Deepfake et fraude numérique : quelles solutions pour protéger votre image et vos finances?

Les deepfakes, ces vidéos, images ou audios manipulés grâce à l’intelligence artificielle, sont devenus une arme redoutable pour les cybercriminels. D’abord perçus comme un simple outil de divertissement, ils sont aujourd’hui utilisés pour usurper l’identité de dirigeants, falsifier des communications et orchestrer des fraudes à grande échelle.

Dans le monde des affaires, les conséquences peuvent être désastreuses : vols de données, transferts frauduleux de fonds, atteintes à la réputation… Contrairement à une idée reçue, les petites et moyennes entreprises (PME) sont tout autant vulnérables à ces menaces que les grandes entreprises. Cela a été démontré dans un rapport de la Fédération canadienne de l’entreprise indépendante (FCEI) publié en collaboration avec Interac Corp. (Interac) en septembre 2024. Selon ce rapport, 50 % des propriétaires de PME ont été victimes d’une tentative ou d’un cas avéré de fraude au cours des 12 mois précédents l’étude, et 36 % de ceux ayant été victimes d’une fraude avérée ont subi des pertes financières dont le coût financier moyen s’élève à 7 800 $[1].

Les deepfakes sont générés à l’aide d’algorithmes d’intelligence artificielle capables d’imiter la voix, le visage et même les expressions d’une personne en temps réel. Dans un contexte professionnel, ils peuvent être exploités de plusieurs manières :

• Fraude au président : Un cybercriminel génère une vidéo ou un audio imitant la voix d’un dirigeant et demande un virement urgent à un employé.
• Faux entretiens et escroqueries RH: Des pirates utilisent des deepfakes pour se faire passer pour des candidats et infiltrer une entreprise.
• Manipulation de l’image d’une entreprise : Falsification de déclarations publiques ou de contenus compromettants pour nuire à la réputation d’une organisation.

Par exemple, la société d’ingénierie britannique Arup a perdu plus de 25 M$ américains en 2024, victime d’une fraude par deepfake[2]. Lors d’une vidéoconférence, des cybercriminels ont utilisé des deepfakes pour imiter le directeur financier de l’entreprise et d’autres employés, incitant un membre du personnel à effectuer 15 transactions vers cinq comptes bancaires à Hong Kong.

Si les deepfakes deviennent de plus en plus réalistes, certains indices permettent encore de les identifier :

• Clignements des yeux peu naturels ou absents.
• Synchronisation imparfaite entre les lèvres et l’audio.
• Incohérences dans l’éclairage du visage.
• Intonations légèrement robotiques ou artificielles.
• Variations inhabituelles dans le rythme de la voix.
• Sons parasites ou coupures étranges.
• Analyse via des outils de détection comme Microsoft Video Authenticator ou Deepware Scanner.
• Recherche d’éléments contradictoires en comparant la vidéo avec des sources officielles.

Si un message ou une vidéo semble suspect, contactez directement la personne concernée via un autre canal pour confirmer son authenticité.

Pour minimiser les risques, les organisations doivent adopter une approche proactive, combinant formation, sécurité renforcée et outils technologiques. Voici les mesures clés à mettre en place pour protéger votre entreprise contre ces menaces :

• Former les employés à reconnaître les deepfakes et les techniques de fraude numérique.
• Établir des protocoles stricts pour toute demande de virement ou d’accès aux données sensibles.
• Double authentification systématique pour toutes les transactions financières.
• Vérification biométrique pour les connexions sensibles.
• Systèmes de validation en plusieurs étapes (ex. : confirmation par un deuxième employé).
• Adoption de solutions d’IA de détection des deepfakes, comme Sensity AI ou Deeptrace.
• Surveillance des réseaux sociaux et plateformes en ligne pour identifier les contenus frauduleux avant qu’ils ne se propagent.
• Dépôt et surveillance de la marque et des droits d’image.
• Collaboration avec des experts en cybersécurité pour adapter les mesures de protection aux nouvelles menaces.
• Mise en place d’une veille proactive sur les deepfakes ciblant l’entreprise ou son secteur.

Malgré toutes les précautions, aucune entreprise n’est totalement à l’abri d’une attaque deepfake. Qu’il s’agisse d’une fraude financière, d’une tentative de désinformation ou d’une usurpation d’identité, il est essentiel de réagir rapidement et stratégiquement pour limiter les dommages. Une intervention efficace repose sur trois axes : la détection rapide de la menace, la gestion de crise et le renforcement des mesures de protection pour éviter qu’un incident similaire ne se reproduise. Voici les étapes à suivre en cas d’attaque :

• Identifier et signaler immédiatement le contenu frauduleux aux plateformes concernées.
• Contacter les autorités compétentes (ex. : Centre canadien pour la cybersécurité).
• Informer les employés et les partenaires pour éviter toute confusion.
• Publier une déclaration officielle pour dissiper toute fausse information.
• Utiliser des canaux de communication sûrs pour rassurer les clients et les partenaires.
• Analyser comment l’attaque a été possible et renforcer les mesures de sécurité.
• Mettre en place des alertes automatisées pour repérer toute tentative similaire à l’avenir.

Les deepfakes constituent une menace réelle pour les entreprises, et les PME québécoises ne sont pas épargnées. Toutefois, en adoptant des stratégies de vigilance, des technologies de détection et des protocoles de cybersécurité renforcés, les organisations peuvent se protéger efficacement contre ces fraudes sophistiquées.

Vous planifiez un projet de cybersécurité au sein de votre entreprise? Contactez-nous pour découvrir comment nous pouvons vous aider! Chez ESM, nos conseillers en innovation accompagnent les entreprises de la Mauricie dans leurs opportunités d’affaires et la réalisation de leurs projets innovants. Ils peuvent également vous référer vers les experts appropriés selon les besoins de votre entreprise.

[1] Fédération canadienne de l’entreprise indépendante. (2024). Le coût de la fraude pour les PME : Gestion des risques et des défis. CFIB-FCEI.

[2] Incode. (2024). Top 5 cases of AI deepfake fraud from 2024 exposed. Incode.