Spear-phishing IA : comment les hackers clonent votre CEO pour vider vos comptes
LinkedIn + LLM + voice cloning : la fraude au président version 2026 que votre comptable ne peut plus détecter.
Alerte terrain 2LKATIME - Simulation de phishing IA en conditions réelles
2LKATIME réalise des campagnes de simulation de spear-phishing IA pour des PME et ETI parisiennes dans le cadre de nos audits de sécurité. Cet article décrit les techniques observées sur le terrain et dans les incidents réels traités par notre équipe en 2025-2026 - sans révéler de mode opératoire exploitable. L'objectif : vous donner le niveau de compréhension nécessaire pour vous défendre.
Le phishing avec des fautes d'orthographe, c'est fini. En 2026, un attaquant peut passer 20 minutes sur LinkedIn et les réseaux sociaux de votre entreprise, demander à un LLM d'analyser le style d'écriture de votre CEO, et générer un email parfaitement calibré pour votre responsable comptable - avec le bon niveau de familiarité, les bonnes expressions, la bonne urgence. Le tout suivi d'un appel téléphonique deepfake avec la voix synthétique de votre dirigeant. Résultat : des virements "urgents" que personne ne questionne, jusqu'à ce qu'il soit trop tard.
Ce guide décrit précisément comment fonctionne cette nouvelle génération d'attaques, les 4 vecteurs IA utilisés, et surtout les 5 contre-mesures concrètes que votre PME peut mettre en place cette semaine - sans budget cybersécurité dédié pour les plus simples d'entre elles.
1. Le scénario en 6 étapes : comment ça se passe vraiment
Voici la reconstruction d'une attaque réelle, telle que nous l'avons reconstituée lors d'un audit post-incident pour une ETI francilienne de 120 salariés en 2025. Les noms ont été modifiés. Le déroulé est authentique.
Étape 1 - Collecte OSINT (Open Source Intelligence) : 20 minutes
L'attaquant identifie le CEO sur LinkedIn. Il note : son style d'écriture dans ses posts, ses expressions habituelles, les projets récents mentionnés publiquement, le nom de la responsable comptable (aussi sur LinkedIn), les fournisseurs habituels de l'entreprise (mentions sur les réseaux, communiqués de presse, site web). En 20 minutes, il a un profil comportemental complet du CEO et de l'organisation.
Étape 2 - Clone du style d'écriture via LLM
Il copie 5 à 10 posts LinkedIn ou emails publics du CEO et demande à un LLM : "Analyse le style d'écriture de cette personne. Ton, niveau de familiarité, expressions récurrentes, longueur des phrases, ponctuation caractéristique." Le modèle produit un profil stylistique précis. L'attaquant peut maintenant générer du contenu qui sonne authentiquement comme le CEO - sans avoir jamais interagi avec lui.
Étape 3 - Création d'un domaine sosie
L'entreprise cible s'appelle "monentreprise.fr". L'attaquant enregistre "mon-entreprise.fr" ou "monentreprise-group.fr" en 5 minutes et 12 euros. Il configure un serveur mail sur ce domaine avec le nom affiché du CEO. Pour l'œil d'un collaborateur pressé, l'expéditeur est indiscernable.
Étape 4 - L'email parfait, généré en 3 minutes
Le prompt type : "Rédige un email de la part du CEO à sa responsable comptable, dans son style d'écriture habituel, demandant de traiter un virement urgent de 28 000 euros avant 17h pour finaliser l'acquisition d'un fournisseur stratégique. Mentionner la confidentialité absolue car l'opération n'est pas encore annoncée. Ton familier mais professionnel, légère urgence sans alarmisme." L'email généré est parfait. Aucune faute. Aucune tournure étrange. Il ressemble exactement à ce que le CEO enverrait.
Étape 5 - L'appel vocal deepfake (optionnel mais dévastateur)
Avec 30 secondes d'audio du CEO (interview YouTube de 2024, vidéo de voeux internes publiée sur LinkedIn), un outil comme ElevenLabs génère une voix synthétique identique. L'attaquant appelle la responsable comptable : "Sophie, tu as reçu mon email ? C'est urgent, j'ai besoin que tu valides ça avant ce soir. Je suis en déplacement, je ne peux pas être joint après 16h." La voix est celle du CEO. Le contexte colle avec l'email.
