La fraude à l’ère de l’IA

À l’ère de l’intelligence artificielle, la fraude n’a pas toujours l’air suspecte. De plus en plus, elle ressemble à des activités normales. Et les répercussions financières peuvent être importantes, touchant des entreprises privées et publiques, grandes et petites, dans tous les secteurs.

Cela signifie que la prévention de la fraude ne peut plus être traitée comme une initiative de sensibilisation ponctuelle, dont on parle seulement au cours du mois de mars lors du Mois de la prévention de la fraude. Elle doit devenir une priorité, continue et cohérente en matière de gestion et de gouvernance.

Un nouveau sondage de KPMG Canada permet de mieux cerner les enjeux : au cours des 12 derniers mois, 72 % des répondants ont perdu jusqu’à 5 % de leurs profits d’entreprise en raison d’attaques alimentées par l’IA, et 94 % se disent préoccupés par le risque d’attaques au cours des 12 prochains mois.

De plus :

Abonnez-vous à nos alertes par courriel

81 % ont subi des tentatives de fraude ou des fraudes réussies utilisant l’IA, et 72 % d’entre eux ont été ciblés plus d’une fois.

60 % ont été victimes de courriels ou de messages frauduleux utilisant des agents d’IA ou du contenu généré par l’IA.

39 % ont subi des fraudes documentaires utilisant des hypertrucages (deepfakes) alimentés par l’IA.

24 % ont été victimes d’attaques par clonage de voix.

En réalité, aucune organisation n’est à l’abri du risque de fraude alimentée par l’IA. Nous sommes bel et bien entrés dans une nouvelle ère. Votre organisation est‑elle prête ?

L’industrialisation de la fraude

Jusqu’à récemment, les activités frauduleuses étaient limitées par le temps, les compétences et les ressources nécessaires pour les mener à bien. La prolifération rapide de l’IA a levé ces contraintes. Tandis que les organisations investissent dans l’IA pour détecter et prévenir la fraude, les fraudeurs font de même, souvent plus rapidement et à moindre coût. Il en résulte un environnement de menaces où la fraude ne se limite plus au vol d’identifiants ou au contournement de règles, mais repose sur la fabrication d’une légitimité à grande échelle.

Les stratagèmes de fraude actuels sont :

Hautement personnalisés, utilisant l’IA pour adapter les attaques à des personnes ou des organisations précises.

Multicanaux, conçus pour être cohérents sur l’ensemble des canaux.

Adaptatifs, apprenant des tentatives infructueuses et s’ajustant presque en temps réel.

Il s’agit d’un passage d’une fraude opportuniste à des opérations de fraude industrialisées, où les fraudeurs entraînent des modèles d’IA à imiter le comportement légitime de clients, d’employés de confiance et même de dirigeants.

Cela crée également un défi organisationnel majeur : si les contrôles traditionnels de lutte contre la fraude ont été conçus pour détecter des anomalies, et que la fraude alimentée par l’IA est conçue pour dissimuler sa nature anormale, comment distinguer le légitime du frauduleux ?

La fraude par l’IA à grande échelle

L’IA a transformé de nombreuses attaques, les faisant passer de tentatives grossières de bourrage d’identifiants à des intrusions rapides et d’une précision quasi chirurgicale. Un résultat contre‑intuitif est une forte augmentation de la fraude « lente et discrète », des attaques qui passent sous le radar tout en extrayant progressivement de la valeur. Cela mène souvent à un arbitrage difficile : renforcer les contrôles peut créer des frictions pour les clients, tandis que les assouplir peut entraîner des pertes supplémentaires. Considérez les exemples suivants :

Fraude à l’identité fictive

Ce type de fraude n’est pas nouveau, mais l’IA l’a rendu beaucoup plus dangereux. Les fraudeurs utilisent désormais l’IA générative pour créer des identités destinées à des demandes de crédit, à l’intégration de fournisseurs ou à l’accès aux systèmes, qui sont cohérentes sur les plans suivants :

Noms, adresses et identifiants gouvernementaux.
Historique de crédit et comportements transactionnels.
Empreintes numériques, y compris la présence sur les réseaux sociaux.

Les criminels entretiennent ensuite ces identités (que l’IA leur permet aussi de créer beaucoup plus rapidement), ouvrent des comptes bancaires à faible risque et bâtissent une crédibilité au fil du temps avant de les monétiser rapidement par des marges de crédit, des prêts ou des fraudes de paiement.

Le défi est que ces identités se comportent exactement comme prévu — jusqu’à ce qu’elles ne le fassent plus. Les organisations ne détectent souvent les pertes que plusieurs mois plus tard, bien après le passage des contrôles d’intégration.

