Deepfakes et faux collègues : quand l’ingénierie sociale dépasse les défenses cyber des entreprises

Un agent du help desk décroche. La voix se présente comme celle de Sara, elle semble pressée, mentionne un incident récent, cite des projets internes et adopte les tournures familières que Sara utilise d’ordinaire. Elle demande une simple réinitialisation de mot de passe. Rien ne paraît anormal. Pourtant, ce n’est pas Sara au bout du fil.

L’usurpation demeure le mécanisme central de l’ingénierie sociale. Près de 60 % des attaques de ce type reposent sur l’imitation d’un employé, d’un prestataire ou d’un responsable hiérarchique. Ce qui change aujourd’hui tient moins à la méthode qu’à la vitesse et à la précision avec lesquelles ces imitations peuvent être préparées. Les attaquants exploitent désormais des outils d’IA capables d’agréger des éléments de voix, de langage, de comportements et de références internes. Ils n’ont pas toujours besoin d’un clone vocal parfait : il leur suffit d’être crédibles dans un échange conçu pour paraître ordinaire.

Les données récentes confirment cette évolution. Le Data Breach Investigations Report 2024/25 indique que 68 % des brèches impliquent un facteur humain non malveillant, et qu’environ 17 % des violations confirmées reposent sur l’ingénierie sociale. Les attaquants ciblent moins les systèmes que les interactions, en tirant parti de la fragmentation des environnements de travail collaboratifs.

Car le travail s’effectue désormais simultanément par email, Slack, Teams, Zoom, WhatsApp et via des systèmes internes de tickets. Les repères de confiance se dispersent entre ces espaces : un message Slack évoquant une urgence, un appel Teams caméra désactivée, un ton familier mêlé à des références internes peuvent franchir des contrôles qui, techniquement, n’ont détecté aucune anomalie. Le DBIR relève d’ailleurs que près de 30 % des incidents liés aux tiers ou aux chaînes d’approvisionnement émergent aujourd’hui dans ces outils collaboratifs plutôt que dans la messagerie traditionnelle.

Les défenses existantes peinent à détecter ces attaques, car elles ont été conçues pour analyser des contenus — liens, pièces jointes, charges malveillantes — et non la cohérence identitaire d’une interaction. Les plateformes de communication intègrent peu de mécanismes robustes de vérification de l’identité réelle de leurs utilisateurs. Comptes compromis, alias proches d’identités existantes, sessions détournées ou comptes récemment créés peuvent ainsi se fondre dans le trafic normal. Les attaques combinent souvent plusieurs vecteurs : collecte automatisée d’informations, imitation d’un collaborateur, puis usurpation du service IT afin d’amener la victime à installer un outil d’accès à distance.

La voix elle-même n’est plus un repère fiable. Les imitateurs reproduisent le rythme, les hésitations, parfois à partir de fragments audio collectés en amont. L’analyse du signal vocal ne suffit plus à distinguer l’authenticité d’une interaction.

Cette fragmentation du signal de confiance impose un changement de grille de lecture. La question n’est plus seulement « ce message est-il suspect ? », mais « cette conversation peut-elle être considérée comme fiable ? ». C’est autour de cette interrogation que s’articule la démarche d’Imper.ai, une startup israélienne qui cherche à produire un signal de risque en temps réel à partir d’indicateurs difficiles à falsifier : empreintes d’appareils, dynamique réseau, cohérences comportementales.

Imper.ai annonce une levée de dix-huit millions sept cent mille euros (vingt-deux millions de dollars) en série A menée par Redpoint Ventures et Battery Ventures, avec la participation de Maple VC, Vesey Ventures et Cerca Partners. La société avait levé cinq millions cinq cent mille euros (six millions cinq cent mille dollars) six mois plus tôt. Fondée en 2024 par Noam Awadish, Anatoly Blighovsky et Rom Dudkiewicz, tous issus de l’unité 8200, Imper.ai développe une plateforme de prévention de l’usurpation en temps réel fondée sur des signaux contextuels, comportementaux et réseau.