technique, accélère l’industrialisation de ces attaques.

Une menace technologique devenue humaine

Les activités de simulation d’attaques menées auprès d’organisations internationales montrent que le recours aux deepfakes n’est plus une hypothèse futuriste, mais une réalité bien établie. Un rapport d’Anozr Way datant de 2024 indiquait que le nombre de deepfakes pourrait passer de 500 000 en 2023 à 8 millions en 2025.

Les deepfakes exploitent une faille rarement anticipée dans les dispositifs de cybersécurité : notre confiance instinctive dans les interactions humaines. Des voix clonées servent à incarner des dirigeants ; des vidéos générées à partir de contenus publics sont intégrées dans des scénarios crédibles et scénarisés pour tromper des collaborateurs expérimentés. Plus que la sophistication technique, c’est l’industrialisation de ces pratiques qui doit alerter.

La facilité de clonage vocal, nécessitant seulement quelques dizaines de secondes d’enregistrement souvent accessibles via les médias publics tels que Youtube ou TikTok, permet de générer des voix artificielles en quelques minutes et à faible coût. Ces voix sont ensuite utilisées dans des campagnes automatisées, incluant des appels téléphoniques de masse menés par des agents conversationnels qui simulent une interaction humaine convaincante.

Ce changement de paradigme déplace le point d’entrée des attaques, du système informatique vers les comportements humains, exploitant la confiance, l’urgence et la reconnaissance vocale.

Sensibilisation, doute et vérification : les nouveaux piliers de la cybersécurité

La plupart des entreprises ont concentré leurs efforts de cybersécurité sur la protection des systèmes et des données. Or, face aux deepfakes, c’est l’humain qui devient le point d’entrée. Ces attaques exploitent une faiblesse majeure dans les dispositifs de cybersécurité actuels : l’absence de réflexes de vérification dans les communications vocales et vidéo.

Alors que la plupart des entreprises ont mis en place des campagnes de sensibilisation au phishing par email, la sensibilisation aux deepfakes reste quasi inexistante. D’autant que, contrairement au phishing, désormais bien connu, les appels ou visioconférences falsifiés restent largement sous-estimés. Le réalisme des deepfakes, notamment dans des contextes de stress ou d’urgence, brouille les signaux faibles qui pourraient alerter.

La détection repose sur des signaux subtils, comme un décalage dans les réponses ou une intonation robotique, mais ces indices sont souvent ignorés dans des contextes de stress. La mise en place de pratiques systématiques de vérification, à travers des questions contextuelles dont seules les parties légitimes connaissent la réponse, et dont la réponse peut changer régulièrement (par exemple, « Quand nous sommes-nous vus pour la dernière fois ? ») ou par des canaux secondaires de confirmation, devient essentielle. La méfiance se transforme ainsi en compétence stratégique incontournable.

Les « robocalls », aujourd’hui utilisés massivement auprès des particuliers qui reçoivent chaque jour plusieurs appels automatisés par l’intelligence artificielle, peuvent également être utilisés par des adversaires à des fins illégitimes. Ici aussi, le léger décalage dans les réponses et l’intonation demeurent des indices à identifier.

Ainsi, la sensibilisation des équipes ne peut plus se limiter à la messagerie électronique. Elle doit intégrer ces nouveaux scénarios, former à la reconnaissance des manipulations et instaurer une culture de la vérification systématique. La confiance ne doit plus être implicite, même lorsqu’elle semble naturelle.

La menace des deepfakes ne peut plus être considérée comme une curiosité technologique ou un risque de niche. Elle interroge en profondeur la manière dont les entreprises gèrent la confiance, la traçabilité des décisions et la sécurité des échanges. Il devient impératif d’intégrer ces enjeux dans la gouvernance des organisations : simulations de crise, protocoles de vérification, redondance des canaux d’information, formation continue.

Plus qu’une réponse technologique, c’est une réponse organisationnelle, cognitive et culturelle qu’il faut construire. Car face à une illusion numérique qui se fonde sur la familiarité, seule une vigilance active permet d’éviter que la prochaine attaque ne passe… par la voix du PDG.

* Benoît Jacob est Tech-lead EMEA au sein de Sophos Red Team

The post { Tribune Expert } – Deepfakes : la prochaine faille humaine des entreprises ? appeared first on Silicon.fr.