Comment un faux candidat se fait embaucher, et pas seulement comment il vous escroque

La plupart des dirigeants redoutent aujourd'hui le deepfake qui attaque depuis l'extérieur : la voix clonée d'un directeur financier validant un virement, l'appel vidéo qui se révèle synthétique. Le schéma décrit dans les alertes de juin 2026 de cabinets tels que Skadden et Crowell fonctionne dans l'autre sens. Ici, le deepfake ne téléphone pas pour commettre une fraude. Il postule à un emploi. Il réussit l'entretien vidéo en direct, soumet un portfolio généré par IA et un parcours professionnel qui paraît irréprochable, et présente une identité volée ou empruntée qui passe une vérification d'antécédents standard. Il est ensuite embauché dans un poste d'ingénierie ou d'informatique à distance, et personne dans votre entreprise n'a jamais rencontré la personne derrière l'écran.

Les rapports décrivent des opérateurs liés à des États utilisant ces méthodes à grande échelle. Une fois à l'intérieur, le travailleur perçoit un salaire, obtient un accès légitime au code et aux données clients, et, dans des affaires documentées, achemine ses gains à l'étranger, parfois pendant qu'un complice domestique héberge l'ordinateur portable de l'entreprise dans ce que l'on appelle une ferme d'ordinateurs portables afin de masquer la localisation réelle. Les procureurs ont cité bien plus d'une centaine d'entreprises victimes dans divers secteurs. Le point inconfortable pour un dirigeant, c'est que la fraude n'est pas un simple virement volé que l'on peut récupérer. C'est une personne sur votre paie, avec un badge, un identifiant et du temps.

Pourquoi l'exposition retombe sur vous, l'entreprise qui les a recrutés

L'instinct pousse à considérer qu'une entreprise trompée par une opération professionnelle est simplement une victime, et dans une certaine mesure les alertes décrivent bien les entreprises recruteuses ainsi. La réalité plus dure, c'est que le risque en aval retombe malgré tout sur l'employeur. Si un opérateur exfiltre du code source, des dossiers clients ou des secrets commerciaux, vous portez les obligations de violation de données et de notification. S'il a touché à une technologie contrôlée, vous portez la question du contrôle des exportations. Et lorsqu'une juridiction sous sanctions est impliquée, la responsabilité au titre des sanctions peut s'appliquer sur une base de responsabilité objective, ce qui signifie que l'exposition peut exister même lorsque l'entreprise ne savait pas qui elle payait réellement. Les alertes ne décrivent aucune zone de sécurité explicite qui blanchirait une embauche involontaire.

Rien de tout cela n'est une prédiction sur votre entreprise, et rien ici ne constitue un conseil juridique ni une accusation contre un individu. Il s'agit de la description d'un schéma que les régulateurs et les cabinets d'avocats signalent désormais, et de l'endroit où en retombent les conséquences. Jusqu'à présent, l'application de la loi a largement traité les entreprises recruteuses comme des victimes plutôt que comme des cibles, mais les mêmes recommandations laissent entendre qu'une entreprise dotée de faibles contrôles d'embauche et de surveillance se trouve dans une position très différente de celle qui peut prouver qu'elle a vérifié. Pour une entreprise à distance d'abord qui recrute des ingénieurs à qui vous ne serrerez jamais la main, cette distinction est le coeur de la partie.

Ce que les dirigeants qui recrutent des ingénieurs à distance devraient réellement vérifier

Les défenses ne sont pas exotiques et ne sont pas coûteuses au regard de l'exposition. Vérifiez correctement la vivacité au lieu de supposer qu'une caméra qui fonctionne signifie une personne réelle : une étape en personne lorsque c'est faisable, ou des techniques d'entretien suffisamment robustes pour mettre à l'épreuve un flux synthétique, comme demander au candidat de bouger, de brandir un objet ou de changer le décor à la demande. Vérifiez les diplômes et les références de manière indépendante, en contactant les établissements et les anciens employeurs par des canaux que vous trouvez vous-même plutôt que par les numéros de téléphone et les adresses e-mail fournis par le candidat. Traitez les documents d'identité comme quelque chose à confirmer par rapport à la personne, et pas seulement à collecter.

Deux contrôles opérationnels accomplissent beaucoup de travail discret. N'expédiez le matériel de l'entreprise qu'à l'adresse vérifiée figurant sur le document d'identité, jamais à une adresse de réexpédition ni à un point de dépôt, ce qui casse directement le mécanisme de la ferme d'ordinateurs portables. Et exigez une authentification multifacteur matérielle liée à l'appareil délivré, afin qu'une connexion depuis un pays inattendu ne passe pas simplement sans encombre. Guettez les indices qui reviennent dans les rapports : géographies de connexion incohérentes, réticence à apparaître à la caméra dans des conditions changeantes, et pression pour acheminer la paie ou le matériel ailleurs qu'à l'identité vérifiée. Posez aux RH et à l'informatique, ensemble, une question sur vos dernières embauches à distance : pourrions-nous prouver, aujourd'hui, que chacune d'elles est bien celle qu'elle a prétendu être.