Le deepfake comme dépense opérationnelle : comment une PME perd son contrôle financier lorsque la voix du PDG n'est plus une preuve
La narration typique des fraudes d’entreprise était autrefois simple : un faux e-mail, un nouveau compte bancaire, un employé distrait et un paiement inapproprié. La technologie des deepfakes a brisé ce schéma, en introduisant un défi beaucoup plus difficile à contrer, car elle attaque là où se concentre le plus de valeur dans une organisation : l’autorité.
Les données indiquent une transition d'un "risque émergent" à une "fuite de trésorerie récurrente". En 2025, le fraude avec deepfakes a drainé 1,1 milliard de dollars des comptes d'entreprise aux États-Unis, triplant les 360 millions de 2024. Parallèlement, le volume de deepfakes est passé de 500 000 en 2023 à plus de huit millions en 2025, avec un rythme d'attaques mesuré désormais par la fréquence quotidienne. Pourtant, la préparation organisationnelle reste faible : seulement 32 % des dirigeants estiment être prêts à gérer un incident, et 61 % déclarent ne pas avoir de protocoles pour faire face à ce risque.
Pour une PME, cela ne relève pas de la "gouvernance sophistiquée" ou des comités. C’est un problème de continuité : quand une entreprise ne peut pas distinguer une véritable instruction d'une fausse, son système de paiements devient une vulnérabilité à faible marge.
La mécanique du coup : le deepfake transforme l'urgence en autorisation
Les cas documentés montrent le schéma avec précision. En 2024, un employé a transféré 25 millions de dollars après une vidéoconférence avec la haute direction, qui s'est finalement révélée être un clonage. Dans le cas d'Arup, la perte a été de 25,6 millions à cause d'une vidéoconférence deepfake. En 2025, un attaquant a réussi à tromper un directeur financier avec un message vocal cloné semblant provenir du PDG, suivi d'un courriel parfaitement rédigé sollicitant une transaction sensible, exploitant des détails de style et d’habitudes.
Ce qui est pertinent pour une PME, ce n'est pas le montant en question, mais la structure de persuasion.
1) Le deepfake ne "hacking" pas les systèmes, il "hacking" les processus humains. La vidéoconférence ou l'audio sont l'équivalent moderne de "fais-le, c'est urgent". Dans les organisations avec des contrôles laxistes, l'urgence remplace la vérification.
2) L’attaque est déjà multicanal. Photo par messagerie, appel sur Teams, courriel formel et parfois pression temporelle. Cette combinaison crée un faux sentiment de "validation croisée". Quand l’attaquant simule plusieurs sources, la victime croit avoir validé.
3) Cela cible le point où l’entreprise convertit la confiance en liquidité : la trésorerie. Il n'est pas nécessaire de pénétrer un ERP si le processus permet qu'une instruction de paiement soit effectuée par "autorité perçue".
Exprimé en termes financiers simples, le deepfake est une taxe sur la liquidité : il augmente la probabilité qu’une sortie de trésorerie se produise sans contrepartie réelle. Et ce type de fuite ne se récupère pas par du marketing ou par plus de ventes ; elle se récupère par une discipline de contrôle ou par des capitaux externes.
Le coût réel pour les PME : ce n'est pas la fraude, c'est la redéfinition du contrôle interne
Une PME pense souvent à la cybersécurité comme une dépense discrétionnaire jusqu'à ce qu'un incident survienne. Le deepfake contraint à le traiter comme un coût structurel, car il augmente le coût attendu de chaque exception en matière de paiements.
La métrique clé est la valeur attendue de perte, qui ne nécessite pas de mathématiques sophistiquées : probabilité d’incident par impact moyen.
Les données sectorielles montrent une tendance, bien qu'elles ne permettent pas de fixer la probabilité exacte pour chaque entreprise. Ce qui est certain, c'est que la fréquence augmente fortement : au moins sept attaques par jour, incidents vérifiés par milliers chaque trimestre, et une croissance que plusieurs observateurs décrivent comme explosive. Dans cet environnement, une PME avec des processus informels fait face à deux multiplicateurs de risque.
- Concentration d'autorité. Dans les PME, un PDG ou un directeur financier approuve souvent les paiements, les changements de compte et les exceptions. Si cette identité est clonée, le "sceau" de l'entreprise est également cloné.
- Tolérance opérationnelle aux exceptions. Les PME gagnent en rapidité grâce aux raccourcis : paiements via WhatsApp, approbations par audio, changements de compte confirmés par téléphone. Le deepfake transforme cette rapidité en un vecteur de perte.
L'effet secondaire est tout aussi coûteux : paralysie opérationnelle. Si l'entreprise réagit trop tard, elle gèle les paiements, freine les achats, compromet les relations avec les fournisseurs et peut encourir des pénalités. La fraude est la sortie de trésorerie ; le dommage opérationnel est la compression de marge par inefficacité et urgences.
La bonne lecture pour la direction générale est la suivante : la défense ne consiste pas à "détecter les deepfakes" comme s'il s'agissait d’un antivirus, mais à faire en sorte que l'autorisation des paiements ne dépende pas d'un canal falsifiable. La voix et la vidéo peuvent déjà être falsifiées à moindre coût.
