L’enquête Tendance de la cybercriminalité de Sosafe, qui porte sur les réponses de 500 professionnels de la sécurité issus de l’Europe et de l’Australie, détaille les dangers spécifiques à l’usage de l’IA. Ces risques s’ajoutent aux problèmes déjà connus sur la chaîne d’approvisionnement avec la multiplication des fournisseurs et de sous-traitants.
Le phishing autrefois limité à des courriers grossièrement rédigés et remplis de fautes d'orthographe, a fait place à des attaques multifactorielles associant les e-mails, les applications de messagerie, les sms, les réseaux sociaux et les appels vocaux par deepfake. Cet ensemble de vecteurs rend les messages plus crédibles et plus dangereux. Ce sont des attaques mieux préparées et plus difficiles à détecter.
A l’échelle mondiale, la plupart des experts prévoient une augmentation significative des menaces liées à l’IA au cours des trois prochaines années. Point saillant, seuls 26 % des répondants à l’étude s’estiment capables de détecter ces attaques. La protection des profils personnels apparaît comme un véritable défi, puisque 81 % des professionnels interrogés affirment que leur société a déjà été la cible de cyberattaques émanant de périphériques ou de comptes personnels.
L’enquête de Sosafe montre la montée de la perception des risques par les équipes de sécurité liée aux attaques menées via l’IA. À la question « Quels sont les aspects des attaques générées par l’IA qui vous préoccupent le plus, le cas échéant ? » les trois préoccupations qui prédominent sont, dans l’ordre, la difficulté d’attribution des menaces, la nouveauté des risques et le réalisme du contenu créé par les IA Génératives.
Des attaques réussies aux impacts importants
En juillet 2024, des pirates ont profité d’une vulnérabilité critique dans FortiOS et FortiProxy développés par Fortinet, pour contourner l’authentification, accéder à distance au SI pour obtenir des privilèges élevés d’administration. La porte était ouverte pour exécuter ensuite du code arbitraire.Le télétravail a contribué aussi à augmenter le périmètre des menaces. Sur le podium des pays les plus exposés aux cyberattaques via des comptes ou des périphériques personnels de leurs salariés figurent la France (81 % des réponses), l’Allemagne (89 %) et les
Pays-Bas (80 %). Cela montre la vulnérabilité des comptes personnels qui sont la première marche pour accéder à des informations à forte valeur ajoutée.
Si les grandes entreprises sont bien protégées, il n’en est pas de même pour les secteurs moins réglementés, ou disposant de budgets IT ou de sécurité plus limités. Parmi ces derniers figurent, à divers niveaux de protection, les infrastructures critiques, les établissements de santé, les ONG, l’industrie et la vente au détail.
La posture de défense numérique doit reposer sur la formation et la sensibilisation du personnel. Mais l’IA impose des mesures spécifiques comme la séparation des données entre les métiers. Par exemple, il faut éviter qu’un développeur n’expose, par mégarde, les données des RH. Sosafe préconise l’usage de plusieurs IA spécialisées, mais cela complique leur gestion.
