Qu'est-ce qu'un deepfake vocal ?

Un deepfake vocal est une reproduction synthétique d'une voix réelle générée par intelligence artificielle. En 2026, seulement 3 à 5 secondes d'audio suffisent pour créer un clone vocal convaincant. Les pirates s'en servent pour usurper la voix d'un dirigeant et ordonner des virements frauduleux.

Comment détecter un email de phishing généré par IA ?

Contrairement aux anciens phishings, les emails générés par IA ne contiennent plus de fautes d'orthographe. Les signaux d'alerte à surveiller sont : l'urgence imposée, la demande de confidentialité, un domaine email quasi-identique au vôtre, et toute demande de virement sans confirmation orale sur un numéro connu.

Que faire si mon entreprise a été victime d'un faux virement (FOVI) ?

Agissez immédiatement : contactez votre banque pour tenter un rappel de fonds (procédure FOVI), déposez plainte dans les 24-48h, et envoyez une mise en demeure formelle si un tiers est en cause. Notre agent Kloé peut rédiger cette mise en demeure en 2 minutes.

Phishing IA & Deepfakes Vocaux : Ne Virez pas d'Argent à un Faux Dirigeant

466 000 €

coût moyen d'une attaque réussie sur une PME en France

78 %

des PME françaises ont subi au moins une cyberattaque en 2025

5 jours

d'arrêt complet en moyenne après un ransomware

Le nouveau visage de l'arnaque : l'IA au service des escrocs

Pendant des années, on reconnaissait un email frauduleux à ses fautes d'orthographe, son français approximatif, ses tournures bizarres. Cette époque est révolue.

L'IA générative permet désormais à n'importe quel cybercriminel de produire en quelques secondes un email impeccable, parfaitement contextualisé, qui imite le style d'écriture de votre PDG. Pire : combinée à un deepfake vocal (une reproduction synthétique d'une voix réelle à partir de seulement 3 secondes d'audio), elle peut simuler un appel téléphonique convaincant.

Les tentatives d'hameçonnage ciblant les PME ont presque doublé en un an. Et les victimes ne sont pas des entreprises négligentes. Ce sont des équipes normales, qui ont été prises à contre-pied par une attaque qu'elles n'avaient jamais vue.

⚠ Chiffre ANSSI 2025

Plus d'une PME française sur deux a subi une cyberattaque depuis 2023. Les attaques s'automatisent grâce à l'IA. Reconnaître un réseau vulnérable, envoyer un email ciblé et exfiltrer les données peut désormais se faire sans aucune intervention humaine.

Les 3 scénarios qui vident les comptes

Voici concrètement comment ces attaques se déroulent dans les PME françaises en 2026.

Scénario 01 — Le plus fréquent

L'email du PDG fantôme

Votre DAF reçoit un email de votre adresse dirigeant (ou d'une adresse quasi-identique). Ton urgent, confidentiel, virement à effectuer avant ce soir. L'IA a analysé les déclarations publiques de votre dirigeant pour en copier parfaitement le style et le vocabulaire.

Exemple réel : "Bonjour Sophie, j'ai besoin que tu effectues un virement de 47 800 € en urgence pour le rachat de notre fournisseur espagnol. C'est confidentiel jusqu'à lundi. Je t'envoie le RIB. — Michel"

Scénario 02 — Le plus redoutable

L'appel avec la vraie voix

Un appel arrive sur le téléphone de votre comptable. C'est la voix de votre dirigeant, vraiment sa voix, son intonation, son accent. Il demande de valider "en urgence" un virement déjà autorisé par email. En réalité, 3 à 5 secondes de voix suffisent à entraîner un deepfake vocal convaincant.

Sources audio piratées : une vidéo LinkedIn, un podcast, une réunion Zoom enregistrée, etc... Votre voix est peut-être déjà dans une base de données criminelle.

Scénario 03 — Le plus sournois

La fausse facture du vrai fournisseur

Un email d'un fournisseur réel vous informe que ses coordonnées bancaires ont changé. L'email provient d'une adresse piratée ou quasi-identique à la vraie. Le virement part vers un compte frauduleux. La découverte n'intervient que lors de la relance du vrai fournisseur.

Délai moyen de détection : 14 à 47 jours. À ce stade, les fonds ont transité par 3 à 4 juridictions. Le recouvrement est quasi impossible sans action juridique immédiate.

Audit Cybersécurité · Pentest IA

Votre PME est-elle exposée à ces attaques ?

Notre agent IA simule ces cyberattaques sur votre infrastructure pour identifier vos failles avant les pirates. Ports exposés, emails usurpables, mots de passe faibles… vous recevez un rapport complet avec un plan d'action concret.

Lancer mon Audit Pentest 190 € · Rapport sous 24h

Comment détecter un email ou un appel frauduleux

Même les attaques IA les plus sophistiquées ont des failles comportementales. Ces réflexes permettent d'en déjouer la grande majorité.

