Il y a encore peu de temps, les fraudes financières en entreprise répondaient à des schémas relativement identifiables. Les directions financières avaient appris à composer avec des tentatives d’usurpation d’identité, des modifications frauduleuses de coordonnées bancaires ou des demandes de virement urgentes. Ces situations, bien que parfois sophistiquées, reposaient encore sur des signaux détectables et sur des mécanismes de contrôle éprouvés.

L’émergence de l’intelligence artificielle, et en particulier des technologies de deepfake, modifie progressivement cette équation. Il ne s’agit pas d’un basculement brutal, mais d’une évolution qui complexifie les repères traditionnels et invite les directions financières à reconsidérer certains fondements de leurs dispositifs de contrôle.

Le sujet mérite d’être abordé avec mesure. L’objectif n’est pas de céder à une forme d’alarmisme, mais de comprendre lucidement les transformations en cours et leurs implications concrètes pour les DAFs.

Une remise en question des mécanismes de validation traditionnels

Les processus de validation financière reposent historiquement sur une combinaison de règles formelles et de vérifications humaines. Double validation, séparation des tâches, rappels téléphoniques ou confirmations hiérarchiques constituent autant de garde-fous destinés à sécuriser les flux.

Ces mécanismes restent pertinents, mais ils ont été conçus dans un contexte où l’identité d’un interlocuteur pouvait être raisonnablement vérifiée à travers des éléments tangibles : une voix, un visage, un échange direct.

Les technologies de deepfake introduisent une nuance importante. Elles rendent possible la reproduction très fidèle de ces éléments, notamment dans des contextes audio ou vidéo. Cela ne signifie pas que les contrôles deviennent inefficaces, mais plutôt qu’ils ne peuvent plus reposer uniquement sur la reconnaissance visuelle ou vocale.

Le cas de Arup, largement relayé en 2024, illustre cette évolution. Un collaborateur du service financier a effectué un virement de 25 millions de dollars à l’issue d’une visioconférence impliquant son dirigeant et plusieurs cadres de sa société. Tous faux. Tous générés artificiellement.

Ce collaborateur a témoigné s’être “douté” de quelque chose car la qualité du son était étrange, mais il a malgré tout exécuté ce qu’on lui demandait. L’incident ne traduit pas une défaillance individuelle, mais une situation où les repères habituels ont été insuffisants.

Une exposition accrue des fonctions financières

Les directions financières ont toujours été des postes sensibles dans une organisation, en raison de leur capacité à autoriser et exécuter des flux financiers. Cette place en fait naturellement des cibles privilégiées pour les tentatives de fraude.

Les données disponibles confirment cette réalité. 85% des DAFs identifie les pertes financières directes comme leur principale préoccupation (source Trustpair). Le risque accru de fraude aux paiements est d'ailleurs cité comme le plus grand obstacle par 83 % des responsables de la comptabilité fournisseurs.

L’apport de l’IA ne change pas cette logique de ciblage, mais il en augmente la précision. Les tentatives d’usurpation d’identité peuvent désormais s’appuyer sur des éléments beaucoup plus crédibles, tant dans la forme que dans le contenu.

Ce phénomène s’inscrit dans la continuité des fraudes dites « au président » ou « aux faux fournisseurs », mais avec un niveau de réalisme qui réduit la part d’incertitude dans l’analyse des demandes.

L’évolution vers des attaques plus contextualisées

L’un des apports les plus significatifs de l’IA dans ce domaine réside dans sa capacité à analyser et exploiter des volumes importants d’informations publiques et privées.

Réseaux sociaux professionnels, communiqués de presse, organigrammes, interventions publiques : ces sources permettent de reconstituer avec précision l’environnement d’une entreprise. Les outils d’IA peuvent ensuite s’appuyer sur ces données pour produire des messages cohérents avec les usages internes, les styles de communication ou les relations hiérarchiques.

Ce niveau de contextualisation modifie la nature des tentatives de fraude. Là où certaines attaques reposaient auparavant sur des approximations, elles deviennent aujourd’hui beaucoup plus alignées avec la réalité de l’entreprise ciblée.

Cela ne rend pas les collaborateurs moins vigilants, mais cela réduit les signaux évidents qui permettaient de détecter certaines anomalies. La vigilance doit alors s’appuyer sur d’autres critères que la simple cohérence apparente d’un message ou d’une demande.

Une accélération des volumes et des délais

Un autre effet notable de l’IA concerne la vitesse d’exécution et la capacité de passage à l’échelle.

Des tâches qui nécessitaient auparavant un travail manuel important peuvent désormais être automatisées. La conception de scénarios de fraude, la rédaction de messages, l’adaptation à différents contextes peuvent être réalisées plus rapidement et à plus grande échelle.

Selon un rapport de CrowdStrike, les attaques impliquant des outils d’IA connaissent une progression significative (+89%), tout comme l’utilisation de l’IA générative pour créer de faux profils ou des identités numériques crédibles (+109%).

