En février 2024, une grande entreprise a été victime d’une escroquerie générée par l’IA, entraînant une perte de 40 millions de dollars.
La faille s’est produite lorsqu’un employé a assisté à son insu à une réunion virtuelle entièrement peuplée d’imitations profondes générées par l’IA.
Ces faux ont usurpé l’identité du directeur financier de l’entreprise, de collègues et de partenaires externes avec une précision étonnante, ce qui a donné lieu à des transactions financières non autorisées qui n’ont été révélées qu’une fois le mal fait.
Cet incident illustre la sophistication croissante des cyber-escroqueries basées sur l’intelligence artificielle.
La capacité de l’IA à créer des contrefaçons audio et vidéo hyperréalistes fait qu’il est de plus en plus difficile, même pour des employés bien formés, de faire la différence entre des communications légitimes et des communications frauduleuses.
Les entreprises s’appuient depuis longtemps sur la formation des utilisateurs comme première ligne de défense contre les escroqueries par hameçonnage et autres menaces de cybersécurité.
Toutefois, à mesure que les escroqueries fondées sur l’IA progressent, cette approche montre ses limites.
L’hypothèse selon laquelle les utilisateurs peuvent identifier et neutraliser les menaces de manière fiable est de plus en plus remise en question par la sophistication de ces escroqueries.
La nécessité d’un changement stratégique en matière de cybersécurité est évidente.
Plutôt que de laisser aux employés le soin de reconnaître et d’éviter les escroqueries, les organisations devraient investir dans des mesures de cybersécurité globales qui empêchent ces menaces d’atteindre les utilisateurs en premier lieu.
Défis liés à la formation des utilisateurs
Les escrocs d’aujourd’hui sont des professionnels hautement spécialisés qui consacrent leur temps à l’élaboration d’escroqueries complexes et convaincantes.
Contrairement aux employés qui jonglent avec plusieurs tâches, les cybercriminels se concentrent uniquement sur leur objectif : tromper les cibles.
Le fait de se concentrer sur un seul objectif confère aux escrocs un avantage considérable.
Ils passent souvent des semaines, voire des mois, à concevoir une seule attaque, en peaufinant chaque détail pour en accroître l’efficacité.
Grâce aux outils d’IA, ces criminels sont devenus encore plus redoutables, les aidant à automatiser et à étendre leurs opérations, à créer des attaques de phishing plus sophistiquées et personnalisées, de plus en plus difficiles à identifier pour l’utilisateur moyen.
Des niveaux de sophistication plus élevés nécessitent une stratégie de défense qui ne se contente pas de compter sur les utilisateurs pour déjouer ces adversaires habiles.
Votre équipe est payée pour travailler, pas pour lutter contre la cybercriminalité
Les employés se rendent au travail dans le but premier de s’acquitter de leurs responsabilités professionnelles, et non de repérer d’éventuelles menaces pour la sécurité.
Ils se concentrent généralement sur le respect des délais, la réalisation des objectifs et la contribution aux fonctions essentielles de l’entreprise, et non sur la cybersécurité.
Cette réalité met en évidence une faille importante dans le fait de compter sur la formation des utilisateurs comme principal mécanisme de défense.
La cybersécurité n’étant pas leur principale responsabilité, les employés peuvent ne pas avoir le temps ou l’expertise nécessaire pour identifier systématiquement les tentatives d’hameçonnage sophistiquées.
Il n’est pas réaliste d’attendre des employés qu’ils constituent une ligne de défense fiable et ils sont soumis à une pression excessive qui les oblige à accomplir des tâches qui ne relèvent pas de leurs fonctions principales.
Comment les escrocs exploitent les raccourcis de votre cerveau
Réflexion rapide contre réflexion lente : la bataille dans votre boîte de réception
Les travaux de Daniel Kahneman en psychologie cognitive, notamment dans son livre Penser vite et lentementLe rapport de la Commission européenne sur l’hameçonnage, le phishing et la fraude, fournit des informations précieuses sur les raisons de l’efficacité des escroqueries.
