Deepfakes et AI phishing en entreprise : comment adapter vos contrôles des courriels et vos procédures

Partager

Introduction - Deepfakes et AI phishing

Le phishing n’est plus seulement un « mauvais courriel » avec des fautes. Avec l’IA, l’attaque devient plus crédible, plus personnalisée, et parfois multimodale : courriel + SMS + appel + message Teams. Le vrai changement n’est pas que « tout le monde va se faire avoir », mais que les fraudeurs peuvent industrialiser la persuasion.

Les deepfakes (voix, vidéo, images) et le CEO fraud (fraude au président) ne sont pas nouveaux, mais ils deviennent plus accessibles. Le bon réflexe n’est pas la panique : c’est d’aligner vos contrôles techniques et vos procédures humaines sur une réalité simple.

Dans ce guide, on ne va pas vous dire « soyez vigilants ». On va parler livrables : ce que vous pouvez mettre en place, vérifier, auditer et prouver pour réduire le risque des telles attaques.

Ce que vous allez apprendre dans ce guide

  • Ce qui change vraiment avec l’IA (et ce qui ne change pas)
  • Les contrôles des courriels qui bloquent l’usurpation et réduisent l’impact
  • Les procédures anti-deepfake (finance, RH, IT) qui évitent les erreurs coûteuses
  • Un mini playbook incident si un message passe quand même
  • Comment justifier le ROI (réduction du risque + réduction du temps perdu)

Le diagnostic

Si vous répondez « oui » à 2 questions ou plus, vous avez un chantier prioritaire :

  • Des demandes de paiement/changement de RIB arrivent-elles par courriel ?
  • Des approbations (achats, virements, accès admin) se font-elles sur un seul canal ?
  • Votre domaine a-t-il un DMARC en quarantine ou reject (pas seulement none) ?
  • Vos utilisateurs peuvent-ils recevoir des courriels « internes » depuis l’extérieur (usurpation) ?
  • Avez-vous un processus de rappel (call-back) obligatoire pour les demandes sensibles ?

Ce qui change avec l’IA (et ce qui ne change pas)

Ce qui change:

  • La personnalisation : l’attaquant peut écrire comme votre CFO, imiter votre ton, et utiliser des détails publics (LinkedIn, communiqués, organigrammes).
  • La vitesse : génération de variantes, tests A/B, adaptation en temps réel.
  • Le multimodal : courriel + voix clonée + « preuve » (facture, capture, vidéo).

Ce qui ne change pas:

  • Les attaques exploitent toujours les mêmes leviers : urgence, autorité, confidentialité, peur, opportunité.
  • La défense reste un duo : contrôles techniques + procédures + entraînement.

Les 7 livrables anti-deepfake (la checklist “preuve”)

  • DMARC en quarantine puis reject (avec suivi des rapports)
  • Protection anti-usurpation (domaines, VIP, fournisseurs)
  • MFA renforcée + politiques d’accès conditionnel pour les comptes à risque
  • Processus « 2 canaux » pour toute demande sensible (paiement, accès, données)
  • Procédure de rappel (call-back) documentée et non contournable
  • Journalisation + conservation des preuves (entêtes des courriels, logs, messages)
  • Plan de réponse (qui fait quoi, quand, comment communiquer)

Contrôles des courriels : ce qui compte vraiment

1) SPF, DKIM, DMARC (et surtout DMARC)

  • SPF: autorise les serveurs à envoyer pour votre domaine.
  • DKIM: signe cryptographiquement les messages.
  • DMARC: dit quoi faire si SPF/DKIM échouent et fournit des rapports.

L’objectif : passer de « visibilité » à « blocage ».

2) Anti-impersonation et protection des VIP

  • Protégez les noms/alias des dirigeants (CEO/CFO/VP) contre l’usurpation.
  • Ajoutez vos fournisseurs critiques (banque, paie, cabinets) dans des règles de protection.

3) Réduction de surface : pièces jointes, liens, macros

  • Bloquez/limitez les types de fichiers à risque.
  • Utilisez des mécanismes de réécriture/inspection de liens.
  • Standardisez la quarantaine et la procédure de libération (qui approuve ? sous quel délai ?).

4) Détection + triage : rendre l’équipe efficace

  • Le but n’est pas « 0 phishing » (impossible), mais plutôt de réduire l’entrée, accélérer la détection et limiter l’impact.

Contrôles des identités et des accès : là où les deepfakes deviennent dangereux

Un deepfake « marche » surtout quand il permet d’obtenir :

  • Une réinitialisation d’accès du MFA;
  • Une approbation;
  • Un accès administrateur;
  • Une exfiltration.

1) MFA : viser la résistance au phishing

  • Évitez les approches faciles à contourner (fatigue MFA, codes interceptés).
  • Renforcez les comptes à privilèges et les rôles sensibles.