Étape 6 - Le virement est parti
La responsable comptable, confiante, déclenche le virement. L'argent transite vers un compte intermédiaire en Europe de l'Est puis est immédiatement dispersé. Les chances de récupération sont inférieures à 10% une fois le virement effectué. Le CEO découvre l'attaque le lendemain matin.
Le risque metier pour le CEO
Le phishing à l'ancienne avec des fautes d'orthographe, c'est fini. Aujourd'hui, l'IA permet aux attaquants de créer des pièges psychologiques parfaits - votre style, votre vocabulaire, votre niveau de relation avec vos collaborateurs. Un seul clic d'un collaborateur distrait ou confiant peut coûter des dizaines de milliers d'euros en fraude au président. Et la responsabilité de la PME peut être engagée si aucune procédure interne n'existait pour prévenir ce type d'attaque.
+350%
d'augmentation des attaques spear-phishing IA entre 2024 et 2026 (ANSSI)
28min
temps moyen pour monter une attaque spear-phishing IA complète contre une PME
67%
des PME françaises victimes de fraude au président n'avaient aucune procédure de validation des virements
<10%
des fonds récupérés en moyenne après un virement frauduleux exécuté
2. Les 4 vecteurs IA-augmentés que vous devez connaître
Le spear-phishing email est le plus connu, mais ce n'est qu'un des quatre vecteurs que les attaquants combinent désormais pour maximiser leurs chances de succès. Les agents IA autonomes permettent même d'automatiser certaines de ces étapes sans intervention humaine.
🗎 Vecteur 1 - Spear-phishing email (clone stylistique LLM)
Le plus courant. Analyse OSINT + clone de style via LLM + domaine sosie. Efficacité maximale contre les cibles qui ont beaucoup de contenu public (posts LinkedIn, articles, interviews). La personnalisation est si poussée que même des collaborateurs proches du dirigeant peuvent être bernés. Contre-mesure principale : procédure de double validation hors-email.
🎤 Vecteur 2 - Voice cloning (appel deepfake)
15 à 30 secondes d'audio suffisent pour créer une voix synthétique convaincante avec ElevenLabs, Resemble.ai ou des outils open source comme Tortoise-TTS. L'attaquant appelle le service comptable avant ou après l'email pour "confirmer" la demande. La combinaison email + appel vocal fait chuter le seuil de méfiance à presque zéro. Contre-mesure principale : mot de code verbal interne.
🎥 Vecteur 3 - Deepfake vidéo (visioconférence frauduleuse)
Le vecteur qui monte le plus rapidement en 2026. L'attaquant génère une vidéo deepfake du CEO via HeyGen ou D-ID et organise une "visioconférence urgente" avec la cible. Le dirigeant virtuel explique la situation en temps quasi-réel. Des outils comme DeepLiveCam permettent désormais le deepfake vidéo en temps réel lors de vrais appels Zoom. Contre-mesure principale : visioconférence uniquement via canal interne sécurisé, code de confirmation verbal.
👤 Vecteur 4 - Faux profils LinkedIn et ingénierie sociale prolongée
Moins urgent mais plus sophistiqué : l'attaquant crée un faux profil convaincant (faux fournisseur, faux recruteur, faux partenaire) et entretient une relation de confiance pendant plusieurs semaines avant d'exécuter l'attaque. L'IA génère les échanges, les réponses, les relances. Quand la demande frauduleuse arrive, la cible a une relation établie avec l'attaquant. Contre-mesure principale : vérification systématique des coordonnées bancaires par canal indépendant avant tout nouveau virement.
3. Phishing classique vs phishing IA : la différence qui tue
Pour comprendre pourquoi les défenses traditionnelles ne suffisent plus, voici la comparaison directe entre une attaque classique et sa version IA-augmentée sur les critères qui comptent pour votre équipe.
| Critère | Phishing classique | Spear-phishing IA |
|---|---|---|
| Fautes d'orthographe | Fréquentes (détectable) | Aucune |
| Personnalisation | Générique | Hyper-personnalisée (prénom, contexte, projet en cours) |
| Style d'écriture | Suspect, formel | Clone exact du dirigeant |
| Coût pour l'attaquant | Quelques euros (masse) | 20-50€ (mais ciblé) |
| Détection par filtre antispam | Efficace (80%+) | Inefficace (<20%) |
| Détection humaine | Possible avec formation | Très difficile sans procédure |
| Taux de succès estimé | 1-3% (masse) | 25-40% (cible) |
| Contre-mesure efficace | Formation basique + antispam | Procédure stricte + simulation IA |
Ce que ça change pour votre PME : Les formations anti-phishing traditionnelles apprennent aux collaborateurs à repérer les fautes d'orthographe et les liens suspects. Ces indicateurs disparaissent avec l'IA. La seule défense vraiment efficace n'est plus la détection - c'est la procédure : imposer des règles qui rendent le virement impossible même si l'email semble parfaitement authentique.