Pour les directions financières, cette évolution se traduit par une augmentation du volume potentiel de sollicitations frauduleuses, mais aussi par une réduction du temps disponible pour analyser et vérifier certaines demandes.

Cette combinaison peut créer une pression opérationnelle accrue, en particulier dans des environnements où les processus restent en partie manuels.

Des préoccupations élargies au-delà des flux financiers

Si les pertes financières directes restent une préoccupation majeure, les DAFs renforcent aujourd’hui leur vigilance sur un autre actif critique : la donnée.

La fuite d’informations sensibles, la corruption de données ou les accès non autorisés aux systèmes ont toujours fait partie des risques structurants pour les entreprises, en particulier dans l’IT. Mais ces incidents ne sont plus seulement des impacts en soi, ils deviennent aussi des leviers pour orchestrer des fraudes plus complexes et plus ciblées.

Dans ce contexte, l’intelligence artificielle joue un rôle ambivalent qu’il convient de distinguer clairement.

D’un côté, elle renforce les capacités des attaquants. L’IA permet d’analyser rapidement des systèmes, d’identifier des vulnérabilités et d’automatiser certaines actions, comme la collecte d’identifiants ou le vol de données sensibles. Ce qui relevait auparavant d’opérations longues et ciblées peut aujourd’hui être réalisé plus rapidement et à plus grande échelle.

De l’autre, elle introduit de nouveaux usages en interne, qui ne sont pas toujours encadrés. L’adoption d’outils d’IA générative par les collaborateurs, parfois de manière informelle, peut conduire à des expositions involontaires de données sensibles. Copier des éléments financiers, des comptes rendus ou des informations clients dans des outils publics, sans intention malveillante, peut suffire à créer une vulnérabilité.

Ce phénomène, souvent désigné sous le terme de shadow AI, ne relève pas d’une attaque externe mais d’un usage interne non maîtrisé. Il contribue néanmoins à élargir la surface de risque de l’entreprise.

Pour les directions financières, cela implique une évolution de perspective : la donnée ne peut plus être considérée uniquement comme un support d’analyse ou de reporting. Elle devient un actif stratégique à protéger au même titre que la trésorerie, car elle conditionne à la fois la sécurité des opérations et la capacité de l’entreprise à se défendre face à des menaces de plus en plus sophistiquées.

Une obsolescence relative de certains contrôles

Il serait excessif de considérer que les dispositifs de contrôle existants deviennent caducs. En revanche, leur efficacité relative peut diminuer dès lors qu’ils restent largement fondés sur des processus manuels, dans un contexte où les tentatives de fraude gagnent en sophistication.

C’est précisément là que se cristallise une forme d’inconfort, voire d’impuissance, chez certains DAFs. D’un côté, les attaques s’industrialisent, se perfectionnent et s’automatisent grâce à l’IA. De l’autre, les contrôles internes reposent encore, dans de nombreuses organisations, sur des vérifications humaines, chronophages et parfois hétérogènes.

Les contrôles basés sur la détection d’anomalies visibles (erreurs, incohérences, fautes de langage) deviennent naturellement moins efficaces lorsque les messages sont générés avec un haut niveau de qualité. De même, les processus dépendants de validations humaines peuvent être fragilisés lorsque ces validations reposent sur des éléments désormais facilement imitables, comme une voix, une image ou un style d’écriture.

À cela s’ajoutent des fragilités structurelles déjà connues, notamment dans la qualité des référentiels fournisseurs ou dans la gestion des données. Dans certains cas, une part significative des informations reste inexacte ou obsolète, ce qui complique encore la détection d’anomalies dans un environnement déjà plus complexe.

Ce décalage entre des menaces qui s’accélèrent et des processus encore largement manuels peut donner le sentiment de ne pas disposer des bons leviers au bon moment. Les constats ne remettent pas en cause la pertinence des contrôles en place, mais ils soulignent la nécessité de les faire évoluer pour rester alignés avec les nouvelles réalités opérationnelles.

Une tension entre visibilité et maîtrise de l’information

La question de l’exposition des dirigeants sur les réseaux sociaux s’inscrit également dans ce contexte.

Les prises de parole publiques, les interventions en ligne ou les contenus diffusés contribuent à la visibilité de l’entreprise et à la crédibilité de ses dirigeants. Elles constituent un levier de communication important, notamment dans des environnements concurrentiels.

Dans le même temps, ces contenus fournissent des éléments exploitables pour des tentatives d’ingénierie sociale ou pour la création de deepfakes.

La question n’est pas tant de réduire cette visibilité que d’en maîtriser les contours. Il s’agit de trouver un équilibre entre communication et protection de l’information, en évitant la diffusion de détails opérationnels sensibles ou de données pouvant faciliter la compréhension fine de l’organisation interne.

Cette réflexion dépasse le cadre strict de la cybersécurité et s’inscrit dans une approche plus globale de la gestion de l’information.

