BlogVoir tous les articlesConseils & Inspirations RHVoir tous les articles

Deepfakes et RH, le grand bouleversement !

Intelligence artificielle
Processus de recrutement
Métiers du recrutement
Outils et solutions RH
Boussad Addad, Ph.D
Publié par
Boussad
Addad
dans
Conseils & Inspirations RH
Le
10
/
03
/
2025
Mise à jour le
/
/
Deepfakes et RH, le grand bouleversement !

Sommaire

Crédits

Après avoir introduit la technologie des deepfakes, son avènement et sa progression à travers l’histoire dans mon précédent article, je vous invite cette fois à explorer son impact sur le domaine des RHs en entreprise. 

J’aborderai diverses applications pour améliorer le travail des RHs et des recruteurs tout comme son utilisation malveillante par des cybercriminels, ainsi que les questions de sécurité et d’éthique que cela soulève.

À lire aussi
Des illusions et des hommes. Deepfake, de quoi parle-t-on ?

Les deepfakes, et des applications intéressantes dans le recrutement

L'utilisation de la technologie deepfake dans le recrutement suscite de nombreuses inquiétudes éthiques, mais elle offre également des possibilités d'innovation, à condition d'être utilisée de manière transparente et responsable. Voici quelques exemples d'applications vertueuses :

Personnalisation des messages de recrutement

Les entreprises pourraient utiliser des deepfakes pour créer des vidéos de recrutement personnalisées, s'adressant directement à chaque candidat. Cela pourrait renforcer l'engagement et l'intérêt des candidats, en leur donnant le sentiment d'être valorisés. Par exemple, un dirigeant d'entreprise, un manager ou encore un recruteur pourrait adresser un message personnalisé au candidat.

Néanmoins, il est impératif que les candidats soient informés que la vidéo a été créée à l'aide d'un deepfake, afin de maintenir la transparence et la confiance.

Création de simulations d'entretien réalistes

Les deepfakes pourraient être utilisés pour créer des simulations d'entretien réalistes, permettant aux candidats de s'entraîner et de se familiariser avec le processus de recrutement.

Ces simulations pourraient également être utilisées par les recruteurs pour évaluer les compétences des candidats dans des situations spécifiques, en les confrontant à des scénarios complexes ou à des clients virtuels.

Amélioration de l'accessibilité du recrutement

Les deepfakes pourraient être utilisés pour traduire des vidéos de recrutement ou des supports de formation dans différentes langues, facilitant ainsi l'accès à l'emploi pour les personnes non francophones.

Ils pourraient également être utilisés pour créer des vidéos en langue des signes, rendant le recrutement plus accessible aux personnes sourdes ou malentendantes.

Création d'avatars pour des entretiens anonymes

Pour lutter contre les discriminations à l'embauche, des avatars de type deepfake pourraient être utilisés pour anonymiser les candidats lors des premières étapes du processus de recrutement.

Cela permettrait aux recruteurs de se concentrer sur les compétences et l'expérience des candidats, sans être influencés par leur apparence physique ou leur origine.

Formation à la diversité et à l'inclusion

Les deepfakes pourraient être utilisés pour créer des simulations immersives permettant aux recruteurs de se mettre à la place de personnes issues de différents groupes ethniques, sociaux ou culturels.

Cela pourrait contribuer à sensibiliser les recruteurs aux biais inconscients et à promouvoir un recrutement plus inclusif.

Cependant, ces applications ne sont pas sans risques. L’utilisation de deepfakes dans le recrutement pose des problèmes éthiques majeurs : manque de consentement, manipulation potentielle, ou encore perte de confiance si les candidats découvrent qu’ils interagissent avec une IA plutôt qu’une personne réelle. Les entreprises devront donc encadrer leur usage avec des garde-fous, comme informer clairement les candidats de l’utilisation de cette technologie.

En bref :
Il est important de souligner que l'utilisation éthique des deepfakes dans le recrutement repose sur plusieurs principes fondamentaux :

  • Transparence : Les candidats doivent toujours être informés de l'utilisation de deepfakes.
  • Consentement : Le consentement éclairé des candidats est indispensable.
  • Sécurité des données : Les données personnelles des candidats doivent être protégées.
  • Équité : Les deepfakes ne doivent pas être utilisés à des fins discriminatoires.

