En résumé. Le clonage de voix par IA est devenu bon marché, ce qui remet la fraude au président au goût du jour et met les PME dans le viseur. La bonne nouvelle : une règle de vérification bien appliquée neutralise l'essentiel du risque, sans investissement lourd.
Ce qui s'est passé
La menace n'est plus théorique. Le 27 avril 2026, la Banque de France et l'ACPR ont alerté sur de fausses vidéos imitant leurs propres dirigeants, dont le gouverneur François Villeroy de Galhau, pour recommander de faux placements. Le rappel des autorités est net : aucun responsable de la Banque de France ne conseille de produit financier.
Ce qui a changé, c'est le coût. Un abonnement de clonage vocal se trouve aujourd'hui entre 5 et 50 euros par mois, et l'usurpation d'un numéro de téléphone coûte quelques centimes via des services VoIP. Une PME de 20 à 100 salariés devient donc une cible rentable, au même titre qu'un grand groupe. Selon un rapport Yousign publié en 2026, une tentative de fraude par deepfake surviendrait toutes les cinq minutes en France. Une étude Regula, citée par la DGSI dans son rapport sur l'ingérence économique de janvier 2026, indique que 49 % des entreprises dans le monde disent avoir déjà subi une tentative de fraude impliquant un deepfake audio ou vidéo.
Le cas le plus commenté reste celui d'un employé piégé lors d'une visioconférence entièrement truquée : visage et voix de ses dirigeants clonés, il a validé des virements pour l'équivalent de plusieurs dizaines de millions d'euros. L'affaire visait une grande entreprise, mais la mécanique fonctionne à toutes les échelles.
Suis-je concerné ?
La question n'est pas la taille de votre entreprise, mais votre circuit de paiement. Toute société qui règle des factures par virement peut être visée. Le maillon sensible, c'est la personne capable de déclencher un paiement : comptabilité, service financier, assistanat de direction.
Quelques signaux reviennent presque toujours. Une urgence forte (« ça doit partir aujourd'hui »). Une demande de confidentialité (« n'en parle à personne pour l'instant »). Un changement d'IBAN de dernière minute. Un canal inhabituel, comme un appel ou une visio là où votre dirigeant écrit d'habitude par e-mail. Un interlocuteur qui met la pression et coupe court aux questions.
Pour savoir où vous en êtes, testez votre propre circuit. Demandez à un collaborateur ce qu'il ferait s'il recevait, un vendredi à 17 h, un appel du « dirigeant » réclamant un virement urgent et discret. Sa réponse vous dira si votre procédure tient, ou si elle repose sur la confiance dans une voix au téléphone.
Que faire maintenant
1. Imposez un double contrôle indépendant. Aucun virement sensible ne part sans validation par un second canal connu à l'avance : un rappel sur le numéro interne enregistré du demandeur, ou une double signature. La règle prive l'attaque de sa principale arme, la voix clonée.
2. Verrouillez le changement de coordonnées bancaires. Formalisez une procédure écrite : tout nouvel IBAN, ou toute modification de coordonnées d'un fournisseur, se vérifie par un contact direct avec un interlocuteur connu, jamais via les seules informations reçues dans le message.
3. Entraînez vos équipes et outillez votre environnement Microsoft. Une courte session de sensibilisation et un « mot de passe verbal » interne suffisent à créer le bon réflexe. Côté technique, activez l'authentification multifacteur sur Microsoft 365, surveillez les règles de transfert automatique de messagerie et gardez un œil sur les connexions inhabituelles. Ce socle limite aussi les usurpations d'e-mails qui accompagnent souvent ces fraudes. Pour aller plus loin sur les attaques ciblées, voir notre dossier spear-phishing : comprendre, détecter, protéger.
Un doute sur votre exposition ?
Faites le point avec un expert IT Systèmes
Audit rapide de votre exposition et des réflexes à mettre en place. Sans engagement.
En bref
La menace est réelle, mais la parade coûte peu. Une règle de double vérification et un réflexe partagé désamorcent la plupart des tentatives, même quand la voix semble parfaitement crédible. Des équipes préparées restent votre meilleure défense, bien avant n'importe quel outil.
Questions fréquentes
Peut-on reconnaître une voix clonée au téléphone ? De moins en moins à l'oreille. Mieux vaut ne pas se fier à la voix et rappeler la personne sur un numéro connu avant toute action.
Le deepfake ne vise-t-il que les grands groupes ? Non. La baisse des coûts rend les PME rentables à cibler, souvent parce que leurs procédures de paiement sont moins verrouillées.
— Samir Amara, CEO — IT Systèmes



