La scène est racontée par la DGSI elle-même, dans son flash consacré à l’ingérence économique publié en janvier 2026. Un responsable de site industriel d’un groupe français reçoit un appel en visioconférence. À l’écran, le dirigeant de son groupe. Le visage est le bon, la voix est la bonne, l’intonation est crédible. L’objet de l’appel : un virement urgent dans le cadre d’une acquisition discrète. Surpris par le caractère inhabituel de la demande, le responsable met fin à l’échange et alerte sa direction par les canaux habituels. Verdict : le dirigeant n’avait jamais appelé. Son visage et sa voix avaient été clonés par intelligence artificielle. Ce cas d’école, le service de renseignement intérieur l’a rendu public précisément parce qu’il illustre une bascule. L’usurpation d’identité du dirigeant n’est plus une curiosité technologique, c’est une méthode d’attaque installée. Et si la cybersécurité a commencé à y répondre par des procédures, un angle entier du problème reste dans l’ombre : ce que cette menace dit du visage et de la voix du dirigeant comme actifs de l’entreprise. Car avant d’être une fraude au virement, le deepfake du dirigeant est une attaque contre un actif de marque. Et cet actif, personne ne le cartographie.
La convergence des alertes : ce que disent les chiffres officiels
Le signal ne vient pas d’un fournisseur de solutions cherchant à vendre sa technologie, il vient des institutions. Le baromètre de la fraude publié par Allianz Trade le 16 juin 2026 établit que 60 % des PME et 85 % des ETI et grandes entreprises françaises ont subi au moins une tentative de fraude au cours des douze derniers mois, et que plus d’une ETI ou grande entreprise sur deux constate une hausse de ces tentatives. Surtout, 76 % des dirigeants estiment que l’intelligence artificielle accroît le risque, deepfakes audio et vidéo en tête. Le responsable Assurance Fraude d’Allianz Trade en France y voit un risque devenu concret, mesurable et potentiellement critique pour la trésorerie. Face à cela, la préparation reste faible : trois entreprises sur dix seulement sont assurées contre la fraude, et 16 % déclarent n’avoir mis en place aucun dispositif de prévention.
Les autres signaux convergent. Une étude du spécialiste de la vérification d’identité Regula, reprise par la DGSI dans son flash de janvier, indique que 49 % des entreprises dans le monde déclarent avoir déjà subi une tentative d’escroquerie impliquant un deepfake audio ou vidéo, et que le volume de deepfakes en ligne a été multiplié par plus de dix entre 2023 et 2025. Selon Cybermalveillance.gouv.fr, la fraude au virement a progressé de 93 % en un an chez les professionnels français. Le gouverneur de la Banque de France lui-même a publiquement alerté sur les deepfakes fin avril. Et le précédent le plus spectaculaire reste ce cas de début 2024 à Hong Kong, où un employé financier a viré près de 24 millions d’euros en quinze transferts après une visioconférence dont tous les participants, directeur financier compris, étaient des deepfakes générés en temps réel.
Une précision d’honnêteté s’impose, car elle évite de céder au sensationnalisme. Dans le baromètre Allianz Trade, la fraude au faux dirigeant n’est pas la première en volume : les fraudes au faux fournisseur, avec un faux relevé d’identité bancaire, et au faux client arrivent en tête. Mais elle est la fraude que l’intelligence artificielle transforme le plus vite, celle dont la barrière technique s’effondre, et surtout la seule qui attaque directement une personne et son image. C’est cette spécificité qui change la nature du problème.
Ce que la cybersécurité voit, et ce qu’elle ne voit pas
La réponse qui s’organise face à cette menace est essentiellement procédurale, et elle est indispensable. Double validation des virements au-delà d’un seuil, rappel systématique sur le numéro officiel plutôt que sur celui de l’appel entrant, codes d’authentification internes, principe des quatre yeux, sensibilisation des équipes finance. Ces mesures relèvent de la sécurité des processus, elles sont efficaces contre le scénario du virement frauduleux, et toute entreprise devrait les avoir déployées. Le contre-appel classique ne suffit d’ailleurs plus lorsque le numéro rappelé peut être usurpé et la voix elle-même clonée, ce qui impose des protocoles plus robustes.
