Selon Europol EC3, les deepfakes constituent « la prochaine grande vague d’attaques financières » depuis 2024.
L’ENISA Threat Landscape 2024 note une hausse de 40 % des fraudes impliquant des technologies IA, tandis que les rapports 2025 de Mandiant et IBM X-Force confirment que les deepfakes vocaux et visuels sont utilisés dans un nombre croissant d’incidents de compromission d’identité.
Les progrès de l’IA générative ont :
réduit d’un facteur 10 à 30 le coût de fabrication d’un deepfake crédible ;
augmenté la vitesse de production (quelques secondes suffisent) ;
ouvert la voie à des attaques automatisées à très grande échelle.
2. Deepfake vocal : une menace désormais classée “haute criticité” dans les rapports européens
L’email reste le vecteur numéro un :
9 attaques sur 10 commencent par un message piégé selon le FBI,
et l’IA abaisse drastiquement la barrière technique pour lancer des campagnes sophistiquées.
L’essor des modèles génératifs depuis 2023 a permis :
la rédaction parfaite, sans faute, dans des langues non maîtrisées par l’attaquant ;
la production en masse de variantes d’un même message pour contourner les filtres ;
la personnalisation automatique des attaques en fonction de l’entreprise ciblée ;
la génération de code malveillant, scripts d’automatisation ou séquences de commande.
Résultat : une attaque qui demandait auparavant heures ou jours de préparation peut aujourd’hui être montée en quelques minutes, avec un taux de succès plus élevé.
2. Des hackers radicalement augmentés : le phishing 2.0
Les fraudes vocales clonées ont explosé en 2024–2025.
Les constats issus des sources :
Le FBI IC3 Report 2024 signale une hausse de 177 % des fraudes par imitation vocale.
Europol 2024 note plusieurs cas de virements frauduleux supérieurs à 10 M€ basés sur une imitation vocale.
Une étude de UCL montre qu’un deepfake vocal peut désormais tromper 9 humains sur 10 sur un appel de moins de 15 secondes.
Utilisations contre le secteur financier :
ordres de virement urgents provenant de dirigeants ;
contournement des call centers bancaires ;
réinitialisation de mots de passe ou d’identifiants clients.
Certaines banques rapportent une augmentation de +250 % des tentatives en un an (source : analyses croisée Deloitte Financial Crime 2025 + IBM X-Force).
3. Usurpation faciale : les systèmes KYC sous pression
Les rapports 2025 de Group-IB et Kaspersky démontrent que les outils de deepfake vidéo contournent désormais :
la détection de vivacité basique,
les contrôles selfie automatisés,
et certains modules KYC proposés par des prestataires tiers.
Chiffres cités :
Selon Stanford Digital Society Lab, un deepfake visuel peut être généré en 40 secondes à partir de 4–5 photos.
ENISA considère le deepfake visuel comme un risque émergent “critique” pour les banques utilisant des vérifications d’identité dématérialisées.
Conséquences observées dans les établissements financiers :
ouvertures de comptes frauduleux ;
demandes de crédit sous identité usurpée ;
tentatives de prise de contrôle de comptes légitimes.
4. Fraude au virement 2.0 : l’automatisation par IA change l’échelle des attaques
Selon Deloitte Financial Crime 2025, l’IA permet aux criminels de mener des campagnes de fraude :
multilingues,
cohérentes,
capables de répondre en temps réel aux collaborateurs.
Le SANS Institute décrit ces systèmes comme des “fraudeurs intelligents capables d’improviser”.
Capacités observées :
génération de mails + documents falsifiés + voix deepfake ;
conversations téléphoniques crédibles ;
adaptation aux processus internes de l’entreprise (ex. heures de validation).
Les équipes Red Team en Europe confirment une montée drastique des attaques contre :
directions financières,
services comptables,
trésoreries,
équipes achats.
5. Risques spécifiques pour les banques et assurances (sources ENISA, Proofpoint, EY 2025)
1. Compromission d’identité et authentification biométrique contournée
Les deepfakes compromettent les systèmes basés sur la voix ou le visage.
2. Fraude financière et virements non autorisés
Le volume d’incidents BEC augmente de manière critique :
+52 % en Europe selon Proofpoint 2025,
avec une forte sophistication liée aux IA conversationnelles.
3. Attaques ciblant les agents IA internes (Copilot, Gemini, assistants propriétaires)
L’Université de Stanford et Proofpoint démontrent que les IA peuvent être manipulées via des prompt injections, permettant de :
contourner des règles internes ;
exfiltrer de la donnée sensible ;
générer des réponses trompeuses à des collaborateurs.
6. Nouvelles solutions émergentes (Proofpoint, Microsoft, Google, ENISA 2025)
✔ Détection des deepfakes vocaux et vidéo
Basée sur l’analyse spectrale, la détection d’artefacts IA, et le fingerprinting vocal.
✔ Secure Agent Gateway (Proofpoint 2025)
Contrôle fin des accès aux données sensibles par les agents IA.
✔ Data Security Complete / AI Data Governance
Classification intelligente + règles d’accès automatisées.
✔ Tests biométriques de vivacité avancés
Infra-rouge, micro-expressions, mouvements involontaires (sources : Onfido & iProov).
7. Sensibilisation : le facteur humain reste la première défense (sources : ENISA & IBM)
Les rapports ENISA 2024–2025 confirment que 82 % des fraudes IA réussies impliquent une interaction humaine.
Les banques doivent renforcer :
les campagnes de sensibilisation réalistes,
les simulations de phishing/“voice phishing”,
la double validation systématique pour tous les virements sensibles,
la formation continue des équipes finances et back-office.
Conclusion : la fraude assistée par IA impose une réponse globale
Les organismes de régulation européens (EBA, ENISA, ECB) considèrent désormais les deepfakes comme une menace critique pour l’intégrité financière.
Pour les banques et assurances, la réponse doit combiner :
technologies anti-deepfake,
gouvernance IA,
renforcement des contrôles internes,
collaboration intersectorielle avec les CERT,
montée en compétence continue.
L’enjeu n’est pas seulement technologique :
c’est la confiance dans les interactions humaines elles-mêmes qui doit être réinventée.
