Dans mes 25 années de travail en TI et en cybersécurité, j’ai aidé des entreprises de toutes tailles à se protéger contre des menaces en constante évolution. Mais récemment, un nouveau phénomène a émergé et représente un risque pour toutes les organisations, des petites entreprises locales aux grandes sociétés : les arnaques d’usurpation d’identité alimentées par l’IA.

Permettez-moi de raconter une histoire qui montre pourquoi cela concerne votre entreprise. Tout récemment, une entreprise manufacturière de taille moyenne a presque perdu 250 000 $ lorsque son équipe de comptabilité a reçu ce qui semblait être un appel légitime de son PDG. L’afficheur correspondait et la voix était identique à celle du PDG. Heureusement, leur politique de vérification, simple mais efficace, a empêché la fraude.

Pourquoi cette menace est différente — et s’aggrave

La plupart d’entre nous savent repérer un courriel d’hameçonnage bâclé ou un appel automatisé truffé de fautes. L’intelligence artificielle (IA) a changé cette base de référence. Avec seulement quelques minutes d’audio public — tirées de conférences, balados, assemblées générales ou médias sociaux — les criminels peuvent désormais cloner la voix d’une personne si bien que même des proches et des collègues de longue date hésitent. Ajoutez à cela un deepfake vidéo convaincant dans un appel Zoom ou Teams, et les anciens signes révélateurs s’évaporent. L’attaque ne ressemble plus à un crime ; elle ressemble à du travail.

Au cours de la dernière année, le monde a vu jusqu’où cela peut aller. Une affaire très médiatisée impliquant la firme d’ingénierie Arup a montré qu’un employé des finances de son bureau de Hong Kong a été manipulé lors d’un appel vidéo multi-participants. À l’écran, des « cadres supérieurs » autorisaient des transferts urgents. En réalité, les visages et les voix étaient synthétiques. Résultat : environ 25 millions $ US ont été déplacés par une série de transactions — l’une des plus importantes fraudes de paiement connues facilitées par des deepfakes à ce jour. Arup a ensuite confirmé l’incident et maintenu ses opérations, mais la perte et les conséquences au sein de la direction régionale soulignent à quel point ces faux sont crédibles.

Les autorités canadiennes ont été tout aussi claires quant à la trajectoire. En juin 2025, le Centre antifraude du Canada (CAFC) et le Centre canadien pour la cybersécurité (CCCS) ont publié un avis conjoint avertissant que des voix et des textes générés par l’IA sont activement utilisés pour se faire passer pour de hauts responsables gouvernementaux et des dirigeants d’entreprise, pour pousser des transferts urgents et pour attirer les cibles vers des logiciels malveillants. Si vous êtes une PME canadienne qui gère des virements ou modifie les coordonnées bancaires de fournisseurs, ce n’est pas un risque théorique — c’est déjà là et cela se propage.

Parallèlement, l’Internet Crime Complaint Center (IC3) du FBI continue de suivre l’écosystème plus large de la compromission de courriels d’entreprise (BEC), la famille d’arnaques que ces usurpations par IA renforcent. Dans un avis public de septembre 2024, l’IC3 a signalé 55 milliards $ US de pertes exposées (2013–2023). Dans son rapport annuel 2024, le FBI a noté des pertes liées à la cybercriminalité dépassant 16 milliards $ US pour l’année, la BEC demeurant une menace persistante et coûteuse. Les voix et vidéos générées par l’IA ne font que suralimenter un modèle criminel qui fonctionnait déjà.

Ce qui a changé depuis l’an dernier

Les deepfakes multi-participants sont maintenant opérationnels. On a dépassé les simples usurpations en tête-à-tête au téléphone. Les attaquants peuvent mettre en scène toute une « réunion » avec plusieurs visages et voix convaincants. C’était la réalité de l’employé d’Arup : un DAF familier et des collègues, une urgence synchronisée et des instructions étape par étape—aucun n’était authentique.

L’authentification de l’afficheur aide, mais seulement dans certains cas. Le régulateur des télécommunications du Canada (le CRTC) continue de promouvoir l’authentification de l’afficheur STIR/SHAKEN et le retraçage des appels. Cela renforce la confiance sur les réseaux téléphoniques IP et rend l’usurpation plus difficile à grande échelle. Mais cela ne couvre pas tous les canaux utilisés par les Canadiens (pensez aux appels intégrés aux applis, à la messagerie OTT et à de nombreux outils de collaboration), et cela ne peut pas confirmer que la voix entendue appartient au vrai DAF. Considérez l’afficheur comme un indice, pas une preuve.

Les directives officielles mettent l’accent sur le processus, pas sur des outils « magiques ». Au Canada et chez nos alliés, le message est constant : la défense la plus efficace est un processus de vérification béton pour tout mouvement d’argent. La technologie aide, mais c’est la gouvernance qui arrête le virement.