✓
Vérifiez l'adresse email complète, pas seulement le nom affiché. Un email de "Arnaud Dupont <PDG>" peut venir de arnaud.dupont@calimeg.co (un .co au lieu de .com). Agrandissez toujours l'entête.
✓
Tout virement supérieur à un seuil doit être confirmé par un second canal. L'email dit de virer 30 000 € ? Vous rappelez le dirigeant sur son numéro habituel et pas celui indiqué dans l'email.
✓
Un changement de RIB fournisseur doit toujours être validé physiquement. Appelez votre contact habituel sur l'ancien numéro. Ne faites confiance à aucune instruction de changement bancaire par email seul.
✓
Contre les deepfakes vocaux : utilisez un mot de code d'équipe. Mettez en place une question secrète que seul votre dirigeant réel connaît. Si la voix au téléphone ne peut pas y répondre, vous raccrochez.
✓
Méfiez-vous de l'urgence et du secret. "Avant ce soir", "ne dis rien à personne", "c'est confidentiel" -> ce sont des signaux d'alarme, pas des marqueurs de légitimité.

"82 % des brèches de sécurité impliquent encore une erreur humaine. La sensibilisation reste la première ligne de défense, avant toute technologie."

Ce que la loi prévoit si vous êtes victime

Si malgré tout un virement frauduleux est effectué, chaque heure compte. Les délais légaux pour agir sont courts et la procédure est technique.

⏱ Délai critique

Vous disposez en principe de 13 mois pour contester un virement non autorisé auprès de votre banque (Code monétaire et financier, art. L.133-24). Mais en pratique, plus vous agissez vite, meilleures sont vos chances. Dans les premières 24-72h, un blocage bancaire est encore possible.

Les 3 actions immédiates à enclencher

1. Contactez votre banque immédiatement pour tenter un rappel de fonds (chargeback). Précisez "fraude par faux ordre de virement international", c'est le terme FOVI reconnu par les institutions.

2. Déposez plainte dans les 24-48h auprès de la police ou de la gendarmerie. Sans dépôt de plainte formel, votre assurance ne pourra pas intervenir.

3. Envoyez une mise en demeure formelle si un tiers (sous-traitant, service RH externalisé) a failli à ses obligations de vérification. Cette lettre doit être rédigée avec précision pour être juridiquement recevable.

Agent Juridique · Kloé

Victime d'un virement frauduleux ? Kloé rédige votre mise en demeure.

Notre agent juridique IA évalue vos recours légaux et génère en 2 minutes une mise en demeure recevable, adressée à votre banque, votre assurance ou le tiers responsable. Sans attendre un avocat à 250 € de l'heure.

Consulter Kloé gratuitement Mise en demeure · Analyse juridique

5 mesures concrètes à mettre en place cette semaine

Pas besoin d'un DSI à plein temps. Ces mesures sont accessibles à toute PME sans compétences techniques particulières.

1
Activez la double authentification (MFA) sur tous les comptes email. Un pirate qui a votre mot de passe ne peut rien faire sans le second facteur. Délai de mise en place : 10 minutes par compte.
2
Configurez le protocole DMARC sur votre nom de domaine. DMARC empêche les pirates d'envoyer des emails en se faisant passer pour votre domaine. Une configuration DNS de 15 minutes qui bloque des milliers d'attaques.
3
Sensibilisez votre équipe avec un scénario réel. Simuler un faux email de phishing en interne et analyser qui clique est plus efficace que n'importe quelle formation théorique.
4
Formalisez une procédure écrite pour tout virement supérieur à un seuil. Définissez un montant (ex : 5 000 €) au-dessus duquel un second accord humain via appel téléphonique est obligatoire. Mettez-la par écrit et faites-la signer.
5
Auditez vos failles avec un pentest IA. Identifier vos portes ouvertes avant les pirates, c'est exactement ce que fait notre audit automatisé en 24h. Ports exposés, mots de passe faibles, fichiers sensibles accessibles -> vous voyez tout avant eux.

Ressource publique gratuite

Le dispositif Cybermalveillance.gouv.fr propose des ressources gratuites et peut vous orienter vers des prestataires référencés (label ExpertCyber) si vous êtes victime d'une attaque. À consulter en complément d'un audit préventif.

Votre PME est peut-être déjà exposée

Découvrez vos failles
avant que les pirates ne le fassent.

Pour 190 €, notre agent IA simule une cyberattaque complète sur votre infrastructure. Ports ouverts, emails usurpables, CMS obsolètes -> vous recevez un rapport clair et un plan d'action priorisé. Pas de jargon. Pas d'abonnement.

Commander mon Audit Pentest (190 €) Voir un exemple de rapport

Rapport envoyé par email sous 24h · Aucune donnée stockée · Conforme RGPD

Déjà victime ? Consultez Kloé gratuitement →