Escroqueries par imitation vocale et visuelle

L’une des menaces qui croît le plus rapidement pour les organisations de tous les secteurs est l’utilisation de clones audio et vidéo hypertruqués pour contourner les contrôles de « preuve de vie » et d’identité lors d’attaques d’ingénierie sociale. Par exemple :

Appels avec voix clonée se faisant passer pour des PDG ou des directeurs financiers et demandant des virements urgents.
Vidéos hypertruquées utilisées lors de vérifications d’identité à distance ou d’authentification d’employés ou de clients.
Voix synthétiques contournant les questions de sécurité des centres d’appels.

Ces attaques exploitent une hypothèse fondamentale intégrée dans de nombreux environnements de contrôle : voir ou entendre quelqu’un serait un indicateur fiable d’authenticité. Dans un monde alimenté par l’IA, cette hypothèse ne tient plus.

Fraude facilitée par des identités artificielles

Alors que les hypertrucages manipulent les interactions destinées aux humains, les identités non humaines représentent une autre dimension critique des risques de fraude et de cybersécurité liés à l’IA.

Les identités non humaines, notamment les applications, interfaces de programmation (API), comptes de service, appareils connectés à Internet, robots et agents d’IA sont désormais plus nombreuses que les comptes humains. Elles détiennent souvent des privilèges importants, mais sont mal gouvernées, ce qui entraîne :

Une visibilité limitée sur le propriétaire de l’identité, ses accès et son utilisation.
Des comptes et clés d’API de longue durée qui demeurent actifs bien au‑delà de leur objectif initial.
Défaillances dans la gouvernance et la sécurisation des identifiants, une rotation peu fréquente et une surveillance limitée.
Des agents d’IA autonomes à un stade précoce, capables d’initier des actions ou d’utiliser des identifiants de façon autonome, sans garde‑fous.

Les attaquants exploitent ces failles pour obtenir un accès persistant à des systèmes critiques, exfiltrer des données ou automatiser la fraude à grande échelle, par exemple en orchestrant de nombreux paiements, en automatisant des tests de comptes ou en manipulant des données servant à la prise de décisions financières.

Pourquoi les contrôles traditionnels échouent ?

De nombreuses organisations répondent à la fraude alimentée par l’IA par des améliorations progressives de leurs modèles opérationnels existants, conçus avant l’IA.
Cette approche est souvent insuffisante, car :

Les contrôles existants supposent que les fraudeurs sont humains.
Les systèmes d’identité ont été conçus pour un monde où voir ou entendre quelqu’un était fiable.
Les vérifications statiques, ponctuelles et événementielles échouent dans un environnement de menaces dynamique.
Les équipes cloisonnées (fraude, cybersécurité, identité) ne peuvent pas contrer une menace multicanale.

Plus fondamentalement, les contrôles traditionnels sont réactifs et axés sur la détection et le recouvrement des pertes après coup. La fraude moderne, alimentée par l’IA, se fond dans l’activité normale et contourne les défenses statiques basées sur des événements.

La première étape pour relever ce défi consiste à en reconnaître l’ampleur : la prévention de la fraude n’est pas seulement un enjeu technologique, mais une capacité stratégique qui englobe la gouvernance, les talents et la responsabilité.

Les répondants au sondage indiquent que leurs plus grands défis pour identifier les attaques alimentées par l’IA sont la difficulté de distinguer le contenu authentique du contenu généré par l’IA (vidéo, voix, documents) et le manque d’expertise interne en détection de la fraude liée à l’IA.
La bonne nouvelle : ils s’attaquent à ces lacunes :

81 % offrent de la formation aux employés sur la sensibilisation à la fraude et le risque interne tous les 6 à 12 mois.

61 % ont organisé une formation à l’échelle de l’organisation sur les stratagèmes de fraude alimentés par l’IA (hypertrucages, clonage de voix) au cours des 12 derniers mois.

52 % utilisent des défenses contre la fraude alimentée par l’IA.

Cependant, seulement 26 % ont mis en œuvre et testé un plan officiel, écrit et complet d’intervention en cas d’incident de fraude couvrant explicitement les attaques alimentées par l’IA.

À l’avenir, 67 % des entreprises canadiennes sondées prévoient augmenter leurs budgets de prévention et de détection de la fraude de 1 à 7 % en 2026 par rapport à 2025, principalement pour :

Les technologies de détection
La formation et la sensibilisation des employés
Les contrôles transactionnels (ex. : limites quotidiennes de transfert, authentification à deux facteurs, vérification d’identité, etc.)