Protocoles qui changent vraiment la donne : séparer l'autorité de l'exécution
Les données montrent un vide clair : 61 % n'ont pas de protocoles pour le risque deepfake et 80 % n'ont pas de protocoles spécifiques de réponse. C'est une invitation à des pertes, parce que l'attaquant parie que le premier incident traitera l'entreprise en mode improvisé.
Dans une PME, l'objectif n'est pas de bureaucratiser, mais de concevoir un système où la fraude doit briser plusieurs éléments à la fois. Trois décisions pratiques produisent un impact direct sur le contrôle de la trésorerie.
1) Seuils de paiement avec double contrôle réel, non nominal.
Le double contrôle signifie deux personnes et deux canaux distincts, avec preuve. Si un transfert dépasse un seuil, l’approbation ne peut pas être donné par audio, vidéoconférence ou messagerie. Il doit exister un second facteur opérationnel : un flux de banque d'entreprise avec permissions séparées, ou une confirmation par canal préalablement convenu et enregistré.
2) Comptes bancaires des fournisseurs avec un "période de refroidissement".
Le changement de compte est le point classique de la fraude. La règle raisonnable est simple : les modifications de compte ne s’appliquent pas le même jour pour des paiements importants. Le changement est enregistré, validé par un canal non improvisé et exécuté après un délai minimum. Cela réduit la valeur de l'attaque d'urgence, qui est son principal levier.
3) Processus d’exception avec traçabilité.
Le deepfake prospère lors des exceptions : "fais-le vite", "c'est confidentiel", "ne l'escalade pas". Une PME a besoin de l'équivalent d'un "clôture comptable" pour les paiements urgents : toute exception nécessite enregistrement, motif et preuve. Pas pour punir, mais pour que l’équipe sache que l’exception est un événement audité.
Ces mesures ne nécessitent pas de budgets énormes. Elles requièrent d'accepter une idée inconfortable : la confiance interne n'est plus une preuve. En 2025, la fraude par clonage vocal a augmenté de 680 % en un an, et le vishing soutenu par l'IA a augmenté de plus de 1 600 % sur une période signalée. Dans ce contexte, protéger la trésorerie implique de concevoir une friction intelligente.
L'angle que le conseil d'administration a tendance à ignorer : le deepfake affecte le flux, pas la réputation
Le titre médiatique met souvent l'accent sur la réputation ou sur le "risque d'image du PDG". Pour une PME, le coup matériel se produit avant tout : dans la trésorerie quotidienne.
Quand une entreprise subit un transfert frauduleux, elle ne perd pas seulement de l'argent. Elle perd des options.
- Elle perd son pouvoir de négociation avec les fournisseurs si elle se retrouve sans liquidité au mauvais moment.
- Elle perd sa marge si elle doit se financer à un coût élevé pour combler un trou de trésorerie.
- Elle perd sa capacité d'investissement si elle redirige son budget pour combler le trou.
Dans les entreprises financées par leurs propres clients, le flux est leur oxygène. Un incident de fraude, même de moindre ampleur que les cas emblématiques, peut obliger à des remises agressives pour réaliser des liquidités rapidement, modifier les politiques de recouvrement, ou retarder des achats critiques. Cela se traduit par une dégradation du service, un roulement de clients et une chute des revenus futurs. L'attaque se paie deux fois : d'abord comme perte ponctuelle, ensuite comme érosion opérationnelle.
C'est pourquoi le débat "le conseil n'est pas prêt pour l'ère de l'IA" se traduit pour les PME par une instruction concrète : le PDG et l'équipe financière doivent convenir d'une matrice d'autorisations qui résiste à la falsification d'identité.
La statistique de perception est aussi importante : 31 % des dirigeants pensent que les deepfakes n’augmentent pas leur risque de fraude. Cette croyance réduit le coût de l'attaque, car elle retarde l'investissement dans des contrôles et maintient des processus laxistes. L’attaquant n’a pas besoin que tout le monde soit vulnérable ; il a seulement besoin qu’une entreprise laisse la porte ouverte.
La bonne direction : transformer les paiements en un système vérifiable, non en un acte de foi
La réponse efficace allie technologie et processus, mais l’ordre compte. Si une PME achète des outils sans redéfinir son flux d’autorisation, le coût augmente et le risque demeure. Si elle redéfinit le flux d’abord, la technologie devient un multiplicateur.
Ma recommandation, strictement d'un point de vue d'architecture financière, est de considérer chaque sortie de trésorerie comme un contrat miniature : preuve, traçabilité et séparation des fonctions. L’entreprise n’a pas besoin d’adopter la paranoïa, elle doit adopter la comptabilité.
La normalisation du deepfake impose un changement culturel opérationnel : personne ne doit "obéir" à une voix lorsqu'il s'agit d'argent. On obéit à un protocole. Dans le monde décrit par les données de 2025, où le volume de deepfakes est déjà massif et où la fraude s’élève à des milliards, la PME qui préserve le contrôle sera celle qui transformera l'autorisation des paiements en un système reproductible.
La trésorerie ne se défend pas avec des discours ni avec des hiérarchies, elle se défend avec des mécanismes qui rendent l'erreur plus coûteuse que la vérification, car le seul financement qui maintient le contrôle d’une entreprise est l'argent du client, perçu avec marge et protégé par des processus.