Une évolution qui dépasse la seule dimension technologique

Face à ces transformations, on peut chercher des réponses exclusivement technologiques. Les solutions basées sur l’IA pour détecter des comportements anormaux ou analyser des contenus audio et vidéo se développent rapidement et constituent des leviers importants.

Cependant, les enjeux soulevés par les deepfakes et les cyberattaques assistées par l’IA ne sont pas uniquement techniques.

Ils touchent à la manière dont les organisations structurent leurs processus de décision, à la place accordée à la validation humaine, et à la définition même de la confiance dans un environnement numérique.

Accepter que certains repères traditionnels deviennent moins fiables ne signifie pas renoncer à la confiance, mais implique de la redéfinir sur des bases plus robustes, moins dépendantes d’éléments facilement imitables.

Des leviers concrets pour reprendre la maîtrise

Si ces évolutions peuvent donner le sentiment d’un déséquilibre croissant, elles ne laissent pas les directions financières sans réponse. À condition de faire évoluer leurs pratiques, plusieurs leviers permettent de rétablir un niveau de maîtrise adapté à ce nouveau contexte.

Le premier enjeu concerne la réduction de la dépendance aux contrôles manuels. Dans de nombreuses organisations, une part significative des vérifications repose encore sur des traitements humains, parfois sur des données imparfaites. Or, dans un environnement où les tentatives de fraude gagnent en volume et en réalisme, cette approche atteint rapidement ses limites.

Digitaliser le contrôle des tiers et des transactions devient alors un levier structurant :

• Validation automatisée des coordonnées fournisseurs,
• Vérification des identifiants légaux,
• Analyse en continu des flux financiers.

L’objectif n’est plus de contrôler ponctuellement, mais de couvrir l’ensemble des transactions sans dépendre d’un échantillonnage.

Dans le même temps, les processus d’autorisation doivent être repensés pour ne plus reposer sur un seul canal de communication. La capacité de l’IA à imiter une voix ou une image impose d’adopter une logique où aucune interaction, prise isolément, ne suffit à valider une opération sensible. Cela implique de systématiser les vérifications croisées via des canaux indépendants, d’encadrer strictement les procédures de rappel et de formaliser des règles simples mais non contournables, comme la séparation des tâches ou l’introduction de délais incompressibles sur certaines opérations.

Cette évolution s’accompagne également d’un mouvement de fond : l’intégration de l’IA dans les dispositifs de défense eux-mêmes. Là où les attaquants automatisent et analysent, les directions financières peuvent s’appuyer sur des outils capables de détecter des écarts comportementaux, d’identifier des anomalies dans les flux ou de signaler des demandes inhabituelles. Il ne s’agit pas de remplacer les contrôles existants, mais de les renforcer en leur donnant une capacité d’analyse continue et à grande échelle.

Un autre point souvent sous-estimé concerne votre assurance. Les fraudes assistées par l’IA, notamment celles reposant sur l’ingénierie sociale ou les deepfakes, se situent parfois à la frontière des cadres traditionnels des contrats cyber. Pour les DAFs, cela implique de revisiter ces dispositifs, non seulement pour vérifier leur périmètre de couverture, mais aussi pour s’assurer que les pratiques internes mises en place permettent effectivement une prise en charge en cas d’incident.

Enfin, la question humaine reste centrale. L’élévation du niveau de réalisme des attaques rend inévitable une part d’erreur individuelle. Dans ce contexte, l’enjeu n’est pas de viser le “zéro incident”, mais de favoriser la détection rapide et le signalement. Cela passe par des dispositifs de formation plus immersifs, basés sur des scénarios réalistes, mais aussi par l’instauration d’un cadre où le doute peut s’exprimer sans crainte de sanction. Une organisation qui remonte rapidement une anomalie, même mineure, se donne toujours plus de chances de contenir un incident.

Une transformation progressive des repères

Les inquiétudes des DAFs face aux cyberattaques boostées par l’IA ne relèvent pas d’une rupture brutale, mais d’une accumulation de signaux qui convergent.

Augmentation du volume des attaques, amélioration de leur qualité, élargissement des surfaces de risque, évolution des usages internes : ces tendances dessinent un environnement plus complexe, dans lequel les mécanismes de contrôle doivent s’adapter.

Dans ce contexte, le rôle du DAF évolue également. Au-delà de la supervision des flux financiers, il devient un acteur clé dans la gestion des risques liés à l’information, aux processus et aux usages numériques.

L’enjeu n’est pas de viser une sécurité absolue, qui resterait illusoire, mais de maintenir un niveau de maîtrise cohérent avec les transformations en cours.

Les deepfakes et l’IA ne rendent pas les organisations impuissantes. Ils les obligent en revanche à revoir certains équilibres, à questionner leurs certitudes et à adapter progressivement leurs pratiques.

C’est dans cette capacité d’adaptation, plus que dans la recherche de solutions ponctuelles, que réside aujourd’hui la principale attente des directions financières.