Revoir votre notion de la preuve pour défendre votre vérité

Dans la tradition juridique, managériale et journalistique, la preuve repose sur trois piliers : les documents (photos, textes), les témoignages et les enregistrements (vidéos, audios). L’intelligence artificielle est en train de les rendre tous les trois contestables. Pire, le vrai peut être remis en question par du faux tangible.

Ce n’est pas une crise de la cybersécurité. C’est une crise de l’épistémologie organisationnelle, avec la question de confiance en son cœur. Elle concerne directement la manière dont vous dirigez votre structure auprès de vos employés, vos clients, vos partenaires, vos fournisseurs, les autorités, les médias.

Comment se prémunir face à cette menace qui explose ? Quel impact sur la gestion de votre organisation, votre style de management ? C’est l’objet de cet article.

Mais commençons par quelques exemples concrets, les plus marquants, les plus choquants.

L’incident qui a tout changé dans notre notion de la preuve
Loin d’un cas isolé… les exemples explosent avec une progression de 2100% en 3 ans
Le dividende du menteur : quand la vérité peut être contestée malgré la preuve
L’impact dans votre façon de diriger
Quelques parades
La vérité comme actif stratégique

L’incident qui a tout changé dans notre notion de la preuve

Janvier 2024. Un employé des finances d’Arup, le cabinet d’architecture et d’ingénierie britannique de 20 000 collaborateurs, reçoit un email de son directeur financier basé à Londres. Le message est inhabituel : il s’agit d’effectuer une transaction confidentielle en urgence.

L’employé, correctement formé, s’en méfie. Il demande une confirmation par visioconférence.

La réunion s’organise. Le directeur financier est là, en vidéo. Plusieurs collègues également. Les visages sont familiers. Les voix sont exactes. Les expressions faciales concordent avec le discours. La hiérarchie est représentée. Tout est normal.

L’employé exécute 15 virements vers cinq comptes bancaires à Hong Kong, pour un montant total de 200 millions de dollars hongkongais — soit environ 25 millions US$. Ce n’est qu’en contactant le siège social une semaine plus tard qu’il découvre la vérité : il n’y avait aucun collègue dans cette réunion.

Chaque participant était une reconstruction synthétique générée par intelligence artificielle. Le directeur financier n’avait jamais participé à cet appel.

25 M$ perdus par Arup sur 15 virements vers des comptes frauduleux.

Ce cas, révélé par la police de Hong Kong et confirmé par Arup à la presse internationale, n’est pas un fait divers technologique. C’est un signal de rupture. Pour la première fois, la vérification par voie visuelle et auditive — le réflexe naturel de tout professionnel aguerri — n’a pas suffi.

« Il s’est avéré que toutes les personnes dans cette visioconférence étaient fausses. » — Commissaire Baron Chan Shun-ching, Police de Hong Kong

Loin d’un cas isolé… Les chiffres explosent

Les fraudes par deepfake ont progressé de 3 000 % entre 2023 et 2024, selon McAfee. Au premier trimestre 2025, il y a eu plus d’incidents deepfake que pendant toute l’année 2024, nous disent Resemble AI, Keepnet Labs et Ceartas, dans leur rapport respectif de décembre 2025, soit une augmentation de 2 100 % en trois ans. Elles sont devenues le type de fraude le plus courant

Les cas documentés se multiplient. Les derniers cas les plus marquants :

Janvier 2026. Un entrepreneur suisse du canton de Schwyz a transféré plusieurs millions de francs suisses vers l’Asie après avoir reçu pendant deux semaines des appels d’un « partenaire commercial » dont la voix avait été clonée par IA.

Mars 2025, un directeur financier à Singapour a viré 499 000 dollars après une visioconférence avec de faux dirigeants.

Début 2025, une vague coordonnée a ciblé l’élite entrepreneuriale italienne, dont Giorgio Armani, pour soutirer 1 million d’euros.

Ferrari, WPP et LastPass avaient déjà été ciblés en 2024.

Le phénomène ne ralentit pas, il s’accélère.

La première attaque documentée par clonage vocal remonte à 2019 : une entreprise d’énergie britannique a viré 220 000 euros après qu’un employé a reçu un appel du « PDG de la maison mère allemande », dont la voix, l’accent et le style de communication avaient été parfaitement reproduits. Le vrai PDG n’avait jamais passé cet appel.

