Deepfakes : des menaces toujours plus sophistiquées

Pour se protéger contre l'extorsion, la fraude et le sabotage, les entreprises doivent elles-mêmes intégrer l'IA au cœur de leur stratégie de cybersécurité.

Les derniers développements de l'intelligence artificielle, notamment les deepfakes, doivent amener les entreprises à intégrer l'intelligence artificielle au coeur de leur stratégie de scybersécurité.

En février dernier, un employé de la Hong Kong Bank a versé, en toute bonne foi, 25 millions de dollars à des cybercriminels. Grâce à un deepfake particulièrement sophistiqué, ces derniers ont en effet réussi à se faire passer pour le directeur financier de la banque lors d’une vidéoconférence. Les deepfakes, créés à l’aide des dernières technologies d’IA générative, produisent des vidéos, des fichiers audios et des textes hyperréalistes qui peuvent tromper même les yeux les plus avertis. Il devient ainsi de plus en plus difficile de discerner si les communications sont authentiques, qu’il s’agisse d’un appel de son manager, d’un SMS d’un collègue ou d’une tentative d’escroquerie.

L’inexorable développement du marché de l'IA générative qui pourrait atteindre 1 300 milliards de dollars au cours des dix prochaines années, soit une croissance annuelle de 42%1, offre certes des opportunités sans précédent aux entreprises mais suppose aussi d’énormes responsabilités et fait émerger également de nouveaux risques. Comme le montre l’exemple de la Hong Kong Bank, les cybercriminels sont eux aussi à la pointe dans ce domaine. Ils profitent de ces technologies pour optimiser leurs schémas d’attaques rendant plus efficaces celles liées notamment au social engineering (phishing ciblé, voice cloning, deepfake…).

Un pouvoir de nuisance inégalée

Aujourd’hui, les deepfakes sont si convaincants qu’il est difficile de les distinguer des images réelles. Leurs capacités n’allant qu’en s’améliorant avec le temps, leur pouvoir de nuisance est considérable. Nous sommes là bien loin du vol de données (ransomware) ou de la faille informatique inédite (zero day). Les deepfakes représentent une menace bien plus complexe et sophistiquée car l’extorsion peut se faire sans affecter le fonctionnement des systèmes de sécurité et de gestion des données.

Or, selon nos chercheurs, les acteurs malveillants sont prêts à dépenser beaucoup d’argent pour des deepfakes, les prix pouvant atteindre 20 000 dollars par minute pour des vidéos de haute qualité. L’achat et la vente d’outils liés aux deepfakes sur les principaux forums du dark web ont ainsi augmenté de 223 % entre le premier trimestre 2023 et le premier trimestre 2024 2.

Les entreprises doivent adopter des mesures de cybersécurité avancées basées sur l’IA qui détectent, prédisent et préviennent les menaces en temps réel. La cybersécurité commence à exploiter la force de l’IA pour mieux se protéger, détecter et réagir face aux menaces. Des avancées sont à noter notamment au sein des SOC (Security Operation Centers), ces équipes chargées d’assurer la sécurité de l’information d’une entreprise, pour détecter des tentatives d’attaques grâce, entre autres, au machine learning ou à la sensibilisation adaptative basée sur des scénarios construits par l’IA. Mais ces innovations ne sont pas encore tout à fait abouties et trop peu adoptées par les entreprises.

Adopter des mesures de cybersécurité avancées

Des mesures peuvent pourtant être prises pour renforcer la résilience des organisations. La première d’entre elles porte sur la stratégie de l’entreprise. La priorité est en effet d’intégrer la cyber-résilience dans la stratégie de son organisation en en faisant une partie intégrante des processus décisionnels - de la planification stratégique à la budgétisation - en privilégiant la transparence avec toutes les parties prenantes.

La deuxième mesure à prendre consiste à construire une culture de la cybersécurité au sein de l’entreprise avec une responsabilité partagée qui tire parti de l'IA générative et d'une approche de la cybersécurité en tant que service. Cela nécessite d’investir dans le développement des talents en matière de sécurité mais aussi de sensibiliser l’ensemble du personnel de l’entreprise, en particulier les personnes qui siègent au conseil d’administration. Chacun doit prendre conscience qu’il est désormais une cible potentielle.

Autre mesure indispensable d’ordre technologique : la sécurisation du noyau numérique au cœur de l’entreprise. Le principe de la sécurité dès la conception doit être systématiser en instituant le modèle de la confiance zéro, en sécurisant les technologies émergentes et en faisant de la construction de la confiance numérique une priorité.

Enfin, il ne faut pas négliger l’extension de la cyber-résilience au-delà des frontières de l’entreprise, autrement dit au sein même de son écosystème et ce, notamment tout au long de la chaîne d'approvisionnement en misant sur des partenariats. La cyber-résilience ne vaut que si elle est continue. Il est nécessaire pour cela de constamment redéfinir le profil de risque, d’améliorer en permanence les programmes de sécurité, de renforcer l'état de préparation au black-out en matière de cybersécurité et de promouvoir l'IA et l'apprentissage automatique pour une protection proactive contre les menaces. L’enjeu est de taille car la cyber-résilience est un facteur de différenciation et de croissance.  

Investir dans des mesures proactives de cybersécurité est non seulement une décision stratégique, mais aussi rentable. Le coût financier associé à la reconstruction de la réputation de l’entreprise et à la reconquête de la confiance des clients après une attaque deepfake dépasse largement les dépenses liées à la mise en œuvre préalable de protocoles de cybersécurité robustes.