La banque à l’épreuve des deepfakes : comment réagir face à une fraude augmentée par l’intelligence artificielle ?

Les établissements financiers voient émerger une nouvelle génération de fraudes portée par l'essor de l'intelligence artificielle.

Au cœur de ces attaques, les deepfakes : des contenus audio, vidéo ou images capables d'imiter de manière très réaliste l'apparence ou la voix d'une personne réelle, au point de tromper un interlocuteur humain ou un dispositif de contrôle.

Rançongiciels, fraudes aux paiements, détournement des parcours de connaissance client (KYC), usurpation d'identité de dirigeants en visioconférence : la cyberfraude ne vise plus uniquement les clients des banques, mais cible désormais les processus internes eux-mêmes.

⏱️ À retenir

Les deepfakes permettent d'imiter voix, visage ou comportements grâce à l'intelligence artificielle
Ils sont désormais utilisés dans les fraudes bancaires et les attaques internes
Les cybercriminels combinent deepfake, phishing et ingénierie sociale
La réglementation française et européenne commence à encadrer ces usages
Les banques doivent renforcer à la fois la détection technologique et les procédures humaines

Sommaire

Qu'est-ce qu'un deepfake ?
Deepfake fraude en 2025 : une menace qui change d'échelle
Fraude au président et cartographie des menaces bancaires
Deepfake et droit en France
Détection et protection contre les deepfakes

1. Qu'est-ce qu'un deepfake ? Définition et rôle de l'intelligence artificielle

Un deepfake (ou hypertrucage) désigne un contenu audio, vidéo ou image fabriqué ou altéré par des algorithmes d'intelligence artificielle.

Le terme vient de la contraction de deep learning (« apprentissage profond ») et fake (« faux »). Ces médias synthétiques s'appuient sur des réseaux neuronaux profonds capables d'imiter avec un réalisme troublant l'apparence ou la voix d'une personne réelle.

Les techniques de synthèse vocale permettent, à partir de quelques secondes d'enregistrement, de cloner une voix et de lui faire prononcer des propos jamais tenus.

Les cybercriminels exploitent désormais ces contenus pour contourner les dispositifs de sécurité bancaires, tromper les collaborateurs lors de visioconférences ou usurper l'identité de dirigeants afin d'obtenir des transferts de fonds frauduleux.

2. Deepfake fraude en 2025 : une menace qui change d'échelle

Statistiques clés : l'explosion des deepfakes en ligne

Les données des régulateurs et des organisations internationales convergent.

Selon l'ENISA^[1], le phishing demeure le premier vecteur d'intrusion (60 % des cas)^[2], devant l'exploitation de vulnérabilités (21,3 %). Interpol^[4] et la FinCEN aux États-Unis^[5] documentent désormais des cas de deepfakes utilisés pour imiter la voix ou l'apparence de dirigeants, contourner les procédures de sécurité et obtenir des transferts de fonds.

📊 Chiffre clé : l'usage de contenus synthétiques générés par IA dans les vecteurs d'attaque aurait augmenté de 2137 % entre 2022 et 2025^[3].

Exemples concrets : affaires Arup à Hong Kong et Ferrari

Les deepfakes ne sont plus une curiosité technologique. Ils deviennent un instrument central d'une véritable « course aux armements en cybersécurité bancaire »^[6].

Dans l'affaire Arup, à Hong Kong, un deepfake en visioconférence aurait ainsi permis de convaincre un collaborateur d'initier plusieurs virements pour un montant total de 25,6 millions de dollars, illustrant la perte financière considérable que peuvent subir les victimes.

À l'inverse, d'autres exemples concrets – telle l'affaire Ferrari évoquée par la Réserve fédérale – montrent qu'un simple réflexe d'authentification « hors bande », via une question connue du seul véritable dirigeant, peut suffire à déjouer une fraude audio^[7].

C'est dans ce contexte que les établissements financiers doivent repenser leur approche du risque.

📌 À noter : voir un dirigeant en visioconférence ne doit jamais suffire comme preuve d'identité. Une validation hors bande est systématiquement nécessaire pour toute instruction sensible.

3. Fraude au président par deepfake vidéo et image : cartographie des menaces bancaires

Vecteurs d'attaque : du spear-phishing à la diffusion de deepfakes

Les campagnes de rançongiciels sont devenues structurées, avec double ou triple extorsion : chiffrement des données, vol d'informations, menace de divulgation ou de dénonciation aux autorités.