Des outils de détection émergent—mais ils ne sont pas décisifs. Certains fournisseurs de visioconférence et de sécurité commercialisent désormais des fonctions de « détection de deepfakes en temps réel ». Elles peuvent servir de déclencheurs utiles, mais pas de feu vert pour approuver des paiements. La posture la plus sûre est de les utiliser tout en présumant qu’ils peuvent échouer. Le processus reste roi. (Les sommaires sectoriels et avis officiels vont dans le même sens.)

Comment ces attaques se déroulent réellement en 2025

Les attaquants ne commencent pas par le code; ils commencent par le contexte. Ils exploitent des publications publiques pour cartographier votre organigramme. Ils apprennent qui approuve les virements, qui met à jour les dossiers fournisseurs, qui gère la logistique du dernier kilomètre. Ils capturent l’audio des dirigeants à partir de webinaires, de conférences ou de cette vidéo LinkedIn sincère. Avec les modèles actuels, même un court extrait suffit pour produire une voix « suffisamment proche » pour inspirer confiance.

Puis ils fabriquent un moment :

• C’est un vendredi en fin de journée ou la fin du mois, quand les équipes sont fatiguées et veulent clôturer.
• Il y a une urgence plausible : coupure chez un fournisseur, remise fiscale, envoi bloqué à la douane, fenêtre de transaction qui se referme.
• Il y a de la confidentialité : « Nous sommes sous NDA; gardez ça discret. » « N’impliquez pas les approbateurs habituels—sensibilité du conseil. »
• Il y a une mise en scène : un texto d’amorçage « du PDG », puis un appel, puis une invitation calendrier légitime avec un vrai lien de réunion.
• Il y a de la pression : « On va perdre ça si ce n’est pas fait dans les 20 prochaines minutes. »

À ce moment-là, la technologie n’est qu’au second plan par rapport à la psychologie. Les gens veulent aider. Ils veulent être réactifs envers les dirigeants. Ils ne veulent pas être la raison d’un échec. Si vos contrôles reposent sur le « bon sens » en situation de forte pression, vous avez déjà perdu.nt to help. People want to be responsive to leaders. People don’t want to be the reason a deal dies. If your controls rely on “common sense” in a high-pressure moment, you’ve already lost.

Ce qui fonctionne réellement (et fonctionne pour les PME)

J’ai aidé des organisations de toutes tailles à mettre en place des contrôles pour contrer précisément cette menace. Les contre-mesures sont étonnamment humaines. Elles exigent de la clarté, de la répétition et l’appui du leadership — plus que du budget.

La règle du rappel. Si une demande de mouvement de fonds arrive par n’importe quel canal entrant — appel, texto, clavardage, courriel ou vidéo — le destinataire met fin à l’échange et rappelle en utilisant un numéro connu et vérifié qu’il trouve lui-même dans l’annuaire de l’entreprise ou le coffre-fort de mots de passe. Il ne compose pas les numéros dictés. Il ne clique pas sur des liens téléphoniques dans le chat. Il n’accepte pas de « nouvelles lignes directes ». Cette seule étape déjoue la grande majorité des usurpations assistées par IA, car elle déplace la décision vers un canal que l’attaquant ne contrôle pas.

La règle des deux canaux. Recevez par un canal; vérifiez par un second canal que vous initiez. Si la demande arrive par vidéo, vérifiez par téléphone. Si elle arrive par courriel, vérifiez par téléphone ou en personne. Pour les équipes distribuées, ajoutez une phrase de passe rotative simple, connue d’un petit groupe et changée chaque semaine; si l’appelant est incapable de la fournir, la demande s’arrête là. Les directives fédérales canadiennes soulignent explicitement la valeur de ces rituels de vérification indépendants pour les arnaques à la voix.

Approbations échelonnées et périodes de refroidissement. Les petites factures ne devraient pas s’enliser dans la paperasse. Mais les virements plus importants méritent de la friction. Fixez des seuils qui exigent des approbations additionnelles. Ajoutez une fenêtre de libération le jour ouvrable suivant pour les transferts de grande valeur initiés après 14 h (surtout les vendredis). La fraude se nourrit des délais; vous pouvez retirer cette échéance artificielle.

Garde-fous côté bancaire. Travaillez avec votre institution financière pour activer les rappels de confirmation pour les gros virements, les alertes de changement de bénéficiaire, le positive pay pour les chèques et les notifications pour les premiers paiements ou les comptes étrangers. Ce ne sont pas des substituts à votre propre processus; ce sont des filets de sécurité supplémentaires.

