Une session des Journées a sonné l’alerte sur les capacités des fraudeurs nouvellement décuplées par l’intelligence artificielle. TotalEnergies et Natixis ont échangé sur la manière dont leurs organisations renforçaient en conséquence leurs dispositifs de contrôle interne et ont présenté comment l’IA pouvait aussi aider à maîtriser les risques de la fraude.
La session des dernières Journées de l’AFTE ayant pour thème Fraude et Intelligence Artificielle a croisé les points de vue complémentaires de Benoit Merquiol, en charge de l’analyse de la cybermenace au sein de la sûreté de TotalEnergies, Mathilde Placend, responsable de la sécurité des systèmes d’information et du risque technologique et numérique chez Natixis, et Philippe Gomes, responsable des partenariats et du développement international de Meelo, fintech française spécialisée dans la lutte contre la fraude et le risque d’impayés.
Très vite, un constat liminaire fût posé : l’IA ne change pas la nature de la fraude, mais elle en bouleverse l’échelle et la vitesse. Benoit Merquiol évoque la capacité désormais banale de créer « avec juste quelques commandes vocales un site web trompeur, un deepfake, etc. » Les barrières à l’entrée tombent, qu’il s’agisse des compétences techniques ou de la langue. Les campagnes de hameçonnage ne sont plus truffées de fautes grossières, mais impeccablement rédigées, souvent générées par IA, ce que Mathilde Placend qualifie de « professionnalisation des campagnes de phishing ».
Pour la responsable de Natixis, « les scénarios de fraude restent les mêmes, mais les techniques évoluent ». Deepvoice et deepfakes permettent de fabriquer une voix ou une image en quelques secondes à partir de contenus authentiques. Natixis a mis en place un laboratoire pour observer ces évolutions : « La capacité des deepfakes à s’améliorer est absolument étonnante », soulignant avoir observé des attaques à « 90 % coordonnées et pilotées par l’IA ».
Deepfakes vocaux
Les exemples sont concrets et parlants pour un trésorier. Benoit Merquiol revient sur un cas de deepfake vocal survenu il y a un an et demi, avec usurpation de la voix du président-directeur général via WhatsApp. « Ce n’était plus un SMS ou un mail, mais un message vocal, donc beaucoup plus crédible », explique-t-il. La victime, dirigeant d’une société récemment rachetée en Allemagne, connaissait mal les pare-feu internes et les pratiques anti-fraude du groupe, ce qui la rendait particulièrement vulnérable. Il évoque aussi des vidéos truquées, où le président du groupe semblait faire la promotion de plateformes d’investissement douteuses, à l’aide de logiciels de resynchronisation labiale, ou encore des faux passeports créés à partir des photos de profils de collaborateurs circulant sur les réseaux sociaux, « visuellement indétectables ».
Le secteur bancaire n’est pas épargné. Chez Natixis, Mathilde Placend rapporte des cas d’usurpation de numéros de téléphone de membres du senior management, souvent appuyés par des techniques de deepvoice, et des e-mails d’apparence irréprochable. Elle rappelle le cas spectaculaire d’un trésorier chinois ayant assisté à une fausse réunion de conseil d’administration en visioconférence, avant d’ordonner un virement de 24 millions de dollars. « La frontière entre le réel et le virtuel devient extrêmement ténue », prévient-elle, d’autant que les banquiers ont tendance à se fier à la reconnaissance de la voix et aux habitudes relationnelles.
Face à ces évolutions, Natixis a choisi de cadrer très strictement l’usage de l’IA afin de limiter les fuites. Chaque solution IA, qu’elle soit interne ou intégrée à un SaaS, fait l’objet d’un examen juridique et conformité. La charte informatique a été adaptée pour encadrer ces usages, mais les grands principes de sécurité au sein du groupe sont resté les mêmes : contre-appels systématiques, refus de tout changement d’adresse mail ou d’IBAN sans validation indépendante, vigilance accrue sur les opérations exceptionnelles. « Les procédures existent, il faut les respecter plus que jamais », insiste Mathilde Placend, en montrant régulièrement à ses équipes combien il est facile de générer un deepfake pour ancrer ce réflexe de doute.
La contribution de Meelo illustre, côté fintech, la manière dont l’IA peut renforcer les contrôles d’entrée en relation. Philippe Gomes rappelle que l’entreprise est née d’une fraude à l’identité touchant le fils d’un des cofondateurs, qui s’est retrouvé avec un crédit à la consommation à son insu. Meelo a développé une solution SaaS qui combine IA, open data et open banking pour sécuriser l’onboarding client et lutter contre la fraude à l’identité, la fraude documentaire et le risque d’impayés. Selon cette fintech, 85 % des PME et ETI auraient subi au moins une tentative de fraude au cours des douze derniers mois, contre 60 % en 2020. Pour y répondre, Meelo analyse cinq familles de données – identité, IBAN, SIREN, email, téléphone – et fait ressortir près de 400 signaux, comme l’historique du domaine de messagerie, les comportements atypiques, l’évolution des bilans ou la cohérence entre IBAN et SIREN. L’outil contrôle également les extraits Kbis via QR code et détecte les incohérences d’identité ou de documents.
On peut toutefois regretter que le panel n’ait donné la parole qu’à un éditeur de solutions, alors que l’écosystème des outils IA de lutte anti-fraude est désormais très large. Dans le domaine bancaire, des plateformes comme Feedzai proposent par exemple une prévention de la fraude et du blanchiment d’argent fondée sur l’analyse en temps réel des transactions et des comportements, à l’aide de modèles d’IA capables de détecter des anomalies sur de très gros volumes de données. En matière de vérification d’identité, des solutions comme Onfido (désormais intégrée à Entrust Identity Verification) combinent reconnaissance biométrique et contrôle documentaire pour valider des pièces d’identité provenant de dizaines de pays, tout en repérant les falsifications et tentatives de deepfake. Un panorama plus large de ces solutions aurait peut être permis aux trésoriers de mieux situer ce paysage et de comparer les approches.
Renforcer les fondamentaux de contrôle en interne
Reste l’essence de l’atelier, à savoir les conseils directement applicables aux directions de trésorerie. D’abord, ne pas supposer que la taille protège : « Tout le monde peut être une cible », résume Benoit Merquiol. Ensuite, renforcer les fondamentaux du contrôle en interne : séparation des tâches, double validation, documentation rigoureuse des opérations exceptionnelles, et refus absolu de traiter des instructions sensibles reçues uniquement par messagerie instantanée. Un simple message WhatsApp demandant un virement doit être perçu comme un signal d’alerte, jamais comme un canal de décision.
Interrogé sur la possibilité de sanctionner les fraudeurs, Benoit Merquiol reconnaît que « c’est très rare » : le fait de bloquer la tentative avant qu’il y ait préjudice complique l’engagement des forces de l’ordre. Le travail se fait alors davantage en amont, via des organismes internationaux comme Interpol, et en partage d’expérience entre acteurs, Meelo cherchant par exemple à mutualiser les enseignements tirés des fraudes détectées entre ses différents clients.
Pour les trésoriers, la conclusion est claire : les outils d’IA deviennent incontournables pour détecter et filtrer des signaux faibles que l’humain ne voit plus, mais ils ne valent que s’ils s’adossent à un contrôle interne solide et à une culture de vigilance partagée. Les fraudeurs perfectionnent leurs méthodes ; aux entreprises de perfectionner, elles aussi, leurs réflexes et leurs outils.