Les analystes ont noté que si la plupart des efforts de cybersécurité et des ressources financières se sont traditionnellement concentrés sur la protection des données structurées, telles que les bases de données, l'essor de la GenAI transforme les programmes de sécurité des données et les oriente vers la protection des données non structurées telles que le texte, les images et les vidéos.
Pour les organisations et leurs employés, l’IA présente un certain nombre d'avantages : réduction des coûts, sécurisation des données et amélioration de la productivité sur le lieu de travail grâce à la génération rapide de contenu, à la reconnaissance des formes et à la synthèse. Mais si les entreprises ont pris conscience de ces bénéfices et ont commencé à l'utiliser plus rapidement dans leurs processus quotidiens, les préoccupations croissantes en matière de cybersécurité concernant l'IA sont simultanément apparues. Les acteurs de la menace tirent en effet eux aussi parti des capacités de la technologie pour améliorer le succès de leurs attaques.
L'IA augmente le taux de réussite des attaques de phishing
Les outils de GenAI fournissent aux attaquants des méthodes de plus en plus crédibles pour mener à bien des attaques d'ingénierie sociale. Par exemple, les grands modèles de langage (LLM), une forme de GenAI, peuvent instantanément élaborer des messages sans faille, chacun adapté à une personne spécifique.Auparavant, le « spear-phishing » nécessitait des recherches et des efforts considérables de la part de l'attaquant. Aujourd'hui, les cybercriminels peuvent facilement automatiser ces attaques en recueillant des informations personnelles souvent rendues publiques par les profils des médias sociaux. Ceux-ci profitent d'outils tels que ChatGPT pour améliorer la qualité de base de la plupart des campagnes de phishing, en corrigeant les fautes de grammaire et les informations manifestement inexactes. L'IA facilitant les actions des cybercriminels, certaines compétences ne sont plus requises pour mener à bien leurs attaques. À l'avenir, des hackers débutants aux connaissances limitées pourraient même rencontrer un succès croissant.
À mesure que ces méthodes d'attaque émergentes seront mieux comprises, les craintes continueront de croître quant à la menace posée par les technologies avancées telles que l'IA. Selon notre récente enquête menée auprès de 20 000 employés, 72 % estiment que les escroqueries en ligne et les attaques par phishing sont devenues à la fois plus sophistiquées, et 66 % plus fructueuses. Ces préoccupations ne feront que s'exacerber à mesure que les capacités de l'IA augmenteront et que les cybercriminels utiliseront plus largement la technologie.
L'évolution de la menace que l'IA fait peser sur les entreprises
Les cybercriminels peuvent utiliser l'IA pour améliorer leurs attaques de phishing de multiples façons. Par exemple, à l’aide de l'IA, ils peuvent produire un courriel prétendant provenir d'une entreprise que la victime connaît bien, comme une organisation auprès de laquelle elle a effectué des achats ou avec laquelle elle a eu des contacts, et demander un paiement unique nécessitant des informations liées à la carte de crédit. En faisant référence à des détails spécifiques et en reproduisant parfaitement le ton et le style d'écriture attendus, le phishing est pratiquement impossible à identifier comme une tentative de fraude pour certains.L'avancée la plus inquiétante de l'IA est peut-être sa capacité à cloner des voix et des ressemblances à partir de clips audio et vidéo, ou d'images trouvées en ligne, un procédé communément désigné comme « vishing ». Associé à des outils qui imitent l'identité de l'appelant, les cybercriminels peuvent tromper leurs cibles en les appelant et en prétendant être un membre de la famille, un ami ou un proche cherchant une aide urgente. Alors que ces technologies sont déjà largement utilisées par des attaquants de mieux en mieux formés et de plus en plus à l'aise avec l'IA, quelles en seront les prochaines évolutions ?
Les cyberattaques basées sur l'IA sont particulièrement courantes dans le paysage actuel des entreprises, où les employés sont géographiquement répartis et ont l'habitude de recevoir d'innombrables demandes d'authentification lorsqu'ils se connectent à leur compte professionnel sur différents appareils. Ces environnements de travail augmentent le succès des outils d'IA car les employés travaillent à partir de leurs propres réseaux et appareils, moins sécurisés, ce qui offre aux cybercriminels davantage de points d'entrée pour mener à bien des attaques d'ingénierie sociale. En outre, les contrôles qui étaient autrefois difficiles à contourner, comme la vérification vocale de l'identité lors de la réinitialisation d'un mot de passe, ne font désormais plus le poids face aux attaquants.
Renforcer la protection des entreprises et de leurs employés
Lorsqu'il s'agit de cyberattaques pilotées par l'IA, les processus d'accès et d'authentification des utilisateurs d'une organisation sont particulièrement exposés au risque d'être compromis. Ceci souligne la nécessité de les sécuriser avant qu'il ne soit trop tard. Le cas échéant, les entreprises risquent de voir leurs données sensibles, et celles de leurs employés, exposées à des cybercriminels qui pourraient les partager ou exiger une rançon en échange de leur restitution.Pour éviter les effets potentiellement désastreux d'une cyber-escroquerie, les entreprises doivent s'assurer qu'elles mettent en œuvre une authentification multifacteur (MFA) résistante au phishing, y compris des passkeys comme des clés de sécurité matérielles, pour protéger les données et les actifs critiques. Celles-ci fonctionnent en authentifiant les utilisateurs grâce à des clés de sécurité cryptographiques stockées sur leur ordinateur ou leur appareil. Les passkeys représentent une alternative supérieure aux mots de passe et aux autres méthodes de MFA traditionnelles, car les utilisateurs ne sont pas obligés de se rappeler ou de saisir manuellement de longues séquences de caractères qui peuvent être oubliées, volées ou interceptées par des pirates informatiques. Cela signifie également que seul le détenteur de la clé peut accéder à ses comptes.
De plus, pour garantir le plus haut niveau de sécurité et atténuer les cybermenaces liées à l'IA dans leur intégralité, les entreprises doivent mettre en œuvre des mesures allant au-delà du simple investissement dans une authentification résistante au phishing. Elles doivent en effet se concentrer sur des stratégies visant à rendre les utilisateurs eux-mêmes résistants au phishing. Plutôt qu'une simple mesure réactive, il s'agit d'une approche proactive visant à supprimer le risque de phishing, en éliminant tous les événements susceptibles d'être ciblés dans l'ensemble du cycle de vie de l'utilisateur. Pour ce faire, il faut également équiper les employés d'une MFA résistante au phishing et mettre en place des procédures d'enregistrement de compte et de récupération d'utilisateur résistantes au phishing pour tous. Ces procédures sont étayées par l'utilisation de clés de sécurité matérielles portables et conçues à cet effet, qui constituent la base de la sécurité
la plus élevée.
En marge du déploiement de l’authentification moderne, les entreprises doivent ainsi former les utilisateurs à la lutte contre les menaces, afin de leur donner les moyens de devenir eux-mêmes résistants au phishing. Face à l’évolution des pratiques des cybercriminels qui exploitent aujourd’hui pleinement le potentiel de l’IA, les entreprises doivent réagir en renforçant les défenses de chacun de leurs employés pour limiter les points d'entrée pour les attaquants, un enjeu crucial dans un contexte de cybermenaces omniprésentes et de plus en plus sophistiquées.
Par Nic Sarginson, YubiKey Product Manager chez Yubico