Réalisme quant à l’afficheur. Gardez en perspective STIR/SHAKEN et les efforts de retraçage. Ils améliorent l’écosystème et rendent le pollupostage et l’usurpation plus coûteux pour les criminels, surtout sur les appels IP. Mais ils ne valident pas l’être humain derrière une voix clonée et ne s’appliquent pas à de nombreuses plateformes d’appels intégrées aux applis. Vérifiez toujours hors bande.

La détection comme signal, pas comme sceau d’approbation. Si votre plateforme de visioconférence offre des fonctions de détection de deepfakes, activez-les. Si vous pouvez signaler des artefacts vidéo suspects ou de l’audio manipulé, faites-le. Mais ne traitez jamais un résultat « propre » comme une permission d’ignorer la vérification.

À quoi ça ressemble sur le terrain

J’ai vu le même scénario se répéter dans plusieurs secteurs. Un fraudeur récupère le discours d’ouverture d’un PDG lors d’un salon ainsi qu’une entrevue balado d’il y a deux ans. Il extrait des noms d’un communiqué de presse et assemble un deepfake en direct de dix minutes, suffisamment convaincant sur l’écran d’un portable. Puis il cible la personne la plus serviable de votre chaîne financière, le ou la coordonnateur·trice qui se fait un point d’honneur d’être réactif·ve.

Voici le rythme simple que j’ai vu fonctionner encore et encore :

1. La demande arrive — courriel, appel ou vidéo — et elle sonne exactement comme votre patron.
2. Votre employé·e applique immédiatement le processus écrit : mettre fin au canal entrant, lancer un rappel au numéro publié et noter l’heure ainsi que l’interlocuteur.
3. Si le montant dépasse un seuil, on ajoute un deuxième approbateur.
4. Si le bénéficiaire est nouveau ou si les coordonnées bancaires ont changé, on démarre un nouveau flux de vérification fournisseur et on impose un gel de 24 heures.
5. S’il est 16 h 45 un vendredi et que quelqu’un pousse une date limite, on explique poliment que, selon la politique, la fenêtre de libération est le prochain jour ouvrable.

Ce rythme fait économiser de l’argent. Il protège aussi la culture. Il dit à votre équipe : « On ne récompense pas la vitesse au détriment du contrôle. On récompense ceux et celles qui suivent le processus. »

J’ai conseillé des entreprises où un simple rappel un vendredi — soixante secondes de discipline — a évité des pertes à six chiffres. L’employé·e n’avait pas besoin d’un diplôme en droit ni d’une trousse médico-légale. Il ou elle avait besoin d’une courte politique et de la permission du leadership pour l’appliquer à chaque fois.ic toolkit. They needed a short policy and permission from leadership to follow it every time.

Ancrer ces pratiques dans votre entreprise

Rédigez une politique que les gens liront vraiment. Deux pages. Page un : objectif et portée, en français clair. Page deux : le déroulement. « Si demande entrante → rappel avec numéro connu. Si > X $ → deux approbations. Si nouvelles/modifiées coordonnées bancaires → revérification fournisseur et gel de 24 h. Si initiée après 14 h le vendredi → libération le prochain jour ouvrable. » Ne l’enterrez pas dans un manuel de 40 pages.

Pratiquez le scénario du vendredi à 16 h 45. Une fois par trimestre, consacrez 15 minutes à un exercice de table “virement urgent” avec l’équipe des finances. Mettez en scène le texto du faux PDG, le lien de réunion, l’ouverture « peux-tu me rendre service? ». Faites un débriefing sur ce qui a fait hésiter. Normalisez la phrase : « Je vais vérifier ça tout de suite. »

Réduisez l’empreinte audio de vos dirigeants. Pas besoin d’assainir tout Internet, mais soyez intentionnels. Partagez des extraits plus courts au lieu de publier des assemblées internes en intégralité. Désactivez la mise en ligne automatique des réunions internes. Pour les événements publics, privilégiez des « clips de droits » courts plutôt que des heures d’audio faciles à cloner avec fidélité.

Verrouillez vos salles de réunion. Exigez une authentification pour les appels internes. Utilisez des salles d’attente et verrouillez la réunion une fois les participants présents. Évitez les liens improvisés pour les approbations de paiement; faites passer les approbations par votre système financier ou votre portail fournisseur, où l’identité et la journalisation sont plus solides.

Mesurez discrètement, félicitez publiquement. Ajoutez une vérification mensuelle : échantillonnez des paiements et confirmez que le rappel a été consigné. Quand quelqu’un suit le processus sous pression, remerciez-le/la de façon visible. La culture est le contrôle le moins coûteux que vous déploierez.