Le contournement des dispositifs KYC/LCB-FT s'opère par identités synthétiques et deepfakes temps réel capables de franchir les contrôles de « liveness ».

Enfin, les attaques par la chaîne d'approvisionnement numérique utilisent des deepfakes d'ingénieurs ou d'équipes de support de prestataires critiques pour obtenir des accès privilégiés aux comptes bancaires.

📌 À retenir : les attaques combinent désormais plusieurs techniques : spear-phishing ciblé, deepfakes audio ou vidéo, fraudes aux paiements, identités synthétiques pour contourner les procédures KYC, attaques de la chaîne d'approvisionnement numérique.

Cibles et modes opératoires des cybercriminels

Les établissements financiers constituent des cibles privilégiées pour les escrocs, qui exploitent le sentiment d'urgence et l'appât du gain pour contourner les procédures de validation.

Les cybercriminels ciblent à la fois les processus internes (validation de paiements, gestion des accès) et les clients eux-mêmes, en imitant des communications officielles.

Les travaux de l'ENISA^[8], du FMI^[9] et les premières alertes de banques centrales montrent que ces attaques ne relèvent plus d'incidents isolés, mais révèlent un risque à potentiel systémique.

4. Deepfake et loi en France : un cadre juridique en pleine évolution

Le droit pénal français s'est adapté à ces nouveaux usages.

La loi n° 2024-449 dite SREN a renforcé l'arsenal répressif en matière de deepfakes, en complétant le Code pénal. Les articles 226-8 et 226-8-1 répriment désormais spécifiquement les atteintes à la représentation de la personne via des contenus générés par traitement algorithmique, notamment lorsqu'ils portent atteinte à la vie privée ou sont de caractère sexuel et diffusés en ligne, avec des peines pouvant aller jusqu'à trois ans d'emprisonnement et 75 000 euros d'amende.

Ces textes s'articulent avec les infractions classiques d'escroquerie^[10], de chantage^[11], d'atteinte aux systèmes de traitement automatisé de données^[12] et d'usurpation d'identité^[13], permettant de viser à la fois les montages frauduleux des criminels, les intrusions techniques et les mécanismes d'extorsion.

Parallèlement, le régime de protection des données (RGPD) et le règlement relatif à l'intelligence artificielle (IA Act) encadrent la production et la détection de contenus synthétiques impliquant des données biométriques (visage, voix). Ils imposent des obligations renforcées de transparence, de documentation et de proportionnalité pour les systèmes d'IA utilisés en interne.

Dans le secteur financier, ces exigences croisent celles de la Banque centrale européenne, de l'Autorité bancaire européenne et des superviseurs nationaux qui, via le Digital Operational Resilience Act (DORA) et les dispositifs de cyberrésilience, font du niveau de sécurité et de la capacité de réponse un critère central de supervision.

📌 À retenir : les sanctions peuvent atteindre trois ans d'emprisonnement et 75 000 € d'amende. Ce cadre s'articule autour de ces infractions classiques : escroquerie, chantage, atteinte aux systèmes de traitement automatisé de données, usurpation d'identité.

5. Détection des deepfakes et protection : déployer une réponse opérationnelle

Outils de détection et solutions technologiques

Sur le plan technologique, l'analyse des métadonnées, des artefacts visuels et sonores permet d'identifier les incohérences (mouvement des lèvres désynchronisé, ombres aberrantes dans les fichiers audio ou vidéo).

Les filigranes numériques et les modèles d'IA de contre-analyse renforcent cette première ligne de défense. L'authentification « hors bande » doit être systématisée pour toutes les instructions sensibles : un appel sur un numéro connu, une question personnelle, une validation via un canal distinct.

Enfin, l'architecture de sécurité en défense en profondeur combine chiffrement, authentification renforcée, séparation des rôles et communications sécurisées via des canaux officiels journalisés.

Type de détection	Description	Application
Analyse des métadonnées	Vérification des propriétés techniques des fichiers	Détection d'incohérences ou manipulations
Artefacts visuels ou sonores	Recherche d'anomalies (lèvres, ombres, texture vocale)	Identification de contenus synthétiques
IA de contre-analyse	Modèles entraînés à détecter les deepfakes	Analyse automatisée des flux audio et vidéo
Authentification hors bande	Validation par canal distinct	Sécurisation des instructions sensibles

Réponse organisationnelle et culture de vigilance

Au-delà de la technologie, la réponse doit être organisationnelle et humaine.

Les circuits de délégation et de validation pour les paiements atypiques doivent être revus : aucune instruction, même émanant apparemment d'un dirigeant vu en visioconférence, ne doit échapper à une validation complémentaire.