Mais cette réponse, aussi nécessaire soit-elle, traite le deepfake du dirigeant comme un problème de tuyauterie financière. Elle protège le virement. Elle ne dit rien de la question d’amont : avec quoi le clone a-t-il été fabriqué ? La réponse est simple et dérangeante. Il a été fabriqué avec ce que l’entreprise elle-même a publié. Les interviews vidéo du dirigeant, ses passages en podcast, ses prises de parole en conférence, ses messages de vœux sur LinkedIn, ses interventions dans la presse locale ou nationale. Quelques minutes d’audio et quelques séquences vidéo suffisent aujourd’hui à entraîner un clone convaincant. Autrement dit, la matière première de l’attaque est la communication de l’entreprise. Et c’est là que le sujet cesse d’être purement cyber pour devenir un sujet de marque.
Le cadre : la surface d’attaque dirigeante
Il faut nommer ce que ce déplacement révèle. Le visage et la voix d’un dirigeant sont des actifs de marque. C’est même l’un des enseignements constants de la communication moderne : l’incarnation crée la confiance, un dirigeant visible humanise l’entreprise, porte son récit, rassure ses clients et ses équipes. Toute la doctrine de la prise de parole dirigeante repose sur cette valeur de l’incarnation. Or tout actif publié est désormais un actif clonable. Chaque interview accroît le capital d’entité du dirigeant, et accroît simultanément le matériau disponible pour le cloner. Plus un dirigeant est médiatisé, plus il est attaquable. La visibilité que l’on cultive méthodiquement est devenue une surface d’attaque que l’on ne cartographie jamais.
C’est ce que nous appelons la surface d’attaque dirigeante : l’ensemble de l’empreinte publique clonable d’un dirigeant, la somme des extraits de voix et d’image disponibles en ligne, leur qualité, leur durée, leur accessibilité. Cette surface existe pour tout dirigeant qui communique, elle croît avec chaque prise de parole, et elle est aujourd’hui la seule dimension du risque que ni la cybersécurité ni les assureurs ne mesurent. Les uns sécurisent les processus, les autres couvrent les pertes. Personne n’inventorie l’actif attaqué lui-même.
Au-delà du virement : quand le clone attaque le capital d’entité
Réduire le deepfake du dirigeant à la fraude au virement serait une seconde erreur de périmètre. Le clone d’un dirigeant peut servir à voler de l’argent, mais il peut aussi servir à voler autre chose : la parole. Un faux dirigeant peut annoncer publiquement une fausse acquisition, une fausse démission, un faux profit warning. Il peut tenir des propos scandaleux qui enflamment les réseaux avant tout démenti. Il peut, comme dans ce cas documenté en Roumanie où l’image du gouverneur de la banque centrale a été clonée dans une fausse interview diffusée sur un site contrefaisant un grand journal, servir de caution à une escroquerie visant le public, les clients ou les épargnants. Dans tous ces scénarios, la victime n’est pas la trésorerie, c’est le capital d’entité : ce que les gens, et désormais les machines qui indexent et resservent l’information, croient savoir de l’entreprise et de son dirigeant.
C’est le prolongement direct de ce que le chef de Viginum expliquait aux entreprises : le risque informationnel n’est pas seulement réputationnel, il frappe le chiffre d’affaires, la perception des marchés et la cohésion interne. L’usurpation d’identité dirigeante en est la forme la plus personnelle : l’attaque ne vise plus les messages de l’entreprise, elle vise le messager lui-même, en fabriquant de fausses paroles avec un vrai visage. Et une fausse déclaration virale d’un dirigeant, même démentie, laisse des traces durables dans les contenus en ligne, donc dans ce que les moteurs et les intelligences artificielles restitueront demain à qui se renseigne.