4. Les 5 contre-mesures à déployer cette semaine
La bonne nouvelle : les contre-mesures les plus efficaces contre le spear-phishing IA ne nécessitent pas de budget cybersécurité élevé. Elles nécessitent de la rigueur et une décision de direction. Les outils IA peuvent aussi vous aider à les déployer à l'échelle de votre organisation.
🔒 Contre-mesure 1 - La règle d'or : aucun virement sur instruction par email seule
Toute demande de virement reçue par email - quelle que soit l'urgence, quel que soit l'expéditeur apparent - doit obligatoirement être confirmée par un second canal indépendant : un appel sur le numéro de téléphone connu du dirigeant (pas celui fourni dans l'email), ou un message sur le canal interne sécurisé de l'entreprise (Teams, Slack). Cette règle doit être écrite, signée par la direction, et ne souffrir aucune exception - même quand le CEO dit que c'est urgent.
💬 Contre-mesure 2 - Le mot de code verbal pour les virements
Établir un mot de code confidentiel, connu uniquement des personnes habilitées à valider des virements et du dirigeant. Lors de toute demande téléphonique liée à un virement (y compris si la voix semble parfaitement authentique), la personne qui appelle doit fournir ce mot de code. Un deepfake vocal ne peut pas connaître un code qui n'a jamais été prononcé publiquement. Ce mot de code doit être changé trimestriellement.
🔎 Contre-mesure 3 - Vérification des coordonnées bancaires par canal indépendant
Pour tout nouveau bénéficiaire ou tout changement de RIB d'un fournisseur existant, rappeler le fournisseur sur son numéro habituel (pas celui fourni dans le message de modification) pour confirmer le changement. Cette procédure simple bloque la majorité des arnaques au faux RIB fournisseur, qui suivent la même logique que la fraude au président mais ciblent les changements de coordonnées bancaires.
📺 Contre-mesure 4 - Réduire la surface d'attaque OSINT du dirigeant
Auditer ce qui est publiquement disponible sur le CEO et les dirigeants : posts LinkedIn, interviews vidéo, podcasts, vidéos d'événements. Moins il y a d'audio et de vidéo publics, plus le voice cloning et le deepfake sont difficiles. Ce n'est pas une raison de disparaître des réseaux, mais de doser ce qui est exposé. Pour les vidéos incontournables (voeux, événements), un watermark numérique peut compliquer leur utilisation comme données d'entraînement.
🎯 Contre-mesure 5 - Simulation de phishing IA réelle (le test qui convainc vraiment)
La formation théorique ne suffit plus. La seule formation vraiment efficace contre le spear-phishing IA est une campagne de simulation réelle : un vrai email de spear-phishing généré par IA ciblant vos collaborateurs, pour mesurer qui clique et qui déclenche un virement. 2LKATIME réalise ce type de campagne pour les PME parisiennes et en région toulousaine dans le cadre de nos audits de sécurité. L'impact sur la prise de conscience est sans commune mesure avec une présentation PowerPoint sur le phishing.
5. Côté technique : ce que DMARC, SPF et DKIM changent (et ce qu'ils ne changent pas)
Les protocoles d'authentification email (SPF, DKIM, DMARC) sont indispensables mais insuffisants contre le spear-phishing IA. Voici pourquoi, et ce qu'ils protègent vraiment.
Ce que SPF/DKIM/DMARC protègent
- - Empêchent l'usurpation exacte de votre domaine (@votre-entreprise.fr)
- - Bloquent les emails envoyés depuis des serveurs non autorisés avec votre domaine
- - Réduisent le risque de votre domaine d'être utilisé pour attaquer vos clients
- - Améliorent la délivrabilité de vos emails légitimes
- - Permettent de recevoir des rapports sur les tentatives d'usurpation
Ce qu'ils ne protègent pas
- - Les domaines sosies (mon-entreprise.fr, monentreprise-group.fr)
- - Les emails légitimement envoyés depuis ces domaines sosies
- - Le voice cloning et les appels deepfake
- - La manipulation psychologique via ingénierie sociale prolongée
- - Les virements déclenchés après validation humaine confiante
La surveillance des domaines sosies est une contre-mesure technique complémentaire : des services comme Domaintools ou des alertes Google sur votre nom de marque peuvent détecter l'enregistrement d'un domaine ressemblant au vôtre. Certaines solutions de cybersécurité pour PME incluent cette surveillance automatiquement.