Il faut renforcer la culture de vigilance en instaurant un véritable « droit au doute » face à tout contenu audio ou vidéo suspect, même très convaincant. Les scénarios deepfakes et attaques hybrides doivent être explicitement intégrés dans les plans de continuité et les exercices de crise.

Enfin, sur le plan probatoire, il est essentiel de structurer la chaîne de collecte et de conservation des preuves numériques (logs, enregistrements, captures d'écran, constats) pour faire face au liar's dividend, c'est-à-dire la tentation, pour un mis en cause, de disqualifier tout contenu authentique en le qualifiant de deepfake.

Des protocoles de coopération avec les forces de l'ordre et les autorités compétentes (parquet, C3N, OFAC, ANSSI, CNIL) doivent être définis^[14].

📌 À retenir : la réponse doit être organisationnelle avec une révision des circuits de validation des paiements, l'instauration d'un droit au doute, l'intégration des scénarios deepfake dans les exercices de crise, conservation rigoureuse des preuves numériques.

Conclusion : une riposte à trois étages

Face à la menace croissante des deepfakes, les établissements financiers ne peuvent plus compter sur la technologie seule. La riposte doit être technologique (détection, authentification renforcée), organisationnelle (révision des procédures, culture de vigilance) et réglementaire (conformité DORA, RGPD, IA Act).

C'est à cette condition que les banques pourront transformer ce défi en opportunité de renforcer leur cyberrésilience et la confiance de leurs clients.

Auteur de l'article

Par Sonia Cissé, avocate à la Cour en droit des technologies, de la cybersécurité, des données et en droit commercial.

Sources

[1] ENISA, Rapport Threat Landscape, 2025

[2] Ibid.

[3] Governor Barr, Discours Deepfakes and the AI Arms Race in Bank Cybersecurity, 17 avril 2025.

[4] Rapport Interpol, Beyond Illusions, Unmasking the Threat of Synthetic Media for Law Enforcement, juin 2024.

[5] FinCEN, Alerte Fraud Schemes Involving Deepfake Media Targeting Financial Institutions, 13 novembre 2024.

[6] Governor Barr 2025 préc.

[7] Ibid.

[8] ENISA, préc.

[9] FMI, Rapport Global Financial Stability, 2024

[10] Article 313-1 du Code pénal.

[11] Article 312-10 du Code pénal.

[12] Articles 323-1 et suivants du Code pénal.

[13] Article 226-4-1 du Code pénal.

[14] Assemblée nationale, question n° 6310, 29 avril 2025 ; Sénat, question n° 02868, 22 mai 2025

FAQ : deepfake et fraude bancaire

Comment les cybercriminels utilisent-ils les deepfakes pour la fraude bancaire ?

Les cybercriminels exploitent le clonage vocal et vidéo pour contourner les dispositifs de sécurité bancaires. Ils créent de fausses visioconférences avec des dirigeants, génèrent des identités synthétiques capables de franchir les contrôles de « liveness » lors des procédures KYC, ou imitent la voix de clients pour accéder aux comptes via les centres d'appels. Ces contenus hyperréalistes trompent aussi bien les systèmes d'authentification biométrique que les collaborateurs, permettant d'obtenir des transferts de fonds ou des relèvements de seuils de contrôle.

Quelles sont les informations personnelles ciblées par les escrocs via deepfake ?

Les informations personnelles sont souvent collectées via les réseaux sociaux : voix, visage, comportements gestuels. Ces informations personnelles sont souvent collectées via les réseaux sociaux, où photos, vidéos et enregistrements audio sont accessibles publiquement. Les escrocs exploitent également les données d'identité (nom, prénom, fonction) pour créer des identités synthétiques convaincantes. La reproduction fidèle de ces éléments leur permet d'usurper l'identité d'une personne réelle et de contourner les dispositifs de vérification renforcée.

Comment une victime de deepfake fraude peut-elle réagir ?

La victime doit d'abord conserver toutes les preuves (captures d'écran, enregistrements, métadonnées, horodatage). Elle peut signaler le contenu via la plateforme PHAROS (internet-signalement.gouv.fr) ou déposer plainte auprès des services de police ou de gendarmerie. Si des données personnelles ont été utilisées sans consentement, une plainte peut également être adressée à la CNIL. Enfin, il est essentiel d'alerter immédiatement l'établissement bancaire concerné pour activer les procédures internes de sécurité et bloquer toute opération suspecte.

Voir aussi

Toutes les actualités