Selon Deloitte, les pertes liées à la fraude augmentée par l’IA générative pourraient atteindre 40 milliards de dollars aux États-Unis seuls d’ici 2027.

Une enquête Gartner auprès de responsables cybersécurité en 2025 révèle que 62 % des organisations ont déjà subi une attaque deepfake au cours des 12 derniers mois — combinant ingénierie sociale et usurpation d’identité par vidéo ou audio

→ Lire notre article sur les vishing (ce qu’ils sont, qui les fabrique et comment, etc.)

Le dividende du menteur : quand la réalité devient contestable… malgré la preuve

La chercheuse Nina Schick, auteure de Deep Fakes and the Infocalypse (2020), a été parmi les premières à formuler ce qui constitue la menace la plus insidieuse : le danger n’est pas seulement que les faux soient crus. C’est que la seule existence de la technologie suffit à rendre toute preuve authentique contestable.

Les juristes Chesney et Citron ont déjà théorisé ce phénomène en 2019 sous le nom de « Liar’s Dividend » — le dividende du menteur. Un enregistrement vidéo compromettant peut désormais être rejeté en invoquant le doute technologique. Une vidéo de réunion, un audio de négociation, une signature numérique : tout devient potentiellement contestable, non plus parce qu’il est faux, mais parce que le doute est désormais légitime.

Ce n’est plus seulement la capacité à fabriquer des faux qui pose problème. C’est la capacité à nier les vrais. Et cela change tout.

Pour vos organisations, les implications sont immédiates. Une transaction autorisée oralement peut être contestée. Un accord enregistré peut être nié. Un témoignage interne peut être mis en doute. Les processus de gouvernance qui reposaient sur la confiance sensorielle — « j’ai entendu le dirigeant donner son accord » — sont devenus structurellement vulnérables.

Et cette vulnérabilité ne concerne pas que les attaques externes. Elle concerne aussi la cohésion interne, la responsabilité managériale, et la capacité d’une organisation à se défendre légalement ou réglementairement lorsque ses propres communications peuvent être contestées.

L’impact dans votre façon de diriger

La réponse instinctive à cette menace est technique : investir dans des outils de détection, mettre à jour les systèmes d’authentification, former les équipes. Ces actions sont nécessaires. Elles ne sont pas suffisantes.

La crise de la preuve est d’abord une crise de gouvernance. Elle interroge la manière dont vous structurez les autorisations, dont vous définissez les responsabilités, dont vous gérez les communications internes et externes. Elle impose une révision de plusieurs certitudes organisationnelles fondamentales.

La fin du « voir pour croire » comme principe de management

De nombreuses organisations reposent sur des processus d’autorisation qui valorisent la confiance relationnelle : appel de confirmation d’un dirigeant, instruction verbale d’un manager connu, validation en visioconférence. Ces pratiques, raisonnables dans un monde analogique, sont devenues des vecteurs d’attaque dans un monde où les identités peuvent être synthétisées.

St Thomas, au rebus, avec l’IA.

Gartner prédit que d’ici 2026, 30 % des entreprises considéreront leurs solutions de vérification d’identité comme peu fiables utilisées seules. D’ici 2028, 50 % auront adopté une posture de gouvernance des données fondée sur le principe du « zero trust ». La question pour vos organisations n’est pas de savoir si vous devez évoluer, mais à quelle vitesse.

Dissocier le canal et l’autorité

L’un des enseignements clés de l’affaire Arup est que le vecteur d’attaque était le canal de communication lui-même — la visioconférence, outil de légitimation par excellence dans le monde post-pandémique. Le fait que la communication soit en direct, avec image et son, était devenu un gage de fiabilité. C’est précisément ce gage qui a été exploité.

La réponse managériale consiste à dissocier l’autorité du canal. Aucun canal de communication, aussi familier soit-il, ne constitue en lui-même une preuve suffisante d’autorisation pour des décisions à fort enjeu. L’autorisation doit reposer sur des protocoles indépendants du canal utilisé pour la transmettre.

La culture de la vérification comme compétence organisationnelle

Les études cognitives sur la prise de décision montrent que l’urgence et l’autorité perçue sont les deux facteurs qui suspendent le plus efficacement l’esprit critique. Or ces deux facteurs sont précisément ceux que les attaques par deepfake mobilisent systématiquement. L’employé d’Arup avait eu des doutes. Il les a surmontés parce que la conférence vidéo semblait les dissiper.