L’utilisation malveillante des deepfakes dans le recrutement

Si la technologie des deepfakes offre des perspectives innovantes pour le recrutement, son potentiel de détournement à des fins malveillantes représente une menace grandissante. L'usurpation d'identité, la diffusion de fausses informations et la manipulation psychologique ne sont que quelques-uns des risques réels auxquels les candidats et les entreprises doivent se préparer. Nous allons détailler deux cas de cette utilisation malveillante qui sont malheureusement déjà en œuvre.

Deepfakes et fausses offres d’emploi

De quoi s’agit-il ?

Des escrocs publient des offres d’emploi en imitant les méthodes des employeurs légitimes : sur Internet (via des petites annonces, des sites spécialisés, les portails de recrutement des universités ou encore les réseaux sociaux), dans la presse écrite, et parfois même à la télévision ou à la radio. Sous prétexte de proposer un travail, leur véritable objectif est de soutirer de l’argent et des données personnelles aux candidats.

Modus operandi

Les cybercriminels commencent par usurper l’identité d’une entreprise légitime en créant un nom de domaine très proche de celui de l’original, conçu pour tromper les victimes. Ils diffusent ensuite de fausses offres d’emploi sur des plateformes de recrutement populaires, redirigeant les candidats vers ces sites frauduleux. Les postulants peuvent alors soumettre leur candidature soit directement sur ces sites usurpés, soit via les portails d’emploi eux-mêmes. Par la suite, les candidats reçoivent un e-mail les invitant à un entretien, qui peut se dérouler par téléphone ou en visioconférence. Lors de ces échanges, les escrocs se font passer pour des employés de l’entreprise, souvent des recruteurs, en imitant les pratiques des véritables services de ressources humaines.

Grâce à des technologies comme les deepfakes ou le face swapping (échange d’un visage d’une personne par celui d’une autre sur une photo ou une vidéo tout en gardant de la cohérence et du réalisme dans les transformations), les criminels vont encore plus loin : après avoir récupéré des photos d’un recruteur authentique sur Internet, ils peuvent usurper son apparence en temps réel lors de l’entretien. Le candidat, convaincu de s’adresser à un représentant légitime de l’entreprise qu’il souhaite rejoindre, se concentre principalement sur ses réponses aux questions posées. Absorbé par l’enjeu, il baisse sa vigilance et risque de ne pas remarquer les incohérences dans le discours ou les anomalies visuelles liées à l’utilisation de ces technologies trompeuses.

Un précédent bien réel

Un cas particulièrement frappant s’est déroulé fin 2022 en France, illustrant l’audace des escroqueries modernes. Une arnaque sophistiquée a ciblé environ 130 candidats, pour la plupart des designers UX. Une fausse offre d’emploi, attribuée à Kwantic, une agence de développement web bien réelle, a été diffusée sur des plateformes reconnues comme Indeed et LinkedIn. L’annonce, alléchante, promettait un CDI avec des conditions idéales : un salaire attractif, du télétravail à 100 % et même la mise à disposition d’un ordinateur. Les candidats étaient conviés à un entretien téléphonique mené par un prétendu recruteur, dont le professionnalisme renforçait la crédibilité de l’offre. Certains recevaient ensuite une promesse d’embauche et étaient invités à transmettre des informations personnelles sensibles, telles qu’un RIB, une copie de leur carte d’identité, un justificatif de domicile et une attestation d’assurance maladie.

Mais juste avant la signature du contrat, le soi-disant recruteur annulait subitement le rendez-vous, invoquant des difficultés internes à l’entreprise. Les victimes se retrouvaient alors sans emploi et avec leurs données compromises. L’escroquerie n’a été mise au jour que lorsqu’une candidate, méfiante, a pris l’initiative de contacter directement Kwantic, révélant ainsi l’usurpation d’identité de l’agence [4].

