Redéfinition du paysage des risques : multimodal, en temps réel et avec des risques toujours plus élevés
L’IA a accéléré l’ampleur et la complexité des attaques de phishing, réduisant considérablement le temps disponible pour l’intervention humaine. Check Point Software Technologies Ltd. avance une série de mesures à prendre au plus vite…
« Les erreurs humaines restent la vulnérabilité la plus exploitée dans la chaîne de sécurité. » Le message n’est pas nouveau. Mais il doit être répété. Semaine après semaine, nous sommes submergés d’informations sur les attaques de phishing. L’émergence de la GenAI a clairement fait passer le social engineering et le phishing à un niveau supérieur.
Ce qui devait auparavant être fait manuellement peut désormais être généré en quelques secondes, ce qui se traduit par des messages hyper-personnalisés, des voix clonées de cadres supérieurs et même des imitations vidéo réalistes. Les incidents liés aux deepfakes sont passés du statut de « curiosité » en ligne à celui de risque réel pour les entreprises, entraînant des pertes financières et des perturbations opérationnelles pour les organisations du monde entier.
L’IA permet de développer le social engineering en temps réel via plusieurs canaux. Ainsi, un employé financier à Hong Kong a été trompé lors d’un faux appel vidéo avec des identités clonées de dirigeants, ce qui a entraîné un virement de 25 millions USD.
L’e-mail bientôt obsolète
Même sur les plateformes où la collaboration en ligne est quotidienne, il est devenu de plus en plus difficile de vérifier les identités. Grâce aux clones faciaux et vocaux en temps réel, de nombreux signaux d’alerte traditionnels ont disparu, rendant les escroqueries plus difficiles à détecter que jamais.
Ainsi, lors d’une conversation Teams, plusieurs employés de Ferrari ont été confrontés à un « CEO » suspect. Une question d’identité posée au bon moment a permis de mettre fin à l’escroquerie. Cela montre à quel point les procédures de vérification peuvent être efficaces.
Des rapports montrent que les techniques de deepfake en temps réel, initialement utilisées dans le cadre d’escroqueries sentimentales et d’offres d’emploi frauduleuses, font désormais leur apparition dans les environnements d’ingénierie sociale des entreprises, où la rapidité de la prise de décision et la faiblesse des indicateurs de fiabilité augmentent les risques.
Des attaques de plus en plus personnalisées
Soyons clairs : à mesure que le paysage des menaces évolue, les organisations ont besoin de mécanismes de défense modernes et de programmes de sensibilisation plus intelligents, adaptés à la réalité de l’ère de l’IA. C’est pourquoi Check Point Infinity Global Services a récemment élargi son portefeuille de formations afin d’aider les équipes de cybersécurité à renforcer les environnements intégrant l’IA et à acquérir les compétences nécessaires pour les sécuriser.
Alors que la technologie continue d’évoluer, les attaquants s’appuient toujours sur le même point d’accès : les personnes. Les erreurs humaines restent la vulnérabilité la plus exploitée dans la chaîne de sécurité.
L’IA a transformé le phishing d’une manière que les programmes de sensibilisation traditionnels ne peuvent pas anticiper. Les attaques sont désormais très personnalisées, les LLM rédigeant des messages qui imitent ceux des dirigeants, des collègues ou des fournisseurs en utilisant un contexte réel. Les adversaires peuvent générer et tester des dizaines de variantes en quelques minutes, passer de l’e-mail au chat, à la voix et à la vidéo, et exercer une pression en temps réel grâce à des conversations en direct convaincantes. Les indices traditionnels tels que les fautes de frappe ou les formulations maladroites disparaissent à mesure que l’IA améliore la finition et la cohérence, ce qui signifie que les employés doivent apprendre à vérifier l’intention et l’identité plutôt que de se fier à des signaux d’alerte obsolètes.
Mesures que les entreprises peuvent prendre dès aujourd’hui
Les organisations peuvent renforcer leurs défenses en adoptant des habitudes simples et cohérentes qui permettent de lutter contre la tromperie basée sur l’IA. L’objectif est de rendre la vérification instinctive et de s’assurer que chaque employé sait comment réagir sous pression.
– Effectuez des simulations via plusieurs canaux : testez par e-mail, SMS, outils collaboratifs et voix, et renforcez les habitudes telles que les rappels vers des numéros connus ou les mots de passe partagés.
– Institutionnalisez la vérification : exigez des contrôles hors bande pour les virements, les mises à jour bancaires, la réinitialisation des identifiants et les demandes urgentes.
– Lancez des campagnes de sensibilisation à l’IA
– Évaluez et ciblez les groupes à risque: suivez la vulnérabilité et les délais de signalement, puis concentrez-vous sur les exercices et les suivis si nécessaire.
L’IA a accéléré l’ampleur et la complexité des attaques de phishing, réduisant considérablement le temps disponible pour l’intervention humaine. Une défense efficace repose désormais sur des simulations multicanaux réalistes, des formations rapides et des procédures de vérification institutionnalisées plutôt que sur des cours magistraux traditionnels.