Former vos collaborateurs à la vérification n’est pas un enjeu de cybersécurité : c’est un enjeu de culture managériale. Les organisations les plus résilientes seront celles qui auront institutionnalisé le droit et le devoir de douter, y compris face à la hiérarchie apparente — et qui auront mis en place des protocoles permettant à ce doute de s’exercer sans friction.

Les parades possibles pour protéger la preuve

La gouvernance de la vérité n’est pas un concept abstrait. Elle s’opérationnalise dans des processus concrets, des équipes dédiées et des outils adaptés.

Sur le plan des processus, il s’agit d’abord de réviser les chaînes d’autorisation pour les décisions à fort enjeu : virements financiers, divulgations d’informations sensibles, engagements contractuels. Le principe directeur est celui du multi-canal indépendant : toute autorisation transmise par un canal doit être confirmée par un canal distinct, non prévu dans la communication initiale. Un appel entrant sur un numéro connu, une confirmation par un système interne authentifié, une contre-vérification auprès du dirigeant par voie séparée.

Sur le plan des outils, les organisations exposées — family offices, sociétés de trading, directions d’organisations internationales — doivent évaluer les solutions de détection de médias synthétiques, les systèmes d’authentification comportementale, et les protocoles de signature numérique vérifiable. L’Union européenne, avec l’AI Act entré en vigueur en août 2024, impose déjà des obligations de marquage des contenus générés par IA : c’est un signal réglementaire que les organisations proactives peuvent anticiper.

Sur le plan des équipes, la gouvernance de la vérité ne relève plus uniquement du RSSI ou de la direction juridique. Elle implique une coordination entre les fonctions financières, la communication, le management des risques et la direction générale. Les organisations qui traitent ce sujet en silo technologique passent à côté de sa dimension stratégique.

La vérité comme actif stratégique

Les dirigeants qui lisent ces lignes opèrent dans des environnements où la réputation, la confiance et la décision rapide sont des avantages compétitifs. Ce sont précisément les dimensions que la prolifération des deepfakes cherche à éroder.

La résilience face à cette menace n’est pas une posture défensive. C’est un avantage concurrentiel. Les organisations capables de certifier l’authenticité de leurs communications, de garantir la traçabilité de leurs décisions, et de maintenir la confiance de leurs parties prenantes dans un environnement d’incertitude épistémique croissante seront mieux positionnées — auprès de leurs investisseurs, de leurs partenaires, de leurs régulateurs.

Gartner formule cette évolution ainsi : les organisations ne peuvent plus se permettre de faire confiance implicitement aux données ou de supposer qu’elles sont d’origine humaine. La gouvernance de la vérité est la réponse structurelle à ce nouvel impératif.

La question n’est plus « avons-nous été attaqués ? » mais « comment fonctionnerons-nous le jour où nous le serons ? »

Ce changement de paradigme — de la confiance sensorielle à la gouvernance de la vérité — est l’un des chantiers stratégiques les plus urgents pour les organisations exposées. Il combine des dimensions opérationnelles (processus, outils, équipes) et des dimensions posturales (culture, management, décision). Il ne se traite pas comme un projet de cybersécurité ordinaire.

Pour aller plus loin

Nous accompagnons les dirigeants d’entreprise, d’organisations internationales, de family offices et de structures d’investissement dans la mise en place d’une gouvernance de la vérité : audit d’exposition, révision des processus d’autorisation, formation des équipes, et posture managériale adaptée.

En savoir plus sur notre offre de Gouvernance de la Vérité.

Sources et références

Arup / Police de Hong Kong (février 2024) — CNN, Financial Times, CFO Dive
Biometric Update, « Deepfake voice fraud dupes Swiss businessman into transferring millions« , 21 janvier 2026
Gartner Security & Risk Management Summit 2025 (septembre 2025), enquête auprès de 302 cybersecurity leaders
Deloitte Center for Financial Services : GenAI fraud projections 2027
World Economic Forum : Global Cybersecurity Outlook 2025
Chesney & Citron : « Deep Fakes: A Looming Challenge for Privacy, Democracy, and National Security », 107 California Law Review (2019)
Group-IB : Voice Deepfake Vishing Report (2025)
McAfee Deepfake Guide (2024)

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Effondrement de la preuve par les deepfakes