La mauvaise réponse serait l’invisibilité
Face à ce constat, une tentation existe, et il faut la désamorcer d’emblée : réduire l’exposition du dirigeant, limiter les interviews, retirer les vidéos. Ce serait la pire des réponses. D’abord parce qu’elle est illusoire : quelques minutes d’archives suffisent, et ce qui a été publié un jour reste accessible quelque part. Ensuite et surtout parce qu’elle revient à détruire soi-même l’actif que l’on prétend protéger. Un dirigeant invisible ne construit pas de capital d’entité, ne porte pas le récit de son entreprise, n’existe ni dans la presse ni dans les réponses des intelligences artificielles. L’invisibilité ne protège pas du clonage, elle offre simplement la victoire à l’attaquant avant même l’attaque. On ne répond pas au clonage par la disparition, on y répond par la cartographie, la surveillance et le protocole. Exactement comme on ne répond pas à la contrefaçon d’une marque en cessant d’avoir une marque.
Ce que vous devez faire, et dans quel ordre
Action 1 : cartographiez la surface d’attaque de votre dirigeant
Commencez par un inventaire, comme vous le feriez pour un actif immobilier ou une marque déposée. Recensez l’empreinte publique clonable du ou des dirigeants : vidéos accessibles en ligne, podcasts, interventions enregistrées, durée cumulée d’audio disponible, qualité des extraits. Cet inventaire donne la mesure objective de la surface d’attaque, identifie les dirigeants les plus exposés de l’organisation, et sert de base à la surveillance : on ne peut détecter un usage frauduleux de cette matière que si l’on sait ce qui existe. Cette cartographie doit être tenue à jour, car chaque prise de parole l’enrichit.
Action 2 : instaurez un protocole d’authentification qui n’humilie personne
Côté processus, déployez les mesures désormais standard : aucune opération sensible déclenchée sur la seule foi d’une voix ou d’un visage, rappel systématique sur les numéros officiels du répertoire interne, code d’authentification partagé pour les demandes inhabituelles, double validation des virements au-delà d’un seuil. Mais le point décisif est culturel, et il appartient au dirigeant lui-même : dire explicitement à ses équipes que toute demande, même venant apparemment de lui, doit passer par la procédure, et qu’il n’en tiendra jamais rigueur à personne. Cette phrase, prononcée par le dirigeant en personne, désamorce le levier principal de l’attaque, qui n’est pas technologique mais hiérarchique : la peur de faire attendre le patron.
Action 3 : préparez la riposte au deepfake public, pas seulement au deepfake privé
Le scénario du faux appel interne est le plus documenté, mais le scénario du deepfake public, une fausse déclaration du dirigeant diffusée en ligne, est celui qui menace le capital d’entité. Il se prépare comme une crise informationnelle : une veille capable de détecter rapidement un contenu usurpant l’identité du dirigeant, des canaux officiels d’authentification de la parole dirigeante clairement établis à l’avance, un circuit de démenti rapide impliquant communication, juridique et direction, et des relais identifiés pour faire circuler le vrai plus vite que le faux. Le facteur décisif est la vitesse : un deepfake public démenti en une heure est un incident, le même démenti en deux jours est une empreinte durable dans les contenus que liront les machines pendant des années.
ELMARQ accompagne les dirigeants et les directions de la communication sur la cartographie de la surface d’attaque dirigeante, les protocoles d’authentification de la parole publique et la préparation de crise informationnelle, en stratégie et en exécution. Trente minutes de diagnostic suffisent à établir l’empreinte clonable de votre dirigeant et ce qu’un attaquant pourrait déjà en faire.
Le deepfake du dirigeant restera dans les mémoires comme le moment où la communication et la sécurité ont cessé d’être deux mondes séparés. Le visage d’un dirigeant est à la fois son meilleur outil de confiance et sa plus grande vulnérabilité, et ces deux réalités croissent ensemble, interview après interview. Les entreprises qui traverseront le mieux cette époque ne seront ni celles qui auront caché leur dirigeant, ni celles qui auront tout misé sur les procédures de virement, mais celles qui auront compris qu’un visage public est un actif stratégique : quelque chose que l’on inventorie, que l’on surveille, et que l’on défend. Car dans un monde où n’importe qui peut faire parler votre dirigeant, la seule question qui compte est de savoir qui contrôle sa parole. Et cette question ne se règle pas le jour de l’attaque, elle se règle maintenant.