La pensée humaine se divise en deux systèmes :
- Premier système : La pensée est rapide, automatique et intuitive.
C’est le type de pensée que nous utilisons lorsque nous effectuons des tâches routinières, comme lire et répondre à des courriels.
C’est un système qui fonctionne en pilote automatique et qui nous permet de traiter rapidement les informations sans analyse approfondie.
- Deuxième système : La pensée est lente, délibérée et analytique.
Elle est activée lorsque nous devons résoudre des problèmes complexes ou prendre des décisions qui nécessitent une réflexion approfondie.
Les attaques de phishing sont conçues pour exploiter la pensée du premier système.
Les escrocs conçoivent des courriels qui déclenchent une réaction émotionnelle immédiate, comme l’urgence ou la peur, ce qui incite le destinataire à agir rapidement sans faire appel à son système de pensée plus analytique, le système 2.
Ce type de manipulation psychologique permet aux employés de devenir facilement la proie d’escrocs, car ils réagissent instinctivement à la menace ou à l’opportunité qu’ils perçoivent.
Comment les escrocs exploitent la rapidité d’esprit pour gagner
Étant donné le volume de courriels et de messages que les employés traitent quotidiennement, il n’est pas réaliste d’attendre d’eux qu’ils s’engagent dans un mode de pensée de type « système 2 » pour chaque interaction.
Le rythme rapide des environnements de travail modernes encourage les réponses rapides, ce qui renforce la pensée du système un.
Les escrocs en sont bien conscients et conçoivent leurs attaques de manière à s’aligner sur la façon dont les gens traitent naturellement l’information.
Ils utilisent des tactiques telles que la création d’un sentiment d’urgence, la présentation de demandes autoritaires ou l’imitation de styles de communication familiers, qui poussent les employés à réagir rapidement plutôt qu’à réfléchir de manière critique.
Il n’est pas réaliste d’attendre des employés qu’ils ralentissent constamment leur rythme de travail et analysent chaque courriel.
Une telle charge cognitive est peu pratique et inefficace.
Les entreprises doivent cesser de s’appuyer sur la vigilance humaine pour mettre en place des défenses technologiques capables d’intercepter ces escroqueries avant qu’elles n’atteignent l’utilisateur.
La nécessité d’améliorer les mesures de cybersécurité
En matière de cybersécurité, la distinction entre les contrôles de détection et de protection est essentielle.
Les contrôles de détection, tels que la surveillance et l’enregistrement, sont conçus pour identifier et alerter sur les menaces potentielles après qu’elles se soient produites.
Les contrôles de protection, quant à eux, ont pour but d’empêcher les menaces de se produire.
Les humains excellent dans leur rôle de détective, en identifiant les anomalies, en reconnaissant les schémas et en faisant preuve de discernement lorsque quelque chose ne va pas.
En revanche, ils ne sont pas aussi efficaces dans des rôles de protection où l’on attend d’eux qu’ils empêchent les menaces de se concrétiser.
S’appuyer sur les utilisateurs pour agir comme des contrôles de protection suppose qu’ils peuvent systématiquement détecter et arrêter les menaces avant qu’elles ne causent des dommages, ce qui est une hypothèse erronée compte tenu de la nature sophistiquée des cybermenaces modernes.
Les stratégies de cybersécurité devraient donc se concentrer sur le déploiement de contrôles de protection complets qui empêchent les contenus malveillants d’atteindre les utilisateurs.
Cette approche réduit la dépendance à l’égard de l’intervention humaine et diminue le risque d’attaques réussies.
Renforcez vos cyberdéfenses en faisant confiance à la technologie plutôt qu’à la formation
Avec la complexité croissante des cybermenaces, en particulier celles améliorées par l’IA, il est essentiel de donner la priorité aux contrôles technologiques plutôt qu’à la formation traditionnelle des utilisateurs.
Si la sensibilisation des utilisateurs reste importante, elle ne doit pas être le principal mécanisme de défense.