Contexte canadien : un écosystème aidant, pas une solution miracle

Le Canada fait un travail significatif pour assainir l’écosystème téléphonique. L’authentification STIR/SHAKEN et le retraçage des appels progressent tous deux afin de rendre l’usurpation plus difficile et d’aider à identifier l’origine du trafic malveillant. Les exigences de conformité et les mesures d’application continuent d’inciter les transporteurs et les filtres intermédiaires à bloquer les appels manifestement illégitimes. Ces efforts augmentent le coût des fraudes de masse, mais n’éliminent pas l’usurpation ciblée à l’intérieur des applications de collaboration ou des canaux OTT, ni n’empêchent l’IA de cloner des voix. Votre meilleure défense demeure la même : une vérification indépendante, hors bande, avant tout mouvement de fonds. (CRTC+1, 2025)

Du côté du renseignement sur les menaces, mettez en favoris le Centre canadien pour la cybersécurité et le Centre antifraude du Canada (CAFC). Leur avis de juin 2025 a spécifiquement dénoncé les usurpations assistées par l’IA visant des responsables publics et des dirigeants de la haute direction (C-suite) et a recommandé une vérification multi-canaux ainsi qu’une gestion prudente des demandes inattendues et urgentes. Si vous travaillez avec des partenaires du secteur public ou traitez des subventions, redoublez de vigilance : ces mêmes tactiques se propagent aux écosystèmes de fournisseurs. (Centre antifraude du Canada, 2025)

Si vous pensez avoir été touché

Act fast and treat it like a business-interruption event.

1. Appelez immédiatement le service antifraude de votre banque. De nombreux virements peuvent être mis en pause ou rappelés si vous agissez vite. Notez le numéro de dossier.
2. Préservez les preuves. Sauvegardez les journaux d’appels, liens de réunion, conversations de clavardage, courriels et toutes pièces jointes. Ne supprimez rien; ne « nettoyez » rien.
3. Signalez l’incident. Déposez un rapport au CAFC et informez votre assureur cyber. Si vous êtes client de Fusion Cyber, notre Garantie de cybersécurité financièrement appuyée signifie que les clients entièrement intégrés qui subissent une atteinte reçoivent, à nos frais, l’intervention, le confinement et la remise en exploitation.
4. Procédez à une analyse post-incident bienveillante. Identifiez le contrôle qui aurait permis de l’empêcher—puis rendez ce contrôle impossible à contourner.
5. Avertissez les partenaires touchés. Si des détails fournisseurs ont été modifiés ou si des factures ont été usurpées, prévenez immédiatement les contreparties pour éviter une fraude secondaire.

Regard vers l’avenir

Les deepfakes vont continuer de s’améliorer. L’authentification télécom va poursuivre son expansion. Les fournisseurs mettront sur le marché de meilleurs détecteurs. Aucune de ces tendances ne change la réalité centrale que j’ai observée en salle de conseil depuis vingt-cinq ans : le dernier contrôle qui compte avant qu’un dollar ne bouge, c’est la discipline humaine. Mettez-la par écrit. Pratiquez-la. Valorisez-la. Normalisez la phrase : « Je vais vérifier ça. »

Et lorsqu’une demande urgente arrive à 16 h 45 un vendredi — exactement le moment préféré des attaquants — vous aurez quelque chose de plus puissant que n’importe quel modèle ou gadget : une équipe qui a suffisamment répété le bon réflexe pour que ce soit devenu une habitude.

Souvenez-vous : Fiez-vous… mais vérifiez. Puis vérifiez encore. Ça peut prendre quelques minutes de plus, mais ça vaut la peine pour protéger votre entreprise.

Quelques notes de terrain pour conclure

Je pense encore à une PME en Ontario où la responsable des comptes fournisseurs a reçu un appel Teams clair et amical du « PDG » alors qu’elle gérait les paiements de fin de mois. La voix était parfaite. Le contexte, crédible : un problème de fournisseur, une menace de blocage d’expédition, un risque de réputation. Elle a senti la pression d’être l’héroïne.

Elle a mis fin à l’appel, a ouvert l’annuaire et a composé le mobile publié du PDG. Il était dans un taxi pour l’aéroport et n’était au courant de rien. Le virement n’a jamais été exécuté. Nous avons extrait les métadonnées de la réunion, resserré deux configurations dans Teams et ajouté un délai de refroidissement pour les virements en fin de journée. La responsable AP a reçu des remerciements publics, et l’entreprise a remporté une victoire discrète.

J’ai aussi vu l’inverse. Une voix rusée un vendredi après-midi; un employé serviable; une perte nette et dévastatrice. La différence entre ces deux histoires n’est ni l’intelligence, ni les outils, ni le budget. C’est la permission que votre équipe se sent d’aller plus lentement et de vérifier — surtout quand la demande semble urgente et importante.

Donnez-leur cette permission par écrit. Soutenez-la en pratique. Vous dormirez mieux.

Si vous souhaitez de l’aide pour tester la robustesse de vos contrôles de paiement — ou obtenir une norme de vérification des paiements en deux pages que vous pouvez déployer d’ici la semaine prochaine,

👉 Contactez-nous dès aujourd’hui!