Deepfakes : quand l'IA industrialise la fraude, quelles réponses concrètes ?

par François Grime - Consultant en cyberdéfense
par Stéphane GROUSSEAU - Directeur adjoint de l'Agence Cyber Défense et Renseignement chez Sopra Steria
| minutes de lecture

Les deepfakes ne relèvent plus de la science-fiction : avatars en visioconférence, voix clonées à partir d'une seule prise de parole publique, fraude personnalisée produite à la chaîne. Deux experts cyberdéfense de Sopra Steria, François Grime et Stéphane Grousseau, décrivent une menace qui s'industrialise. Et expliquent pourquoi la parade tient peut-être moins dans la détection du faux que dans une refonte de la confiance. 

 

Ce matin, Charles a l’air en forme. Votre collègue est présent pour le point en visio qu’il a calé hier par mail. Il vous demande de confirmer le virement nécessaire au paiement de la facture liée à une mission récente. Tout roule, vous le faites. Problème : la personne à l'écran n'existe pas. Il s’agit d’un avatar généré et animé en temps réel par l'IA. « On est passé à une ère où l'on échange avec un avatar numérique qui prend les traits d'une personne que l’on connaît… et ce n'est pas elle, observe Stéphane Grousseau. Ce n'est plus de la science-fiction : c'est une technologie qui devient accessible. » 

 

En 2025, Sopra Steria a mesuré le poids économique notamment de la prolifération des deepfakes dans le cadre d’une étude sur le coût de la désinformation. La référence était alors une fraude réalisée en 2024 à partir d'un enregistrement. Dix-huit mois plus tard, la question que nous avons posée à deux de nos spécialistes de la cyberdéfense et de la lutte informationnelle, François Grime et Stéphane Grousseau, n'est plus de savoir si la technologie fonctionne, elle est de mesurer la vitesse à laquelle elle s'industrialise. Et de cerner les défenses qui tiennent réellement. 

Changement de régime ou accélération ? 

Pour François Grime, contributeur au Cercle Pégase, un think tank dédié à la lutte informationnelle, la rupture est structurelle. « Pour moi, il y a un changement de régime. Les modèles sont toujours plus performants, et cela ne va faire que s'étendre », avance-t-il, en pointant moins la technologie que sa matière première. Un dirigeant qui a pris la parole lors d'une seule table ronde laisse en ligne des heures de voix et de vidéo exploitables ; notre culture professionnelle, qui pousse les responsables à incarner leur entreprise sur les réseaux sociaux et dans les podcasts, a transformé l'empreinte numérique de chacun en données d'entraînement. 

 

Stéphane Grousseau se méfie du vocabulaire de la révolution. « Pour moi, c'est une accélération, pas un changement de régime », nuance-t-il. Ce qui le frappe, ce n'est pas la durée des échantillons audio qui se réduit, mais l'effondrement du délai, du coût et du temps de réaction de production, ainsi que l'arrivée des deepfakes en direct. La conséquence pratique reste la même : la fraude passe de l'artisanat à l'industrie. Ce qui exigeait un opérateur aguerri et du temps se produit désormais en masse, et se personnalise en même temps. 

Un multiplicateur difficile à détecter 

Notre étude estimait que les deepfakes pouvaient amplifier la fraude en ligne de 15 à 20 %. Les deux experts jugent aujourd'hui cette fourchette prudente. « C'est plus que prudent de parler de 15 à 20 %, estime Stéphane Grousseau. On est plus proche d'un coefficient multiplicateur fois deux ou fois trois. » François Grime attribue ce saut à l'orchestration : des agents IA et des workflows automatisés qui démultiplient les attaques tout en personnalisant chacune. Résultat : non seulement davantage de fraude, mais une fraude plus crédible, qui déborde le cas classique de la fraude au président pour atteindre le quotidien. Par exemple, l'appel paniqué « maman, c'est moi, j'ai besoin d'un virement », ou les deepfakes intimes non consentis et la sextorsion qui visent des citoyens sans service juridique pour les défendre. 

