Qu'est-ce que le whaling ?
Le whaling — littéralement « chasse à la baleine » — est une forme de spear phishing qui cible exclusivement les cadres dirigeants d'une entreprise : directeur général, directeur financier, directeur des ressources humaines, membres du COMEX. Contrairement au phishing classique envoyé en masse, le whaling repose sur une préparation minutieuse : l'attaquant étudie l'organigramme, les habitudes de communication, les projets en cours et les relations professionnelles de sa cible avant de frapper.
Le terme « whaling » fait référence à la taille de la proie : quand le phishing classique pêche en masse de petits poissons, le whaling vise une seule baleine — mais le gain potentiel est considérablement plus élevé.
La fraude au président : le scénario type
La fraude au président (ou « arnaque au président », « CEO fraud ») est la variante la plus connue du whaling en France. Le scénario type se déroule en trois actes :
Acte 1 — La reconnaissance. L'attaquant identifie le DG et le DAF de l'entreprise via LinkedIn, le registre du commerce, les communiqués de presse. Il repère les moments propices : voyage du DG à l'étranger, période de clôture comptable, vendredi après-midi quand les validations sont plus lâches.
Acte 2 — L'usurpation. Il contacte le DAF (ou le comptable) par email ou téléphone en se faisant passer pour le DG. Le message invoque une opération confidentielle, urgente, souvent liée à une acquisition ou un litige : « Je suis en négociation confidentielle. J'ai besoin que vous effectuiez un virement de 180 000 € aujourd'hui. Ne parlez de cette opération à personne — c'est stratégique. Mon avocat Me Dupont vous contactera pour les coordonnées bancaires. »
Acte 3 — L'extraction. Un complice se faisant passer pour l'avocat envoie les coordonnées du compte bénéficiaire (souvent à l'étranger). Le virement est effectué. Une fois les fonds transférés, ils sont immédiatement dispersés sur des comptes intermédiaires, rendant le rappel quasi impossible après 48 heures.
Des pertes qui se chiffrent en millions
La fraude au président fait des ravages en France et à l'international. Un grand groupe français du divertissement a perdu 19,2 millions d'euros après que sa filiale étrangère a exécuté des virements frauduleux ordonnés par un faux DG. En 2024, un cabinet de conseil international a perdu 25 millions de dollars après qu'un collaborateur a participé à une visioconférence avec des deepfakes de plusieurs collègues — tous générés par IA.
En France, le parquet de Paris estime que la fraude au président représente plusieurs centaines de millions d'euros de préjudice par an. Les PME et ETI sont particulièrement touchées car elles disposent rarement de procédures de double validation systématique pour les virements.
Le whaling à l'ère des deepfakes
L'IA a fait franchir un cap au whaling. En 2026, les attaquants disposent de trois nouvelles armes redoutables :
Le clonage vocal. Il suffit de 3 à 5 secondes d'enregistrement audio (extrait d'interview, message vocal, vidéo YouTube) pour reproduire fidèlement la voix d'un dirigeant. L'attaquant peut alors appeler le DAF en se faisant passer pour le DG — avec sa vraie voix.
Le deepfake vidéo en temps réel. Un cas récent l'a démontré : il est désormais possible de simuler le visage et la voix de plusieurs personnes lors d'une visioconférence Teams ou Zoom. Le collaborateur voit et entend ses collègues — mais ce ne sont que des avatars IA.
Les emails parfaits. L'IA générative produit des emails qui reproduisent le style d'écriture du dirigeant imité : formules de politesse habituelles, niveau de formalité, signature. Les signaux classiques de détection sont neutralisés.
Face à ces technologies, les procédures organisationnelles deviennent la seule défense fiable. Un email ou un appel, aussi convaincant soit-il, ne doit jamais suffire à déclencher un virement.
Testez la résistance de votre COMEX au whaling
ThinkTwice conçoit des simulations de whaling personnalisées pour les équipes dirigeantes — scénarios réalistes, pédagogie confidentielle.
Découvrir nos simulations5 mesures pour se protéger du whaling
1. Procédure de double validation pour tout virement significatif
Aucun virement supérieur à un seuil défini (10 000 €, par exemple) ne doit pouvoir être exécuté sur la base d'un seul email ou appel. Instaurez une double validation obligatoire : appel de confirmation au numéro enregistré dans l'annuaire interne (pas celui fourni dans l'email), validation par un second signataire, ou code de confirmation envoyé par un canal séparé.
2. Former spécifiquement les assistants et le service financier
Les assistants de direction, comptables et DAF sont les cibles privilégiées de la fraude au président. Ils doivent recevoir une formation dédiée aux scénarios de whaling, avec des mises en situation réalistes. Insistez sur un point : aucun dirigeant légitime ne demandera jamais de contourner les procédures de validation.
3. Définir un mot de passe de vérification interne
Établissez un code verbal confidentiel (« mot de passe du jour », « phrase de sécurité ») connu uniquement du DG et du DAF. En cas de demande de virement urgente, le DAF demande ce code. L'attaquant, même avec un deepfake vocal parfait, ne le connaît pas.
4. Limiter l'exposition des dirigeants en ligne
Plus un dirigeant est visible en ligne (interviews vidéo, podcasts, posts LinkedIn avec nom et fonction), plus il est facile de l'imiter. Sans tomber dans la paranoïa, sensibilisez le COMEX à la discrétion numérique : limiter les informations d'organigramme publiques, éviter les vidéos longues qui facilitent le clonage vocal.
5. Simuler des attaques de whaling
La meilleure façon de préparer les équipes est de les exposer à des simulations réalistes dans un cadre bienveillant. Un exercice de fraude au président par trimestre, debriefé avec le COMEX, ancre les réflexes bien plus efficacement qu'une formation théorique annuelle.