2) Accès conditionnel et segmentation des risques

  • Politiques plus strictes pour : finance, RH, IT admin.
  • Contrôles selon appareil conforme, localisation, risque de session.

3) Comptes “break glass” et gouvernance

  • Comptes d’urgence documentés.
  • Accès limité, surveillé, testé.

Procédures anti-deepfake : le vrai “pare-feu” humain

Règle 1 – “2 canaux” pour toute demande sensible

Exemples :

  • Courriel+ validation via Teams/phone sur un numéro connu.
  • Message Teams + confirmation via courriel interne.

Règle 2 – Call-back obligatoire (et sur un numéro de référence)

  • On ne rappelle jamais le numéro fourni dans le message.
  • On utilise un numéro issu d’un référentiel interne (CRM, annuaire, fiche fournisseur).

Règle 3 – Séparer demande et approbation

  • Une personne initie, une autre approuve.
  • Les exceptions doivent être rares, documentées et auditées.

Règle 4 – “Stop the line” sans sanction

  • Si quelqu’un doute, il doit pouvoir arrêter le processus sans se faire reprocher un « retard ».

Mini playbook incident (si un message passe quand même)

  1. Conserver les preuves : courriel complet (entêtes), pièces jointes, liens, captures.
  2. Bloquer : expéditeur, domaine, URLs, règles de transport si nécessaire.
  3. Réinitialiser / sécuriser : comptes ciblés, sessions, MFA, mots de passe.
  4. Évaluer l’impact : données, paiements, accès.
  5. Communiquer : message interne court (quoi faire / quoi ignorer), sans panique.
  6. Améliorer : règle technique + mise à jour procédure + micro-formation.

Ressource complémentaire pertinente à consulter à ce sujet: NIST – Incident Response Recommendations and Considerations for Cybersecurity Risk Management

Les erreurs fréquentes (et comment les éviter)

  • Miser uniquement sur la sensibilisation : sans DMARC et procédures, l’IA gagne.
  • Autoriser des exceptions “VIP” : c’est exactement la cible des deepfakes.
  • Avoir un call-back « optionnel » : il doit être non contournable.
  • Confondre vitesse et efficacité : mieux vaut 10 minutes de validation que 10 jours de crise.

Mini cas concret

Une entreprise reçoit un courriel « urgent » du CFO demandant un changement de coordonnées bancaires, suivi d’un message vocal (voix très crédible) confirmant la demande.

L’équipe finance applique la règle « 2 canaux » : elle déclenche un call-back sur le numéro du CFO dans l’annuaire interne. Le CFO nie la demande.

Résultat :

  • Aucun virement;
  • Preuves conservées;
  • locage du domaine usurpateur;
  • Mise à jour DMARC et règles anti-impersonation.

Vos prochaines étapes

  • Vérifiez votre posture DMARC (objectif : quarantine puis reject).
  • Définissez 5 demandes “sensibles” (paiement, RIB, accès admin, données RH, achats) et imposez la règle « 2 canaux + call-back ».
  • Testez un scénario deepfake en interne (table-top) : qui valide ? quels logs ? quels messages ?
  • Communiquez avec nous; décrivez-nous votre contexte (taille, outils, risques) et on vous propose un plan de rehaussement des connaissances par livrables.

Parcours de certification & formations recommandées

  • Fondations sécurité (socle) : CompTIA Security+ (pour structurer contrôles, risques, bonnes pratiques)
  • Détection & réponse (blue team / SOC) : CompTIA CySA+ (triage, investigation, réponse)
  • Évaluation & tests (audit/pentest) : CompTIA PenTest+ (preuves, rapport actionnable, remédiations)
  • Bases réseau (si point faible) : CompTIA Network+ (DNS, routage, segmentation, troubleshooting)

FAQ

Oui. Le coût d’entrée baisse, et les attaques ciblent souvent les processus de paiement et d’approbation.

DMARC aide fortement, mais il faut aussi des protections anti-impersonation et des procédures (2 canaux, call-back).

C’est difficile. Le bon réflexe est procédural : validation sur un canal indépendant, sur un numéro de référence.

DMARC (quarantine/reject), protection anti-usurpation VIP, et règle « 2 canaux + call-back » pour demandes sensibles.

Conserver preuves, isoler/contrôler le compte, révoquer sessions, analyser l’impact, puis renforcer règles et formation.

Reliez chaque contrôle à un livrable : baisse du risque de fraude, réduction du temps de triage, diminution des incidents coûteux.

Explorez plus d'articles

Notre site Web utilise des fichiers témoins pour personnaliser votre expérience de navigation. En cliquant sur « J’accepte », vous consentez à l’utilisation des témoins.