Les passerelles avancées de sécurité des e-mails équipées d’IA peuvent analyser et filtrer les contenus potentiellement dangereux avant qu’ils n’atteignent la boîte de réception d’un employé.
Les nouveaux outils pilotés par l’IA peuvent apprendre à partir de grandes quantités de données, en identifiant des modèles et en détectant des indicateurs subtils d’intentions malveillantes qui pourraient échapper à un être humain.
En utilisant les mêmes technologies que celles utilisées par les escrocs pour concevoir leurs attaques, les organisations peuvent réduire la probabilité de réussite des tentatives d’hameçonnage.
L’investissement dans ces technologies améliorera la sécurité et allégera le fardeau des employés, leur permettant de se concentrer sur leurs responsabilités principales sans la pression constante d’être la dernière ligne de défense.
Comment déjouer les attaques de phishing avant qu’elles ne commencent
L’authentification multifactorielle (AMF) résistante au phishing est un outil précieux dans la lutte contre le vol de données d’identification.
Contrairement à l’authentification multifactorielle traditionnelle, qui peut encore être vulnérable à des attaques de phishing sophistiquées, l’authentification multifactorielle résistante au phishing utilise des méthodes qui sont beaucoup plus difficiles à contourner pour les attaquants.
Par exemple, les méthodes d’authentification basées sur FIDO2 nécessitent une clé physique ou une vérification biométrique, ce qui rend l’accès presque impossible aux escrocs, même s’ils parviennent à pirater les informations d’identification d’un utilisateur.
La mise en œuvre d’un système d’authentification multifonctionnel résistant à l’hameçonnage dans tous les systèmes et comptes devrait être une priorité absolue pour les organisations.
Bien qu’aucune mesure de sécurité ne soit infaillible, cette approche réduit considérablement le risque d’attaques basées sur les informations d’identification, qui sont parmi les formes les plus courantes et les plus préjudiciables de cybermenaces.
Empêchez les logiciels malveillants d’entrer grâce à des proxies intelligents et à l’IA
Pour se défendre contre les téléchargements de logiciels malveillants, les entreprises doivent déployer des systèmes de proxy robustes qui filtrent le trafic web et surveillent les contenus malveillants.
Les proxy peuvent être améliorés avec des capacités d’intelligence artificielle pour détecter et bloquer les logiciels malveillants avant qu’ils n’atteignent le point d’extrémité.
En analysant les schémas de trafic et en les comparant aux menaces connues, les proxys dotés d’une intelligence artificielle peuvent identifier des comportements suspects pouvant indiquer une infection par un logiciel malveillant.
L’intégration de l’IA dans ces systèmes permet une détection des menaces plus dynamique et adaptative, car la technologie peut apprendre à partir de nouvelles données et évoluer en réponse aux menaces émergentes.
Une approche proactive réduit le risque d’infections et garantit que seul un contenu sûr et vérifié atteint l’appareil de l’utilisateur.
Ne laissez pas passer les pièces jointes contenant des logiciels malveillants
Les pièces jointes aux courriels demeurent un vecteur important de distribution de logiciels malveillants, d’où la nécessité pour les entreprises de filtrer ces pièces jointes à la périphérie du réseau avant qu’elles n’atteignent les boîtes de réception des utilisateurs.
Les solutions avancées de filtrage du courrier électronique peuvent analyser les pièces jointes à la recherche de signatures et de comportements de logiciels malveillants connus, en signalant ou en mettant en quarantaine les fichiers suspects avant qu’ils ne causent des dommages.
Investir dans ces contrôles techniques signifie que les utilisateurs sont la dernière ligne de défense, et non la première.
En empêchant les pièces jointes malveillantes d’atteindre les utilisateurs en premier lieu, les organisations réduisent la probabilité d’une attaque réussie.
Le rôle de la formation des utilisateurs dans une stratégie de défense globale
Si les contrôles techniques avancés sont la chose la plus importante, la formation des utilisateurs joue encore un rôle en tant que dernière couche de défense.