La mise en conformité NIS2 impose désormais aux PME des secteurs critiques de documenter leurs mesures anti-phishing et de former leurs collaborateurs annuellement. La simulation de phishing IA entre dans le cadre de ces obligations.
La question que pose votre assureur cyber : De plus en plus, les assureurs cyber demandent si votre entreprise a une procédure documentée de validation des virements et si des tests de phishing ont été réalisés dans l'année. Sans ces éléments, une réclamation après fraude au président peut être refusée ou plafonnée. Documentez vos procédures, testez vos équipes, conservez les preuves.
Pour les PME et ETI souhaitant aller plus loin, 2LKATIME propose des audits complets incluant simulation de spear-phishing IA, test de voice cloning deepfake, et audit DMARC/SPF depuis nos équipes basées à Paris et en région lyonnaise. L'objectif : mesurer objectivement votre résistance avant qu'un attaquant réel ne le fasse à votre place.
FAQ - Spear-phishing IA et fraude au président
Comment les hackers utilisent-ils l'IA pour du spear-phishing ?
Les attaquants utilisent des LLM (Claude, GPT, Gemini) pour analyser les communications publiques d'un dirigeant - LinkedIn, posts X/Twitter, interviews, communiqués de presse - et reproduire son style d'écriture exact. Ils croisent ces données avec les informations sur l'entreprise (organigramme, fournisseurs, projets en cours) pour rédiger un email hyper-personnalisé qui semble provenir du CEO. L'objectif le plus courant est de déclencher un virement urgent vers un compte contrôlé par l'attaquant.
Qu'est-ce que la fraude au président augmentée par IA ?
La fraude au président classique consiste à usurper l'identité du dirigeant pour obtenir un virement d'urgence. La version IA-augmentée ajoute trois éléments qui la rendent quasi-indétectable : le style d'écriture est identique au vrai CEO (analysé par IA), un appel vocal deepfake peut précéder l'email pour confirmer oralement la demande, et le contexte est parfaitement adapté aux actualités de l'entreprise. En 2025, plusieurs PME françaises ont perdu entre 30 000 et 400 000 euros via ce mécanisme combiné.
Peut-on détecter un email de phishing généré par IA ?
De plus en plus difficilement. Les outils de détection classiques (filtrage d'orthographe, analyse de contenu) ne fonctionnent plus sur des emails rédigés par LLM. La défense la plus efficace reste procédurale : une règle interne imposant une validation téléphonique sur numéro connu pour tout virement sur instruction par email, sans exception. Les solutions modernes analysent aussi les métadonnées d'envoi et les patterns comportementaux de l'expéditeur.
Qu'est-ce que le voice cloning et comment s'en protéger ?
Le voice cloning consiste à utiliser un outil comme ElevenLabs pour générer une voix synthétique identique à celle d'une personne réelle, à partir de 15 à 30 secondes d'audio. L'attaquant génère un appel téléphonique deepfake qui précède ou accompagne l'email de phishing. Protection principale : établir un mot de code verbal interne connu uniquement des personnes habilitées à valider des virements. Ce code ne peut pas être connu de la voix deepfake.
Quelles entreprises sont les plus ciblées par le spear-phishing IA ?
Les PME et ETI de 50 à 500 salariés sont les cibles privilégiées : suffisamment grandes pour avoir des trésoreries intéressantes, mais sans les équipes sécurité des grands groupes. Les secteurs les plus touchés sont la construction, l'industrie, les cabinets comptables, les agences immobilières et les cabinets juridiques. Le profil type de la victime : un employé de la finance en poste depuis moins de 2 ans, avec peu d'ancienneté de relation directe avec le CEO.
Votre équipe résisterait-elle à un vrai spear-phishing IA ?
2LKATIME est la seule agence en France qui combine auditeurs cybersécurité seniors (OSCP/OSEP) et expertise IA. Nos campagnes de simulation de phishing IA reproduisent les techniques réelles des attaquants - email clone du CEO, appel vocal deepfake, domaine sosie - pour mesurer objectivement votre résistance avant qu'un vrai attaquant ne le fasse. Résultat livré en 48h avec les procédures à mettre en place.