Retour au blog
RéglementationNouveau 11 min

Deepfakes et fraude par IA : reconnaître la menace et se défendre en 2026

Un deepfake, c'est un visage, une voix ou une vidéo fabriqués par intelligence artificielle pour imiter une personne réelle. En 2026, ces imitations ne servent plus seulement à divertir : elles servent à voler. Un employé du groupe d'ingénierie Arup a viré 25,6 millions de dollars après une visioconférence où le directeur financier et ses collègues étaient tous des faux générés par IA. Deloitte estime que la fraude facilitée par l'IA générative pourrait atteindre 40 milliards de dollars aux États-Unis d'ici 2027. Pour une entreprise belge, la question n'est plus de savoir si le risque existe, mais si ses procédures de paiement résistent à une voix ou à un visage falsifiés.

Article généré par l'IA. Contenu rédigé avec l'assistance d'un modèle d'intelligence artificielle, puis relu par un humain avant publication. Les chiffres cités renvoient à leurs sources, listées en fin d'article.

La fraude par IA en chiffres

40 Md$
Pertes de fraude facilitée par l'IA aux États-Unis d'ici 2027 (Deloitte)
25,6 M$
Détournés via un deepfake vidéo du directeur financier (Arup, 2024)
1 sur 3
Organisations touchées par une fraude deepfake en 2025 (Regula)

La bascule est récente et rapide. Deloitte chiffre les pertes de fraude facilitée par l'IA générative aux États-Unis à 12,3 milliards de dollars en 2023, et projette 40 milliards d'ici 2027, soit une croissance annuelle de 32 %. La seule fraude par courriel augmentée par l'IA pourrait représenter environ 11,5 milliards de dollars en 2027 dans le scénario le plus agressif. Ces montants concernent les États-Unis, mais la technologie, elle, ne connaît pas de frontière.

Côté entreprises, l'enquête mondiale de Regula indique qu'une organisation sur trois a déjà subi une fraude par deepfake en 2025, un niveau désormais comparable à celui de la fraude documentaire classique et de l'ingénierie sociale. Le clonage de voix est devenu le vecteur le plus courant, parce qu'il est le plus simple à réaliser et le plus difficile à détecter au téléphone.

Le point de bascule

Ce n'est pas la sophistication qui a changé, c'est le coût. Produire une voix ou un visage crédibles demandait des moyens de studio ; cela demande aujourd'hui quelques minutes et des données publiques. La fraude par IA n'est plus un scénario de laboratoire, c'est un risque opérationnel de trésorerie.

Deepfake, clonage vocal, fraude au président : de quoi parle-t-on ?

Quatre techniques se combinent dans la plupart des attaques. Elles visent un même objectif : faire croire qu'une personne de confiance donne une instruction qu'elle n'a jamais donnée.

Anatomie d'une attaque : le cas Arup

Début 2024, un employé du bureau hongkongais du groupe d'ingénierie britannique Arup reçoit un courriel du directeur financier demandant des virements confidentiels. Méfiant, il soupçonne d'abord un hameçonnage. Rassuré par une visioconférence où il voit et entend le directeur financier et plusieurs collègues, il exécute 15 virements pour 25,6 millions de dollars (200 millions de dollars de Hong Kong) vers cinq comptes. Tous les participants de l'appel, sauf lui, étaient des deepfakes. La fraude n'a été découverte qu'en vérifiant, plus tard, auprès du siège.

Ce scénario n'a rien d'exceptionnel dans sa mécanique. Il suit presque toujours les mêmes étapes.

1

Reconnaissance

Le fraudeur collecte voix et images publiques : interviews, webinaires, réseaux sociaux, rapports annuels. Il identifie qui, dans l'entreprise, peut ordonner un paiement.

2

Amorce

Un courriel ou un message crée l'urgence et impose le secret : opération sensible, rachat confidentiel, régularisation à ne pas ébruiter.

3

Mise en scène

Un appel ou une visioconférence avec voix et visage clonés lève le dernier doute de la victime. La présence de plusieurs faux collègues renforce l'illusion.

4

Exécution

Les fonds partent en virements fractionnés vers des comptes relais, souvent à l'étranger, puis sont dispersés avant toute alerte. La récupération est rare.

Ce que dit la loi : l'IA Act, l'article 50 et le cadre belge

L'Union européenne impose une transparence. L'article 50 du règlement sur l'IA (IA Act) oblige celui qui diffuse un deepfake à indiquer que le contenu est généré ou manipulé par une intelligence artificielle. Ces obligations de transparence s'appliquent à partir du 2 août 2026 ; un code de bonnes pratiques sur le marquage est en cours de finalisation, et le paquet Digital Omnibus pourrait aménager certaines modalités techniques de marquage (article 50, paragraphe 2).

La transparence n'empêche pas la fraude : un fraudeur n'étiquette pas son faux. Elle sert surtout à qualifier les contenus et à sanctionner les usages abusifs. La défense concrète reste du côté de l'entreprise. En Belgique, Febelfin alerte depuis plusieurs mois sur la montée du vishing, la fraude téléphonique où l'appelant se fait passer pour la banque ou un tiers de confiance. Le Centre pour la cybersécurité Belgique, via Safeonweb, a recueilli près de 10 millions de messages suspects signalés par les citoyens en 2025. Le sujet touche aussi la culture : selon Febelfin, 64 % des Belges auraient honte d'être victimes d'une fraude en ligne, un silence qui profite aux fraudeurs. Pour le détail des obligations sectorielles de l'IA Act, voir notre analyse des impacts sectoriels du règlement européen sur l'IA.