Les programmes de formation efficaces doivent aider les employés à reconnaître les signaux d’alerte les plus évidents dans les tentatives de phishing, comme les demandes de cartes-cadeaux, les demandes de transactions importantes et inhabituelles, ou les demandes urgentes qui s’écartent des procédures standard.
La formation doit être pratique et axée sur des scénarios réels auxquels les employés sont susceptibles d’être confrontés.
Cependant, il est important de reconnaître que la formation ne peut pas être la seule stratégie de défense.
Les utilisateurs sont humains et sujets à des erreurs, en particulier lorsqu’ils sont sous pression.
La formation doit compléter, et non remplacer, les défenses techniques plus complètes qui constituent le fondement de la stratégie de cybersécurité d’une organisation.
Créez des processus commerciaux que les escrocs ne peuvent pas décrypter
En plus de la formation, les organisations devraient mettre en place des processus commerciaux résistants aux escroqueries qui ajoutent une couche supplémentaire de sécurité.
Par exemple, vérifier toute modification du compte bancaire d’un fournisseur par un appel téléphonique, plutôt que de se fier uniquement au courrier électronique, peut empêcher les escroqueries par courrier électronique d’entreprise (BEC) qui aboutissent à des paiements frauduleux.
Les processus améliorés doivent être conçus pour minimiser les risques en exigeant des étapes de vérification supplémentaires pour les transactions qui sortent de la norme.
En intégrant la sécurité dans les activités quotidiennes de l’entreprise, les organisations peuvent créer un environnement plus résilient, moins susceptible de faire l’objet de tentatives d’escroquerie, même lorsque les employés sont visés.
Les mots-codes permettent de déjouer les contrefaçons profondes
À mesure que l’IA se développe, la menace de la technologie « deep fake » devient plus prononcée, en particulier dans les scénarios à fort enjeu impliquant des cadres de haut niveau.
Une contre-mesure efficace consiste à utiliser des phrases partagées ou des codes d’accès lors des communications sensibles.
Les codes constituent une forme d’authentification à deux facteurs, permettant de vérifier que les deux parties à la conversation sont bien celles qu’elles prétendent être.
Les phrases secrètes ne doivent être connues que des personnes concernées et ne doivent pas être facilement devinées ou découvertes par le biais des médias sociaux ou d’autres canaux publics.
Par exemple, un directeur financier et un directeur général peuvent convenir d’une phrase unique et non évidente à utiliser lors d’un appel téléphonique concernant une transaction importante.
Les mots de code ajoutent une couche supplémentaire de sécurité, rendant plus difficile pour les faussaires de tromper les décideurs clés.
Principaux enseignements pour renforcer la cybersécurité grâce à l’IA et aux défenses multicouches
Le concept de défense en profondeur reste plus que jamais d’actualité.
Les organisations doivent déployer plusieurs couches de contrôles de sécurité, chacune étant conçue pour remédier à des vulnérabilités spécifiques.
En intégrant diverses mesures défensives, du filtrage des courriels alimenté par l’IA au MFA résistant au phishing, les entreprises peuvent créer un dispositif de sécurité complet qui s’adapte à l’évolution des menaces.
Alors que les cybercriminels utilisent de plus en plus l’IA pour améliorer leurs attaques, il est impératif que les équipes de cybersécurité adoptent des technologies similaires pour se défendre contre ces menaces.
L’IA offre des avantages significatifs dans la détection et l’atténuation des risques qui sont trop subtils ou complexes pour être détectés uniquement par l’homme.
En intégrant l’IA dans leurs stratégies de cybersécurité, les organisations peuvent garder une longueur d’avance sur les attaquants.
Aucune solution unique ne peut répondre à toutes les cybermenaces.
Une approche équilibrée combinant des contrôles techniques, la formation des utilisateurs et l’amélioration des processus est essentielle.
Les organisations doivent veiller à ne pas trop se reposer sur un seul aspect de leur stratégie de cybersécurité.
En diversifiant leurs défenses, les entreprises peuvent réduire le risque d’attaques réussies et se doter d’un cadre de cybersécurité plus résilient.