Imagine : tu es au boulot, journée chargée. Ton téléphone sonne. Ton “DG” (ou ton “responsable”, ou un “prestataire”) a une voix reconnaissable, le ton pressé :
« Je suis en réunion, j’ai besoin que tu fasses un virement tout de suite. Je t’envoie l’IBAN par mail/WhatsApp. »
Ce scénario n’est plus de la science-fiction. En 2026, ce qui explose, ce ne sont pas seulement les failles techniques : ce sont les arnaques d’ingénierie sociale rendues beaucoup plus crédibles par l’IA (clonage de voix, deepfakes, messages hyper bien écrits, traduction automatique).
Et c’est un sujet très actuel parce qu’il vise tout le monde :
- le particulier (arnaques “romance”/investissement),
- l’entreprise (fraude au président / faux fournisseur / faux support),
- et pile dans une période sensible : saison des impôts / démarches administratives, où l’usurpation “officielle” fonctionne très bien.
1) Le vrai changement : l’IA réduit le “coût” de l’arnaque
Avant, pour arnaquer “proprement”, il fallait :
- écrire correctement,
- connaître un minimum la victime,
- être crédible au téléphone,
- et faire ça… une personne à la fois.
Aujourd’hui, l’IA permet de :
- produire des messages qui sonnent “corporate”,
- imiter un ton (urgence, autorité, empathie),
- cloner une voix à partir de quelques extraits publics,
- mener plusieurs conversations en parallèle, sans fatigue.
Ce qui rend le piège dangereux, c’est que tu n’es pas attaqué sur tes compétences, mais sur tes réflexes humains : rendre service, ne pas bloquer, être “réactif”.
2) Les 3 arnaques IA qui montent très fort (et qui touchent les équipes IT)
A) La fraude “au patron” version 2026 : mail + appel + WhatsApp (multi-canal)
C’est le combo le plus efficace :
- un mail “banal” (ou une facture),
- puis un appel (voix clonée / numéro usurpé),
- puis un message WhatsApp/Teams “pour aller vite”.
Le but : te faire sortir du process (“je valide après”, “c’est exceptionnel”).
C’est aussi pour ça que des autorités financières alertent explicitement sur l’usage de deepfakes dans des fraudes et des virements.
B) “Pig butchering” : romance + investissement + crypto (arnaque longue)
Tu penses discuter avec une vraie personne. La relation se construit sur des semaines. Puis vient “l’opportunité”.
Les autorités et régulateurs décrivent ces schémas comme de la relationship investment fraud, souvent boostée par faux profils / images / voix.
C) Usurpation “administration / impôts / banque”
Autour des périodes de démarches, les attaquants imitent :
- un conseiller bancaire,
- un service d’impôts,
- un support “sécurité”.
Et l’IA rend tout plus “propre” : discours, scripts, accent, visio, etc.
3) Les signaux faibles qui doivent te mettre en mode “procédure”, pas en mode “discussion”
Tu n’as pas besoin de repérer “l’arnaque parfaite”. Tu as besoin de repérer les moments où une procédure doit prendre le relais :
- Urgence + secret : “ne préviens personne”, “c’est confidentiel”.
- Changement de canal : “réponds sur WhatsApp”, “appelle-moi sur ce numéro”.
- Exception au process : “juste cette fois”, “après je régularise”.
- Demande d’argent / accès / MFA : virement, cartes cadeaux, réinitialisation, partage de code.
- Qualité trop parfaite (oui, c’est un signal) : message sans fautes, très “corporate”, trop aligné.
4) La meilleure défense : des “politiques explicites” (et là, le Kanban aide vraiment)
Si tu veux un angle “blog IT + Kanban”, le plus puissant c’est de le dire comme ça :
Une arnaque réussit quand elle te fait bypasser un flux.
Donc on répond… par du flux.
Politique explicite n°1 : “Aucun virement / changement d’IBAN sans double validation hors bande”
- Hors bande = pas dans le même canal que la demande.
- Ex : si la demande arrive par mail, validation par appel sur un numéro connu (annuaire interne), pas celui fourni dans le mail.
Politique explicite n°2 : “Toute demande ‘urgente’ déclenche un check 2 minutes”
Deux minutes, c’est rien. Mais c’est juste assez pour casser l’emprise de l’urgence.
Checklist express :
- Qui a initié ? canal ? contexte ?
- Est-ce une exception ?
- Est-ce que ça touche l’argent, les accès, les identités ?
- Est-ce validé via un canal indépendant ?
Politique explicite n°3 : “MFA ≠ preuve d’identité”
L’attaquant peut te faire valider un push MFA (“oui oui, c’est moi”).
Donc : MFA oui, mais avec vérification de contexte (et formation).
5) Mesures simples (particulier + pro) qui réduisent 80% du risque
Pour toi (perso)
- Ne jamais envoyer d’argent à quelqu’un rencontré en ligne, même si “ça fait des semaines”.
- Exiger un échange vidéo spontané + questions “réalité” (pas scriptables).
- Se méfier des investissements “trop fluides” (plateforme qui affiche des gains mais bloque les retraits).
Pour l’entreprise
- Mettre par écrit : process de changement d’IBAN + rappel aux équipes.
- Ajouter une règle : “toute demande de paiement doit passer par le système” (ERP/ticketing), pas par messagerie.
- Sensibilisation courte et régulière (micro-scénarios), pas une formation annuelle oubliée.
Synthèse
Sources (avec liens)
- Vox — Is it love? Or is it an AI romance scam? : https://www.vox.com/future-perfect/479200/ai-romance-scams-valentines-day
- Forbes — Taxpayers Face Harder To Detect Scams This Season. Blame AI : https://www.forbes.com/sites/kellyphillipserb/2026/02/20/taxpayers-face-harder-to-detect-scams-this-season-blame-ai/
- FBI (Chicago) — Romance scams / chiffres IC3 : https://www.fbi.gov/contact-us/field-offices/chicago/news/fbi-chicago-releases-public-service-announcement-raising-awareness-on-romance-scams-and-confidence-fraud
- CFTC — Relationship Investment Scams (“pig butchering”) : https://www.cftc.gov/PressRoom/PressReleases/9181-26
- FBI — Operation Level Up (pig butchering / crypto investment fraud) : https://www.fbi.gov/how-we-can-help-you/victim-services/national-crimes-and-victim-resources/operation-level-up
- FinCEN (US Treasury) — Alerte deepfakes & fraude financière (PDF) : https://www.fincen.gov/system/files/shared/FinCEN-Alert-DeepFakes-Alert508FINAL.pdf
- DoD/CSI — Contextualizing Deepfake Threats to Organizations (PDF) : https://media.defense.gov/2023/Sep/12/2003298925/-1/-1/0/CSI-DEEPFAKE-THREATS.PDF
- FTC — Conseils sur les romance scams : https://consumer.ftc.gov/articles/what-know-about-romance-scams
