Fraude au président version deepfake : protéger une entreprise mauricienne

La fraude au président repose depuis toujours sur trois ressorts : l'autorité, l'urgence et le secret. Les deepfakes n'ont pas changé le scénario — ils ont détruit le réflexe qui protégeait les équipes : « je reconnais sa voix, je le vois à l'écran, donc c'est lui ». La parade n'est pas technologique, elle est procédurale : aucune voix ni aucun visage ne doit plus suffire, seul, à déclencher un paiement.
De l'e-mail pressant à la visio clonée
Le schéma classique est connu : un message se faisant passer pour le dirigeant demande à la comptabilité un virement urgent et confidentiel, souvent hors procédure, en jouant sur la pression hiérarchique. Ce qui change, c'est la qualité de l'usurpation. Des outils accessibles permettent aujourd'hui de cloner une voix à partir de quelques extraits audio publics — interviews, webinaires, messages vocaux — et d'animer un visage en temps réel dans une visioconférence.
Les canaux évoluent en conséquence : appel téléphonique « du directeur » en déplacement, message vocal sur une messagerie personnelle, visioconférence où plusieurs participants paraissent familiers. Les cibles aussi : plus seulement la personne qui valide les virements, mais toute personne capable de modifier les coordonnées bancaires d'un fournisseur, de valider une paie ou d'ouvrir un accès. Le deepfake en entreprise n'est pas une menace exotique : c'est l'ancienne fraude, avec une preuve d'identité fabriquée en plus.
Pourquoi les entreprises mauriciennes offrent un terrain favorable
Sans céder au catastrophisme, plusieurs traits du tissu économique mauricien facilitent ce scénario :
- une économie tournée vers l'international : dirigeants souvent en déplacement, donneurs d'ordres européens, décalage horaire qui banalise les demandes « hors horaires » et à distance ;
- le poids des services financiers et du BPO : des équipes qui manipulent quotidiennement des paiements et des données de tiers ;
- un environnement multilingue : entre français, anglais et kreol, un accent ou une formulation inhabituels n'alertent personne ;
- une culture du respect hiérarchique : dire non à « la direction » ne va pas de soi, surtout sous pression.
Ces facteurs ne rendent pas l'attaque inévitable ; ils rendent la procédure de vérification d'autant plus indispensable, comme le rappelle tout socle de cybersécurité d'une PME.
La parade centrale : la double validation hors canal
Le principe tient en une phrase : toute demande sensible reçue par un canal doit être confirmée par un autre canal, initié par vous, vers un contact déjà connu. Concrètement :
- rappel systématique au numéro figurant dans l'annuaire interne — jamais au numéro fourni dans le message ou affiché par l'appel entrant ;
- double approbation au-delà d'un seuil de montant défini, par deux personnes distinctes, chacune vérifiant de son côté ;
- délai de vérification volontaire sur tout changement de coordonnées bancaires d'un fournisseur, avec contre-appel à un contact historique ;
- bénéficiaires enregistrés et plafonds dans l'outil bancaire, pour que la procédure soit outillée et non seulement déclarative.
Le point non négociable : il n'existe aucune exception d'urgence. L'urgence est le signal d'alarme, pas une raison de contourner la règle. Et la procédure s'applique à tous — surtout au directeur général, car c'est précisément son identité qui sera usurpée.
Sensibiliser, entraîner, protéger celui qui dit non
Une procédure que personne n'ose appliquer ne protège rien. Trois pratiques font la différence :
- former en démontrant : une courte session où les équipes entendent une voix clonée et voient une visio truquée marque plus que n'importe quelle note de service ;
- s'exercer : des simulations internes régulières, y compris auprès des équipes en télétravail, qui reçoivent ces demandes sans collègue à consulter dans le bureau d'à côté ;
- protéger la vérification : la personne qui ralentit un ordre pour le vérifier ne doit jamais être sanctionnée, même si l'ordre était authentique. Un dirigeant qui accepte publiquement d'être rappelé donne à toute l'entreprise la permission de vérifier.
La règle à afficher : « Aucun virement, aucun changement de RIB ne sera jamais demandé par messagerie personnelle, et toute demande sera toujours vérifiable par rappel. »
Ce que la technique peut faire — et là où elle s'arrête
La technique réduit la surface de l'attaque en amont. Beaucoup de fraudes commencent par une messagerie compromise, qui donne à l'attaquant le ton, le calendrier et les interlocuteurs : MFA généralisée — idéalement des passkeys, résistantes au phishing —, marquage des e-mails externes, authentification des domaines expéditeurs. La surveillance des connexions anormales sur la messagerie est le type de signal qu'une supervision continue comme celle de SOVALYX remonte avant que le compte compromis ne serve à préparer la fraude.
En revanche, ne fondez pas votre défense sur la détection des deepfakes eux-mêmes : les outils existent, mais leur fiabilité en conditions réelles reste insuffisante, et les artefacts qui trahissaient les premiers montages s'estompent à chaque génération de modèles. La ligne de défense durable reste la procédure : ce qui déclenche un paiement n'est jamais une voix ou un visage, mais une vérification aboutie.
Checklist anti-deepfake pour votre organisation
- Toute demande de virement ou de changement de RIB reçue par e-mail, téléphone ou visio est confirmée par un second canal initié par nous.
- Les numéros de rappel des dirigeants et des fournisseurs sont tenus dans un annuaire interne vérifié.
- Un seuil de double approbation est défini et appliqué sans exception, direction comprise.
- Les changements de coordonnées bancaires fournisseurs subissent un délai de vérification volontaire.
- Les équipes finance et RH sont formées aux scénarios de voix et de visio clonées.
- Un exercice de simulation a eu lieu dans les douze derniers mois.
- Personne n'a jamais été sanctionné pour avoir vérifié un ordre authentique.
- MFA ou passkeys protègent la messagerie et les outils de paiement.
- Un canal de signalement rapide existe en cas de doute, joignable aussi hors horaires.
Si une seule de ces lignes vous fait hésiter, le moment de la traiter est avant l'appel trop convaincant, pas après : un échange avec un spécialiste suffit à cadrer les priorités.
Comment SOVALYX peut vous aider
SOVALYX aide les entreprises mauriciennes à fermer les deux portes de cette fraude : côté organisation, mise en place des procédures de double validation hors canal et sensibilisation des équipes finance ; côté technique, MFA généralisée, durcissement de la messagerie et supervision 24/7 qui détecte les comptes compromis avant qu'ils ne servent à lancer l'attaque. Le tout est testé par des exercices réguliers, pas seulement écrit dans une procédure.
Parler sécurité avec un ingénieur🧰 L'outil qui va avec : Votre sauvegarde survivrait-elle à un ransomware ? — gratuit · 2 minutes.
Relu et optimisé par IA.