Les signaux qui doivent alerter

La plupart des fraudes par IA partagent les mêmes marqueurs. Aucun n'est une preuve à lui seul, mais leur combinaison doit déclencher une vérification.

Se défendre : procédures, technologie, personnes

La défense efficace ne repose pas sur un seul outil, mais sur trois couches qui se renforcent.

Procédures

Double validation des virements exceptionnels, rappel systématique sur un numéro connu à l'avance (call-back), seuils et délais de réflexion, mot de passe interne convenu pour les demandes sensibles.

Technologie

Biométrie et détection de vivacité pour les processus à distance, filtres anti-hameçonnage, provenance des contenus (norme C2PA), surveillance des changements de coordonnées bancaires.

La troisième couche, la plus décisive, concerne les personnes : sensibilisation régulière, exercices de simulation, et surtout une culture où vérifier n'est jamais une marque de défiance. Un employé qui rappelle son directeur avant un virement fait bien son travail ; il ne doit jamais craindre de le faire.

Le contrôle le plus efficace est le moins technologique

Avant tout virement exceptionnel ou tout changement de compte, un simple rappel sur un numéro connu à l'avance, jamais celui fourni dans le message, arrête la quasi-totalité des fraudes au président. Aucune voix clonée ne résiste à cette vérification.

Ce que ça change pour l'entreprise belge

Il n'est pas nécessaire d'être une multinationale pour être visé. Une PME qui exécute des virements fournisseurs, une fiduciaire, une administration locale, un service financier : toute organisation qui déplace de l'argent sur instruction est une cible. Le maillon faible n'est pas la technologie, c'est le moment où une personne, sous pression, contourne une procédure parce que l'ordre semble venir d'en haut.

La bonne nouvelle, c'est que les contre-mesures sont peu coûteuses et surtout organisationnelles. Formaliser un circuit de validation, imposer le rappel avant paiement, entraîner les équipes finance et achats, tester une fois par an avec une fausse demande : voilà l'essentiel. Les secteurs déjà rompus à la détection de fraude, comme l'assurance, montrent la voie ; nous l'avons détaillé dans notre article sur l'IA dans l'assurance et la lutte contre la fraude.

Questions fréquentes

Qu'est-ce qu'un deepfake ?

Un deepfake, ou hypertrucage, est un contenu vidéo, audio ou photo fabriqué ou modifié par intelligence artificielle pour imiter une personne réelle, sa voix ou son visage. Dans un contexte de fraude, il sert à faire croire qu'un dirigeant, un client ou un fournisseur donne une instruction qu'il n'a jamais donnée.

Le clonage de voix est-il vraiment à la portée des fraudeurs ?

Oui. Quelques secondes d'enregistrement, souvent disponibles publiquement, suffisent aux outils actuels pour reproduire une voix de façon crédible au téléphone. Le clonage vocal est aujourd'hui l'un des principaux vecteurs de fraude par IA.

Les contenus générés par IA doivent-ils être signalés en Europe ?

L'article 50 du règlement européen sur l'IA impose à celui qui diffuse un deepfake d'indiquer que le contenu est généré ou manipulé par une IA. Ces obligations de transparence s'appliquent à partir du 2 août 2026. Elles n'empêchent pas la fraude, car les fraudeurs n'étiquettent pas leurs faux, mais elles aident à la qualifier et à la sanctionner.

Comment vérifier un ordre de paiement suspect ?

Avant tout virement exceptionnel ou changement de coordonnées bancaires, rappelez la personne sur un numéro connu à l'avance, jamais celui fourni dans le message. Exigez une double validation interne et méfiez-vous de l'urgence et du secret imposés : ce sont les deux leviers principaux de la fraude au président.

Sources

  1. Deloitte Center for Financial Services, Generative AI is expected to magnify the risk of deepfakes and other fraud in banking (pertes de fraude facilitée par l'IA générative aux États-Unis de 12,3 Md$ en 2023 à 40 Md$ en 2027, CAGR 32 % ; fraude par courriel jusqu'à 11,5 Md$ en 2027 dans le scénario agressif). deloitte.com
  2. CFO Dive, Scammers siphon $25M from engineering firm Arup via AI deepfake CFO (visioconférence deepfake, 15 virements pour 25,6 M$ / 200 M HK$, Hong Kong, 2024). cfodive.com
  3. Regula, Deepfakes Already Hitting Businesses as Often as Traditional Fraud (enquête mondiale 2025 : une organisation sur trois touchée par une fraude deepfake). businesswire.com
  4. Parlement européen (EPRS), Scam calls in times of Generative AI (2025). europarl.europa.eu
  5. EU Artificial Intelligence Act, Article 50 : obligations de transparence des fournisseurs et déployeurs de certains systèmes d'IA (application au 2 août 2026). artificialintelligenceact.eu
  6. Febelfin, Vishing : telephone fraud on the rise et chiffres de fraude. febelfin.be
  7. Safeonweb (Centre pour la cybersécurité Belgique), signalements de messages suspects. safeonweb.be

Vos procédures résistent-elles à un deepfake ?

Molderez Consult aide les entreprises belges à sécuriser leurs circuits de paiement et de validation face à la fraude par IA : procédures de rappel, sensibilisation des équipes finance et achats, exercices de simulation et gouvernance.

Évaluer mon exposition
Article généré par l'IA. Contenu rédigé avec l'assistance d'un modèle d'intelligence artificielle, puis relu par un humain avant publication. Les chiffres cités renvoient à leurs sources, listées en fin d'article.
Partager