Deepfakes en entreprise : « Nos procédures d'identité ont été conçues pour un monde qui n'existe plus »
Date Published

# Deepfakes en entreprise : « Nos procédures d'identité ont été conçues pour un monde qui n'existe plus »
*En 2026, les deepfakes ne sont plus un sujet de science-fiction ou de cybersécurité théorique. Ils s'invitent dans les processus d'onboarding, les visioconférences de direction, les transferts de fonds. Nous avons interrogé un DSI d'une ETI industrielle européenne — plusieurs centaines de salariés, présence dans trois pays — sur ce que cela change concrètement dans son organisation. Ses réponses sont inconfortables. Elles le sont volontairement.*
RiffLab : En 2026, les deepfakes sont présentés par tous les éditeurs comme « le » grand risque de l'année. Est-ce que vous y croyez vraiment, ou c'est du marketing de la peur ?
Les deux, honnêtement. Il y a clairement un effet de souffle commercial autour de ce sujet — les acteurs américains de la détection biométrique ont tout intérêt à dramatiser pour vendre leurs solutions. Mais derrière le bruit, il y a un vrai problème de fond que j'ai constaté dans ma propre organisation.
Nous avons eu un incident il y a quelques mois. Pas un transfert frauduleux de plusieurs millions comme on le lit dans la presse — quelque chose de plus banal, mais révélateur : un faux onboarding. Un candidat a passé trois entretiens en visioconférence avec des interlocuteurs différents dans mon entreprise, en usurpant partiellement son identité. Ce n'est pas la technologie deepfake la plus sophistiquée qui soit. C'est accessible. Et nos processus RH n'ont pas vu la différence.
Donc oui, je crois au risque. Mais je refuse de le traiter comme un problème technologique à résoudre par un abonnement à une plateforme de vérification.
RiffLab : Justement, la réponse dominante du marché, c'est d'externaliser la vérification d'identité à des acteurs spécialisés — souvent américains. Vous avez résisté à cette tentation ?
J'ai regardé les offres. Plusieurs éditeurs dominants proposent des APIs de « liveness detection » et de vérification documentaire. Le pitch est séduisant : branchoz-vous, c'est réglé. Mais quand vous lisez les contrats et la documentation technique, vous réalisez que vous allez envoyer les données biométriques de vos collaborateurs et de vos clients vers des infrastructures dont vous ne contrôlez ni la localisation exacte, ni les conditions de sous-traitance, ni l'accès par les autorités du pays d'origine de l'éditeur.
Pour une ETI européenne soumise au RGPD, c'est un problème structurel. Pas un détail contractuel à négocier en marge. La donnée biométrique est une donnée de catégorie particulière au sens du RGPD. La confier à un acteur américain sans garanties solides sur la résidence des données et la chaîne de traitement, c'est s'exposer à un risque juridique réel — et surtout, c'est perdre la maîtrise d'un actif sensible.
J'ai donc choisi une autre voie, plus lente, plus inconfortable : retravailler nos processus internes avant de chercher un outil.
RiffLab : « Retravailler les processus » — c'est facile à dire. Concrètement, qu'est-ce que ça signifie pour votre organisation, pour vos équipes RH, pour votre gouvernance ?
Ça signifie d'abord accepter un constat difficile : nos procédures d'identité ont été conçues pour un monde qui n'existe plus. Le monde où voir quelqu'un sur un écran suffisait à valider son identité. Où recevoir un e-mail d'une adresse connue suffisait à déclencher une action. Ce monde a disparu.
Concrètement, nous avons retravaillé trois axes.
Premier axe : les processus d'onboarding RH. Nous avons réintroduit une étape de vérification documentaire physique ou via un tiers de confiance qualifié — et je veux dire qualifié au sens de la réglementation eIDAS, pas au sens marketing. Cela ralentit les recrutements à distance. Les managers se sont plaints. J'ai tenu bon.
Deuxième axe : les processus financiers et décisionnels. Tout ordre de virement au-dessus d'un certain seuil, toute décision engageant l'entreprise, nécessite désormais une double authentification hors bande — c'est-à-dire par un canal distinct de celui sur lequel la demande a été formulée. Si quelqu'un vous demande un virement par visioconférence, vous ne validez pas sur cette même visioconférence.
Troisième axe : la formation. Et là, c'est le plus difficile à tenir dans la durée. Former des équipes à détecter un comportement suspect lors d'un appel vidéo, ça ne se fait pas avec un module e-learning de quarante minutes. Ça demande des exercices réguliers, des mises en situation, une culture du doute légitime. Et cette culture, elle doit venir du sommet.