 

Le réflexe est de détecter le faux. Les deux experts soutiennent l'effort et avertissent qu'il ne suffit pas. « C'est un vrai jeu du chat et de la souris », résume François Grime. Détecter ne se résume pas à repérer un contenu généré : c'est toute un pipeline de collecte, de prétraitement et d'analyse, et elle porte une asymétrie gênante : collecter et qualifier la donnée coûte plus cher que la produire. 

La voie la plus prometteuse, suggère-t-il, consiste à surveiller les comportements plutôt que les contenus. « Quand on se base sur le comportement et moins sur le contenu, on limite le volume d'analyse ». L’idée est donc de traquer les schémas inauthentiques à l'échelle d'un réseau plutôt qu'en jugeant chaque message un par un. 

Reconstruire une architecture de confiance 

Si le contenu ne peut plus être cru sur parole, la réponse consiste à repenser la manière dont la confiance est accordée. Stéphane Grousseau convoque un concept connu dans le champ de la cybersécurité : le zero trust. « Le zero trust, c'est du concept, pas de la technologie, insiste-t-il. Il repose sur le fait de ne faire confiance à personne à aucun moment. Il y a donc un volet culturel et humain, pas seulement technique. » Appliqué aux échanges, cela signe le retour de la vérification multifacteur, y compris sous une forme très humaine : un mot de passe convenu à l'avance avec ses proches ou ses dirigeants, ou une question dont seule la vraie personne connaît la réponse. François Grime fait le même constat depuis le terrain : convenir de phrases de reconnaissance internes « ne coûte rien, c'est une discipline, comme en cybersécurité : quand on n'a pas de moyens techniques, on met des procédures en place ». 

 

Autour de cela vient le travail opérationnel. François Grime invite les organisations à la proactivité : veiller son propre espace informationnel ; cartographier ses vulnérabilités comme en cyber ; préparer en amont playbooks, contacts juridiques et listes de diffusion presse ; et confier à une personne un rôle pivot pour coordonner des directions communication, sûreté, cyber et juridique qui se parlent rarement, une recommandation qu'il rattache au guide de sensibilisation de Viginum à destination des acteurs économiques. La vitesse, préviennent-ils, est l'ennemie : « la réactivité est l'ennemie de la sécurité ». 

Une réponse collective 

Le renversement le plus marquant est générationnel. Le phishing nous a appris à protéger les utilisateurs plus âgés, moins à l'aise avec le numérique. La fraude au deepfake, soutient Stéphane Grousseau, frappera d'abord les jeunes, ces natifs des réseaux sociaux, qui exposent largement leur vie et offrent aux attaquants un renseignement humain profond et facile, et qui accordent souvent leur confiance dès le premier contact. « La vérification croisée n'est tout simplement pas dans leur culture. » L’expert anticipe ainsi une montée en résilience collective, comme nous avons appris à nous méfier des images en ligne, mais alerte sur une « période de flottement » intermédiaire, celle où nous serons les plus exposés. 

 

La conclusion honnête, c'est qu'aucun pare-feu ne règle le problème. La sensibilisation vient d'abord, les habitudes de vérification ensuite, et la technologie en troisième lame. « Imaginer que la solution technologique sera un vrai pare-feu » revient à mal poser le problème, prévient Stéphane Grousseau. L'ère des deepfakes se traversera en reconstruisant délibérément la confiance, exercice autant humain que technique. Les organisations qui s'y mettent dès maintenant (cartographier leur exposition, entraîner leurs équipes, traiter la vitesse comme un risque) seront sans doute les moins impactées une fois que la période de flottement aura pris fin. 

 

Search

cybersecurity

artificial-intelligence

information-warfare

Contenus associés

L’IA en première ligne dans la lutte d’Iberpay contre la fraude financière

Iberpay intègre l’IA à son service anti-fraude et offre aux banques des données clés pour lutter contre la criminalité financière. 

TradSNCF : L’IA au service des agents de gare pour l’accueil des voyageurs

Découvrez TradSNCF, l'outil de traduction de la SNCF alimenté par l'IA qui améliore l'expérience voyage de millions de passagers du monde entier.

La technologie au service de la lutte contre l’analphabétisme

Comment Norad et Sopra Steria utilisent l'IA et la technologie cloud pour lutter contre l'analphabétisme infantile.