Des programmes de lutte contre la fraude efficaces à l’ère de l’IA

Les programmes efficaces se définissent moins par des vérifications ponctuelles que par des contrôles continus fondés sur le risque, superposés à l’identité, au comportement, aux appareils et aux canaux, afin de prévenir, détecter et perturber la fraude plus tôt dans son cycle de vie.
Ces dimensions comprennent :

La vérification continue de l’identité
Qui traite l’identité comme un processus d’authentification permanent, incluant :
- Une authentification cryptographique résistante à l’hameçonnage, de sorte que même des hypertrucages convaincants échouent sans les clés cryptographiques sous‑jacentes.
- L’association aux appareils et aux sessions, intégrant la réputation, l’historique et l’intégrité des appareils dans l’évaluation du risque.
- La détection et l’analyse d’anomalies alimentées par l’IA pour repérer des combinaisons ou des schémas inhabituels suggérant des attaques automatisées.
L’analytique comportementale et biométrique

Comme la cadence de frappe, les parcours de navigation, l’historique transactionnel, ainsi que les données de temps, de lieu et de canal.
Des mécanismes de validation biométrique renforcés

Pour contrer l’utilisation de contenus audio et visuels synthétiques dans les processus d’authentification.
Des flux d’identité Zero Trust

Qui considèrent toute demande de vérification comme non fiable et vérifient continuellement l’identité et la fiabilité des utilisateurs, appareils et applications.
La gouvernance des identités automatisées

Incluant l’identification des comptes à haut risque ou orphelins, l’application du principe du moindre privilège, et des garde-fous techniques pour limiter les actions des identités non humaines et des agents d’IA.
L’analytique multicanale

(fraude, cybersécurité, identité) pour détecter les activités coordonnées.
La prise de décision avec intervention humaine

Intégrant la supervision et l’expertise humaines pour les cas à fort impact ou ambigus.
La gestion des risques liés aux modèles d’IA

Assurant leur explicabilité, leur gouvernance et leur surveillance.

À mesure que les programmes mûrissent, le facteur différenciateur devient la rapidité avec laquelle les signaux sont transformés en actions. Cela exige un partage de renseignements : d’abord en interne entre les équipes, puis, lorsque possible, avec des partenaires de confiance.

Malgré les progrès rapides de l’IA, les humains demeurent essentiels à une prévention efficace de la fraude. Si l’IA excelle dans la reconnaissance de comportements, l’échelle et la vitesse, les humains excellent dans le jugement, le contexte et la prise de décisions éthiques. L’objectif n’est pas de remplacer l’expertise humaine, mais de l’élever.

La prévention de la fraude : un enjeu stratégique pour les dirigeants

La fraude à l’ère de l’IA n’est plus seulement un risque opérationnel. Elle touche la réputation des organisations, la confiance des parties prenantes et l’expérience client.

Pour les dirigeants, les conseils d’administration et les responsables du risque, la question n’est plus de savoir si la fraude alimentée par l’IA aura un impact, mais s’ils sont prêts à y répondre avec un niveau de sophistication équivalent.

KPMG aide les organisations à se préparer en réalisant des évaluations des risques afin de comprendre l’environnement de menaces, d’identifier les scénarios à haut risque et d’évaluer les contrôles existants. L’environnement de menaces évolue constamment, et les évaluations de KPMG s’adaptent en continu pour aider les organisations à être proactives en matière de prévention.

Comme le rappelle le Mois de la prévention de la fraude, la prévention ne consiste pas à éliminer complètement la fraude, mais à bâtir des organisations résilientes capables de s’adapter aussi rapidement que les risques évoluent. À l’ère de l’IA, la confiance doit être constamment construite et protégée.

À propos de l’étude

KPMG Canada a sondé 251 propriétaires d’entreprises ou décideurs de niveau C-suite au Canada sur les cas de fraude qu’ils ont subis. Le sondage s’est déroulé du 4 au 13 février 2026, à l’aide du panel de recherche d’affaires du Groupe Angus Reid. Cinquante‑cinq entreprises avaient des revenus annuels bruts entre 300 M$ et 1 G$ ; 23 % dépassaient 1 G$ ; et 22 % se situaient entre 50 M$ et 299,9 M$. Plus de la moitié (62 %) sont des sociétés privées et 38 % sont publiques. Cinquante pour cent sont basées en Ontario, 19 % en Alberta, 13 % en Colombie‑Britannique et 10 % au Québec. Les autres répondants proviennent d’autres régions du Canada.