Les criminels utilisent l’IA pour créer des deepfakes. Cela représente non seulement un risque en matière d’hameçonnage, mais peut aussi affecter la confiance dans votre entreprise. Pourtant, selon l’ISACA, cette confiance numérique doit être protégée.
On ne trouve plus les deepfakes uniquement dans les profondeurs des réseaux sociaux. Aujourd’hui, les images manipulées par l’IA sont devenues un risque commercial urgent. Les vidéos hyperréalistes et les voix imitées par l’IA induisent en erreur les équipes comptables, les services d’assistance et même les membres de la direction.
Risques internes et externes
Ce problème est déjà ancien. L’ISACA met en garde depuis longtemps contre les menaces liées à l’IA. L’année dernière, l’organisation a encore souligné les risques liés à l’hameçonnage convaincant et aux deepfakes. La confiance numérique est pourtant le fondement de l’audit, de la sécurité, de la confidentialité et de la conformité. Les cadres et les certifications peuvent aider les organisations à standardiser leurs processus.
lire aussi
Les deepfakes sapent la confiance numérique dans votre entreprise : que pouvez-vous faire ?
Les risques ne sont pas uniquement internes. Un seul extrait convaincant suffit à saper la confiance des clients. Selon l’ISACA, le fossé entre l’importance de la confiance numérique et la préparation opérationnelle des organisations ne cesse de se creuser. Hélas, c’est précisément dans cet espace que les deepfakes prospèrent.
D’un incident à une crise en 60 minutes
Les organisations en constatent déjà les effets : de fausses instructions vidéo d’un « PDG », des publicités manipulées et de faux services d’assistance. Les dommages financiers et réputationnels peuvent s’accumuler rapidement. Selon l’ISACA, le temps de réaction est limité : la première heure détermine si un incident se transforme en crise.
Les données d’une étude menée par l’ISACA soulignent l’urgence du problème : 82 % des professionnels européens de l’informatique et des affaires estiment que la confiance numérique deviendra encore plus importante au cours des cinq prochaines années, mais près des trois quarts d’entre eux déclarent que leur entreprise ne propose aucune formation à ce sujet ; 64 % associent immédiatement la perte de confiance à une atteinte à la réputation.
Déjà un problème
« Les deepfakes sont déjà un problème pour les entreprises aujourd’hui, ce n’est pas pour demain », souligne Chris Dimitriadis, directeur de la stratégie mondiale chez l’ISACA. « Ajoutez des contrôles de détection et d’origine à vos processus médiatiques, actualisez les scripts de crise pour les médias synthétiques et traitez les deepfakes dans le cadre de votre programme plus large de lutte contre la fraude et de sécurité, et non comme un risque isolé. »
Les détecteurs IA qui analysent le play-back, les micro-expressions ou la luminosité sont utiles, mais insuffisants s’ils ne sont pas intégrés dans des processus. Selon Dimitriadis, c’est la gouvernance qui fait la différence : qui doit escalader, à quelle vitesse, quelles preuves faut-il conserver et qui doit s’exprimer publiquement et quand ? « Sans gouvernance, on réagit de manière improvisée et on reste vulnérable. La formation est tout aussi importante : tout le monde, de la direction au personnel de première ligne, doit être capable de reconnaître les signes d’un deepfake et savoir comment réagir », explique Dimitriadis.
La loi européenne sur l’IA et les obligations de transparence relatives aux médias synthétiques renforcent les exigences minimales, mais ne remplacent pas la discipline interne. Les entreprises doivent traduire leurs politiques en contrôles applicables sans étouffer l’innovation. Dans le secteur public, par exemple, la maîtrise de l’IA est devenue une obligation explicite : les personnes qui utilisent l’IA doivent disposer des connaissances techniques, pratiques et juridiques nécessaires pour le faire de manière responsable.
Plan de défense pratique
Les organisations doivent se montrer courageuses. Dimitriadis partage des mesures pratiques que chaque entreprise peut déjà mettre en œuvre pour se prémunir contre les risques liés aux deepfakes.
- Intégration de la détection : Ajoutez la détection IA dans les flux de travail médiatiques (relations publiques, réseaux sociaux, service client en ligne) et vérifiez les métadonnées, si possible. Combinez la détection automatique avec des révisions humaines. Cela empêchera les contenus faux de gagner en popularité via vos propres canaux.
- Extension de la réponse aux incidents avec les médias synthétiques : · Élaborez des guides pratiques pour : le triage rapide (dans les 15 à 30 minutes), la conservation des preuves à des fins d’enquête, la vérification juridique (droit à l’image, violation de marque) et la première communication (vérification des faits en cours, « nous enquêtons et bloquons de manière proactive »). Désignez à l’avance les porte-parole et les lignes d’escalade.
- Association des deepfakes aux processus de fraude existants : Ne placez pas les deepfakes dans un silo. Fixez des limites aux autorisations de paiement par voix/vidéo, mettez en place des vérifications par rappel en dehors de la chaîne initiale et enregistrez les anomalies de manière centralisée pour les informations sur les menaces et les analyses rétrospectives.
- Entrainement complet : Les compétences et la formation sont en première ligne. Développez la culture numérique et une culture du scepticisme sain : prenez le temps de réfléchir avant de cliquer, de partager ou d’agir.
En combinant intelligemment la détection, la gouvernance et les compétences, on renverse l’asymétrie. Les attaquants n’ont besoin que d’un seul clip convaincant ; les défenseurs ont besoin d’un processus bien pratiqué pour limiter les dégâts et gagner la confiance. Dimitriadis résume : « On ne protège pas la confiance numérique uniquement par des politiques ou des formations, mais par un effort à l’échelle de l’entreprise qui combine les deux. »
Lors de la conférence ISACA 2025 Europe, qui se tiendra à Londres du 15 au 17 octobre, l’ISACA organisera une session pour illustrer le problème, avec notamment une démonstration en direct utilisant une version synthétique du présentateur. Les personnes intéressées apprendront comment détecter les tromperies de l’IA et comment y remédier. Pour plus de détails sur la conférence et la session, cliquez ici.