Les deepfakes viennent changer la donne

Les fausses offres d’emploi ne datent pas d’aujourd’hui, mais l’émergence des deepfakes a permis aux escrocs de perfectionner leurs stratagèmes, les rendant à la fois plus simples à mettre en œuvre et bien plus convaincants. D’après le Centre de signalement des délits sur Internet (IC3) du FBI, pas moins de 16 012 personnes ont signalé avoir été victimes d’arnaques liées à des offres d’emploi en 2020, pour un préjudice total dépassant les 59 millions de dollars [5]. Aujourd’hui, les cybercriminels vont encore plus loin : ils usurpent l’identité d’employeurs légitimes, y compris en imitant leur apparence audiovisuelle grâce à des technologies avancées. Ils publient des annonces fictives sur des plateformes d’emploi en ligne populaires, organisent de faux entretiens avec des candidats confiants et profitent de ces échanges pour exiger des informations personnelles ou de l’argent.

Ces données récoltées peuvent être détournées à des fins malveillantes : prise de contrôle de comptes bancaires, ouverture frauduleuse de nouveaux comptes, ou encore exploitation de l’identité des victimes pour d’autres escroqueries, comme l’obtention de crédits ou la fabrication de faux passeports. Mais les ambitions des escrocs ne s’arrêtent pas là. Ils cherchent parfois à soutirer des informations sensibles sur l’employeur actuel ou passé des candidats – propriété intellectuelle, détails de projets confidentiels, ou priorités de recherche stratégique, par exemple. Le piège est d’autant plus redoutable que les cybercriminels reproduisent avec précision les demandes typiques des recruteurs légitimes, rendant l’arnaque quasiment indétectable avant qu’il ne soit trop tard.

Les indices qui doivent alerter

Certaines caractéristiques doivent alerter sur la possibilité d’une fausse offre d’emploi : 

  • Les entretiens se déroulent uniquement par appel audio ou vidéo, sans rencontre physique. 
  • Les prétendus employeurs utilisent des adresses e-mail ou des outils de visioconférence qui ne correspondent pas au domaine officiel de l’entreprise. 
  • Les candidats sont invités à effectuer des tâches impliquant des dépenses personnelles, comme l’achat de matériel. 
  • Des informations sur des cartes de crédit sont réclamées. 
  • L’offre apparaît sur des sites d’emploi généralistes, mais reste introuvable sur le site officiel de l’entreprise concernée.

Comment se protéger

  • Rechercher via des canaux officiels découverts indépendamment, et ne pas se limiter à ceux fournis par le recruteur.
  • Effectuer une recherche sur l’entreprise avec son nom seul ; se méfier si plusieurs sites émergent (ex. abccompany.com et abccompanyllc.com).
  • Fournir des informations personnelles ou bancaires uniquement après embauche, de préférence en personne ou à minima par appel vidéo pour confirmer l’identité.
  • Ne jamais envoyer d’argent à une personne contactée en ligne, particulièrement par virement.
  • Ne pas partager de données de carte de crédit ou bancaires sans identité vérifiée de l’employeur.
  • Refuser toute offre exigeant d’utiliser un compte personnel pour transférer de l’argent.
  • Ne pas divulguer de numéro de sécurité sociale ou données sensibles non indispensables.
  • Vérifier la sécurité d’un site avant d’entrer des informations : privilégier « https:// », sans se baser uniquement là-dessus.

Deepfake et faux candidats

En juillet 2022, le FBI alertait d’une recrudescence de l’utilisation des deepfakes dans le cadre d’entretiens d’embauches à distance pour des emplois aux États-Unis [6].

Grâce à l'intelligence artificielle, des escrocs créent des vidéos ultra-réalistes pour usurper l'identité de candidats et postuler à des postes à distance dans des entreprises informatiques.

Le FBI met en garde contre cette nouvelle forme de cybercriminalité. En effet, une fois embauchés, ces imposteurs ont accès à des données sensibles comme les informations personnelles des clients, les données financières et les systèmes informatiques de l'entreprise.

Comment se protéger

Mettre en place des mesures de sécurité technologiques :

  • Logiciels de détection de deepfakes : Utiliser des logiciels spécialisés capables d'analyser les vidéos et les audios pour détecter les signes de manipulation.
  • Chiffrement des données sensibles : Protéger les données personnelles des candidats et des employés grâce à des systèmes de chiffrement robustes.
  • Sécurité des systèmes informatiques : Renforcer la sécurité des réseaux et des systèmes informatiques pour prévenir les intrusions et les vols de données et il ne faut donner accès qu’aux seules données nécessaires au travail des nouveaux collaborateurs.

