3 protections combinées : code-mot opérationnel hors-ligne, callback obligatoire sur numéro connu, principe des 4 yeux + 24h. Une demande urgente qui refuse ces 3 rituels est, par définition, suspecte.
La menace en 2026 — pourquoi c'est devenu réel
Trois minutes d'enregistrement public suffisent aux outils de voice cloning grand public (ElevenLabs, Resemble.AI) pour produire un clone vocal exploitable. Les outils vidéo (Synthesia détourné, HeyGen) ont franchi en 2024 le seuil de la plausibilité prolongée : ils tiennent une conversation entière sans faille audible.
Cas réels documentés : Arup à Hong Kong (février 2024), 25 millions de dollars virés après visioconférence deepfake ; WPP — Mark Read (mai 2024), tentative similaire heureusement déjouée par un collaborateur expérimenté. La cible privilégiée n'est plus le PDG du CAC 40 (trop entouré) mais le maire de ville moyenne, le DG d'ETI, le directeur d'hôpital, le dirigeant d'association.
Les 3 protections combinées
- Code-mot opérationnel : convenir d'un mot de passe partagé hors-ligne entre le dirigeant et le cercle restreint de la cellule, renouvelé chaque trimestre. Jamais transmis par mail, jamais par messagerie d'entreprise, jamais par SMS. Imprimé sur papier, conservé en lieu sûr.
- Callback obligatoire : toute demande inhabituelle reçue (virement, ouverture de compte, communication d'information sensible) déclenche un rappel sortant systématique sur un numéro connu du contact, jamais sur le numéro affiché par l'appel ou le mail entrant.
- Principe des 4 yeux + 24h : tout ordre à fort enjeu reçu en contexte d'urgence proclamée déclenche un délai de 24 heures non négociable et une validation par un second responsable. L'urgence est elle-même un signal d'alarme, pas un argument.
La règle simple : une demande urgente qui refuse ces trois rituels est, par définition, suspecte. Les vrais dirigeants n'imposent pas de virement à 6 chiffres dans les 30 minutes sans procédure d'authentification renforcée.
La pré-empreinte cryptographique
Pour les organisations exposées (CAC 40, ETI internationalisées, élus médiatisés), enregistrer dans des conditions contrôlées un échantillon vidéo et vocal de référence du dirigeant et du porte-parole (5 à 10 minutes), signé cryptographiquement (standard C2PA), conservé hors-ligne. Sert de référence forensique en cas de circulation d'un faux contenu — sans empêcher l'attaque elle-même.
Que faire si on est victime
4 actions immédiates si un deepfake est en circulation contre votre organisation :
- Démentir publiquement et factuellement, sans amplifier si possible (le retweet du faux pour démentir augmente la portée).
- Signaler aux plateformes (X, Meta, TikTok, YouTube) via leurs procédures DSA accélérées pour les contenus illicites.
- Déposer plainte : la loi SREN du 21 mai 2024 pénalise l'hypertrucage non consenti — 3 ans d'emprisonnement et 75 000 € d'amende, porté à 5 ans et 150 000 € si caractère sexuel.
- Saisir l'ARCOM en parallèle pour les contenus à diffusion massive sur les très grandes plateformes.
Voir notre article complet cellule de crise & IA générative pour le décryptage exhaustif des nouvelles menaces et les 7 réflexes à intégrer dans votre PCA.
Pour aller plus loin
Mettre en place vos 3 protections deepfake ?
30 minutes pour cadrer code-mot, callback, principe 4 yeux et pré-empreinte. Gratuit et sans engagement.
Échanger avec un consultant →