RiffLab : Sur la formation justement — vous parlez de « culture du doute ». Est-ce que vos équipes ne vivent pas ça comme une charge mentale supplémentaire, voire comme un manque de confiance de l'employeur ?
C'est une vraie tension, et je ne vais pas la minimiser. Quand vous dites à un collaborateur « désormais, tu dois vérifier que ton interlocuteur est bien qui il prétend être », vous introduisez de la friction dans des relations de travail qui reposaient sur la fluidité.
J'ai eu des retours de managers qui ont vécu ça comme une infantilisation. Des commerciaux qui trouvaient ces nouvelles procédures incompatibles avec la rapidité que leurs clients attendent.
Ma réponse a été de contextualiser : ce n'est pas que nous ne faisons plus confiance aux individus, c'est que l'environnement technique dans lequel nous travaillons est devenu hostile. Ce n'est pas une question de confiance humaine — c'est une question d'hygiène opérationnelle, au même titre que la gestion des mots de passe.
Mais je serais malhonnête si je disais que tout le monde a adhéré. Nous avons encore des résistances. Et la vérité, c'est que sans incident visible dans l'entreprise, la mobilisation reste difficile à entretenir.
RiffLab : L'Europe tarde à produire des standards de vérification d'identité adaptés à cette réalité. Est-ce que vous attendez quelque chose des régulateurs, ou vous avez renoncé ?
Je n'ai pas renoncé, mais je ne compte plus sur la réglementation pour définir mes délais opérationnels. eIDAS 2 est un cadre important — l'identité numérique européenne, les portefeuilles d'identité, c'est une vraie brique souveraine. Mais entre le texte et le déploiement effectif dans les usages d'entreprise, il y a un fossé qui se mesure en années.
Ce que j'attends des régulateurs européens, c'est moins des listes de conformité que des standards techniques ouverts et interopérables. Des standards qui permettent à des acteurs européens — éditeurs, intégrateurs, cabinets de conseil — de construire des solutions compétitives sans dépendre d'une API propriétaire américaine pour la brique critique de la vérification biométrique.
Aujourd'hui, si je veux une solution de détection de liveness qui respecte strictement le RGPD, qui soit auditée, dont le code source soit accessible pour vérification, les options européennes sont réelles mais encore peu connues et peu structurées commercialement. Ce n'est pas un problème de talent ou de technologie — c'est un problème de go-to-market et de visibilité. Et là, les institutions européennes ont un rôle à jouer dans l'évangélisation et la mise en réseau.
RiffLab : Dernière question, la plus directe : est-ce qu'une ETI de votre taille peut vraiment tenir une posture souveraine sur la vérification d'identité, ou c'est réservé aux grandes entreprises qui ont les moyens de développer en interne ?
C'est la question qui me dérange le plus, parce qu'elle contient une hypothèse fausse : que la souveraineté numérique serait un luxe de grand groupe.
Je ne développe rien en interne sur la biométrie. Je n'ai ni les équipes ni la légitimité pour ça. Ce que je fais, c'est choisir mes dépendances avec lucidité. Il y a une différence entre dépendre d'un éditeur européen dont je peux auditer les pratiques, dont le siège est en Europe, dont les données restent en Europe — et dépendre d'une API dont les conditions générales changent unilatéralement et dont la gouvernance m'échappe entièrement.
La souveraineté pour une ETI, ce n'est pas l'autarcie technologique. C'est la capacité à comprendre ses dépendances, à les documenter, à savoir quoi faire si elles disparaissent ou si leurs conditions changent. C'est une posture de gouvernance, pas un investissement R&D.
Et cette posture, je la défends en CODIR. Parce que le jour où un deepfake convainquant usurpe l'identité de notre directeur financier lors d'un appel avec notre banque, ce ne sera pas un problème informatique. Ce sera une crise d'entreprise. Et à ce moment-là, dire « on a sous-traité à un acteur américain qui gère ça » ne sera pas une réponse satisfaisante pour personne.
*Propos recueillis par la rédaction de RiffLab Media. L'interlocuteur a souhaité conserver l'anonymat.*
Cet article vous a été utile ?
Recevez chaque vendredi nos analyses sur les alternatives souveraines SaaS. Pas de spam.
Pas de spam. Désinscription en un clic. Données hébergées en Europe.