Sensibiliser et former les équipes de recrutement :

  • Formation à la détection des deepfakes : Former les recruteurs à reconnaître les signaux d'alerte des deepfakes, tels que les mouvements saccadés, les incohérences de la voix ou les anomalies du visage.
  • Protocoles de sécurité : Mettre en place des protocoles clairs pour la vérification des candidats et la gestion des situations suspectes.
  • Sensibilisation aux risques : Sensibiliser les employés sur les dangers des deepfakes, les manières de les identifier et de remonter une action suspecte.

Développer une culture de cybersécurité :

  • Politiques de sécurité strictes : Établir des politiques de sécurité claires et contraignantes pour tous les employés.
  • Audits de sécurité réguliers : Effectuer des audits de sécurité réguliers pour identifier les vulnérabilités et les corriger.
  • Veille technologique : Se tenir informé des dernières évolutions en matière de deepfakes et de sécurité informatique.

Deepfakes et escroquerie au faux patron

Parmi les autres escroqueries que les deepfakes permettent, il y a l’arnaque au faux patron (ou CEO fraud en anglais) qui connaît une recrudescence alarmante. Ce type d’arnaque, qui repose sur l’usurpation d’identité d’un dirigeant pour soutirer de l’argent ou des informations sensibles, prend une dimension encore plus inquiétante depuis la sophistication des deepfakes.

Qu’est-ce que l’arnaque au faux patron ?

L’arnaque au faux patron est une forme d’ingénierie sociale où un escroc se fait passer pour un haut responsable d’une entreprise, souvent le PDG ou un directeur financier. Traditionnellement, cette fraude repose sur des emails ou des appels téléphoniques imitant le style et l’autorité de la personne ciblée. L’objectif est simple : convaincre un employé, souvent du département financier, d’effectuer un virement urgent ou de divulguer des données confidentielles sous prétexte d’une situation critique.

Avec les outils numériques classiques, ces arnaques pouvaient déjà être convaincantes, mais elles comportaient des failles détectables : une adresse email légèrement différente, une voix inhabituelle ou un ton qui ne correspondait pas tout à fait au personnage. Les deepfakes viennent combler ces failles en rendant l’imitation quasi parfaite.

Les deepfakes : une imitation quasi indétectable

Les deepfakes utilisent des algorithmes d’apprentissage profond (deep learning) pour analyser des contenus visuels ou audio d’une personne – souvent disponibles publiquement sur les réseaux sociaux ou dans des interviews – et recréer une version falsifiée. Une voix peut être imitée avec une précision troublante, reproduisant non seulement le timbre, mais aussi les intonations et les tics vocaux. De même, une vidéo peut montrer un visage animé en temps réel, synchronisé avec un discours inventé.

Dans le cadre de l’arnaque au faux patron, un escroc pourrait, par exemple, envoyer une vidéoconférence ou un message vocal falsifié où le PDG semble donner des ordres directs. Imaginez un employé recevant un appel d’urgence de son patron, avec une voix parfaitement familière, lui demandant de transférer plusieurs dizaines de milliers d’euros pour "sauver un contrat important". Sans indices évidents de fraude, la victime risque de céder sous la pression.

Ce n’est pas de la fiction mais déjà une triste réalité

Plusieurs cas concrets ont déjà été rapportés dans la presse concernant des arnaques au faux patron utilisant des deepfakes, où des escrocs exploitent cette technologie pour usurper l’identité de dirigeants et soutirer des sommes importantes. Voici quelques exemples marquants :

  1. L’arnaque à 24 millions d’euros à Hong Kong (2024)
    Une multinationale basée à Hong Kong a perdu environ 24 millions d’euros après qu’un employé du service financier a été piégé par une vidéoconférence falsifiée. Les escrocs ont utilisé des deepfakes pour imiter le directeur financier et d’autres collègues, tous semblant réels à l’écran. L’employé, convaincu par cette mise en scène, a effectué une quinzaine de virements vers des comptes désignés. Ce n’est qu’en vérifiant auprès du siège qu’il a réalisé que tous les participants, sauf lui, étaient des faux, créés à partir de vidéos et d’audios publics retravaillés par IA. Les vidéos étaient préenregistrées, sans interaction directe, ce qui a renforcé l’illusion [1].
  2. Le cas britannique de 220 000 euros (2019)
    Bien que plus ancien et basé sur un deepfake audio plutôt que vidéo, ce cas est souvent cité comme un précurseur. Le PDG d’une filiale britannique d’un groupe énergétique allemand a reçu un appel de ce qu’il pensait être son patron, basé en Allemagne. La voix, imitant parfaitement l’accent et les intonations du dirigeant grâce à l’IA, a demandé un virement urgent de 220 000 euros vers un compte hongrois. Un e-mail piraté a suivi pour appuyer la demande. Ce n’est qu’après un second appel suspect que le PDG a contacté le vrai dirigeant, découvrant l’arnaque alors que l’argent avait déjà été transféré [2].
  3. Fraude à 25 millions chez Arup (2024)
    La multinationale britannique Arup a été victime d’une escroquerie de 25 millions de dollars dans une affaire similaire à celle de Hong Kong. Des escrocs ont utilisé des deepfakes pour simuler une vidéoconférence avec des cadres supérieurs, incitant un employé à effectuer des virements frauduleux. Là encore, la technologie a permis de reproduire de manière convaincante les voix et visages des dirigeants, trompant la victime par une apparence hyper-réaliste [3].

Ces cas illustrent une méthode récurrente : les escrocs s’appuient sur des données accessibles (photos, vidéos YouTube, enregistrements publics) pour créer des deepfakes. Ils exploitent la confiance des employés envers leurs supérieurs et la pression d’une demande urgente ou confidentielle. Le perfectionnement croissant des deepfakes rend ces fraudes difficiles à détecter sans vérifications rigoureuses, comme des interactions en direct ou des mots de passe convenus à l’avance.

Pourquoi cette menace est-elle si efficace ?

Plusieurs facteurs expliquent le succès des deepfakes dans ce contexte :

  1. Confiance implicite : Les employés sont conditionnés à obéir rapidement aux ordres des supérieurs, surtout dans des situations présentées comme urgentes.
  2. Difficulté de détection : Même avec une vigilance accrue, repérer une voix ou une vidéo falsifiée devient une mission impossible pour l’œil humain. Preuve en est, même moi qui suis de nature méfiant, je n’ai pas pu détecter un deepfake diffusé lors d’un récent rassemblement auquel j’ai participé.
  3. Accessibilité des données : Les dirigeants, souvent publics, laissent des traces numériques (photos, podcasts, vidéos) qui servent de matière première aux algorithmes.

Comment s’en protéger ?

Face à cette menace, les entreprises doivent adapter leurs défenses. Voici quelques pistes :

  • Vérification multi-canal : Mettre en place des protocoles exigeant une confirmation via plusieurs moyens (email, appel direct, etc.) avant tout virement ou partage d’information sensible.
  • Sensibilisation des employés : Former les équipes à reconnaître les signaux d’alerte, même subtils, et à douter des demandes inhabituelles, même si elles semblent authentiques.
  • Technologies de détection : Investir dans des outils – des IA sont développées à cette fin - capables d’analyser des fichiers audio et vidéo pour y détecter des manipulations de type deepfake.
  • Réduction de l’exposition publique : Limiter la quantité de contenu personnel mis en ligne par les dirigeants ou les employés pour compliquer la tâche des faussaires.
  • Mettre en place des mots (ou phrases) de passe visuels ou audio :  cela peut paraître surréaliste mais ça deviendra probablement le meilleur moyen pour se protéger des arnaques de type usurpation d’identité par deepfake. Chaque communication devrait commencer par un protocole préétabli (ex : question secrète et réponse).

Le besoin d’un cadre légal

Si l’éducation des personnes et l’utilisation de solutions technologiques seront essentielles pour la lutte contre l’usage abusif ou détourné des deepfakes, le législateur devrait également jouer un rôle important pour dissuader les criminels. Voici un bref aperçu de ce qui existe ou en projet actuellement :

  • France : Pas de loi spécifique, mais le Code pénal (amendé en 2023) punit les deepfakes nuisibles (2 ans de prison, 45 000 € d’amende). La loi SREN (Sécuriser et Réguler l'Espace Numérique) et la loi de 2018 contre la désinformation s’appliquent aussi.
  • UE : Le DSA (2023) exige un marquage des deepfakes et responsabilise les plateformes (amendes jusqu’à 6 % du CA). L’AI Act (2024) impose la transparence pour les contenus IA, avec des règles plus strictes pour les cas risqués d’ici 2026.
  • États-Unis : Pas de loi fédérale, mais le projet de loi DEFIANCE Act (Disrupt Explicit Forged Images and Non-Consensual Edits Act) est déjà adopté à l’unanimité au Sénat en attendant son approbation par la Chambre des représentants. Néanmoins, des États comme la Californie interdisent déjà les deepfakes électoraux et pornographiques, avec des obligations de signalement.
  • Chine : Depuis janvier 2023, la loi "Deep Synthesis Provisions" régule l’utilisation des deepfakes. Elle exige le consentement des sujets, un marquage clair des contenus générés par IA, et oblige les fournisseurs de solutions à base de deepfakes à offrir des outils pour lutter contre la désinformation.
À lire aussi
Cadre légal de l’intelligence artificielle : tour d’horizon

Conclusion

L’essor fulgurant des deepfakes dans les arnaques en tout genre met en lumière une réalité troublante : la technologie progresse à une vitesse qui dépasse largement notre capacité à la maîtriser. D’un côté, elle ouvre des perspectives fascinantes, que ce soit dans le cinéma, la communication ou encore le recrutement, comme nous l’avons déjà évoqué. De l’autre, elle s’impose désormais comme une arme redoutable entre les mains des criminels. Face à cette menace grandissante, les entreprises, qu’elles soient petites ou grandes, n’ont d’autre choix que d’intégrer cette nouvelle donne dans leurs stratégies de cybersécurité.

Pour conclure, je le répète souvent : l’intelligence artificielle n’est ni bonne ni mauvaise en soi. Comme tout outil, sa puissance peut impressionner, voire effrayer, mais son impact dépendra uniquement de l’usage que nous en ferons. À nous de relever le défi et d’en tirer le meilleur !

Sources :

[1] https://edition.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk 

[2] https://www.wsj.com/articles/fraudsters-use-ai-to-mimic-ceos-voice-in-unusual-cybercrime-case-11567157402  

[3] https://edition.cnn.com/2024/05/16/tech/arup-deepfake-scam-loss-hong-kong-intl-hnk/index.html 

[4] https://www.lefigaro.fr/faits-divers/une-candidate-allait-demissionner-comment-des-arnaqueurs-ont-piege-130-personnes-avec-un-faux-recrutement-20221213 

[5] https://www.fbi.gov/contact-us/field-offices/elpaso/news/press-releases/fbi-warns-cyber-criminals-are-using-fake-job-listings-to-target-applicants-personally-identifiable-information 

[6] https://www.ic3.gov/PSA/2022/psa220628 

Ne manquez rien !

Chaque mois, recevez un récap des derniers articles publiés directement dans votre boîte mail. 

À propos de l'auteur·e
Boussad Addad, Ph.D
Boussad
Addad
Linkedin

Chercheur dans un laboratoire privé spécialisé en intelligence artificielle. Docteur diplômé de l'École Normale Supérieure de Paris-Saclay, il a reçu en 2013 à Strasbourg le prix de la meilleure thèse de doctorat en France.

Nos articles similaires
4 façons d'utiliser les SMS dans vos stratégies de recrutement

4 façons d'utiliser les SMS dans vos stratégies de recrutement

Maëlle
Maëlle
Le
26
/
04
/
2021
Pourquoi utiliser des tests de personnalité en entretien d'embauche ?

Pourquoi utiliser des tests de personnalité en entretien d'embauche ?

Julien
Julien
L.
Le
17
/
06
/
2020
Qu'est-ce qu'un ATS ? L'outil de recrutement indispensable

Qu'est-ce qu'un ATS ? L'outil de recrutement indispensable

Léa
Léa
D.
Le
22
/
10
/
2019
Voir tous les articlesVoir tous les articles