Comment lutter contre la démocratisation de l'ingénierie sociale orchestrée par ChatGPT ?

Depuis fin novembre, ChatGPT a pris le monde d'assaut, suscitant des inquiétudes légitimes sur la complexification du paysage des cybermenaces. L'ascension fulgurante de l'outil d'IA générative marque le dernier développement en date dans la course aux armements en matière de cybersécurité. Aujourd’hui, attaquants et défenseurs sont constamment à la recherche de la prochaine percée des technologies IA/ML qui pourra fournir un avantage concurrentiel.

Chat GPT, vers la démocratisation de l’ingénierie sociale ?

Grâce à ChatGPT, l'ingénierie sociale s'est officiellement démocratisée, mettant à disposition un outil dangereux qui renforce la capacité d'acteurs malveillants à contourner les mesures strictes de détection de malwares. En effet, la plupart des campagnes d'ingénierie sociale s'appuient sur des modèles généralisés contenant des mots-clés et des chaînes de texte que les solutions de sécurité sont programmées pour identifier puis bloquer. Qu'elles soient menées par mailing ou via des canaux de collaboration tels que Slack et Microsoft Teams, ces campagnes adoptent souvent une approche de type "spray-and-pray" qui se traduit par un faible taux de réussite.

Néanmoins, avec des IA génératives comme ChatGPT, les hackers pourraient théoriquement exploiter le modèle de langage étendu (LLM) du système pour s'éloigner des formats universels et automatiser la création d'e-mails de phishing ou d'usurpation uniques en leur genre, avec une grammaire parfaite et des modèles de discours naturels adaptés à chaque cible. Grâce à ce niveau de sophistication élevé, les attaques par e-mails paraissent beaucoup plus crédibles, ce qui non seulement complique la détection, mais aussi la prévention pour les destinataires qui sont tentés de cliquer sur le lien.

Battre ChatGPT à son propre jeu

Les équipes chargées de la cybersécurité doivent ainsi tirer parti de leurs propres LLM alimentés par l'IA pour combattre l'ingénierie sociale réalisée avec ChatGPT. Ces derniers permettent aux analystes humains d'améliorer l'efficacité de la détection, de rationaliser les flux de travail et d'automatiser les actions de réponse. Par exemple, un LLM intégré à une solution de sécurité d'entreprise performante peut être programmé pour détecter des modèles d'ingénierie sociale très sophistiqués générés par ChatGPT. Quelques secondes après l'identification et la catégorisation d'un modèle suspect par le LLM, la solution le signale comme une anomalie, notifie à un analyste les actions correctives prescrites, puis partage ces renseignements sur les menaces en temps réel dans l'écosystème de sécurité de l'organisation. Ces avantages susmentionnés sont la principale raison pour laquelle le taux d'adoption de l'IA/ML dans la cybersécurité s'est accéléré ces dernières années. 

Dans le rapport 2022 Cost of a Data Breach Report d'IBM, les entreprises qui ont exploité une solution de sécurité basée sur l'IA ont atténué les attaques 28 jours plus vite, en moyenne, et ont réduit les dommages financiers de plus de 3 millions de dollars. Parallèlement, 92 % des personnes interrogées dans le cadre du rapport 2022 State of Email Security de Mimecast ont indiqué qu'elles utilisaient déjà l'IA dans leurs architectures de sécurité ou qu'elles prévoyaient de le faire dans un avenir proche. Cette approche devrait donc être une priorité immédiate car c’est à date, le seul moyen de suivre le rythme de la vélocité des attaques qui se basent sur ChatGPT.

Prévenir les risques en accompagnant les collaborateurs

Dans ce contexte, le risque humain apparaît comme une vulnérabilité critique de l'entreprise moderne. Aujourd'hui, plus de 95 % des failles de sécurité, dont la majorité sont le résultat d'attaques d'ingénierie sociale, impliquent un certain degré d'erreur humaine. Et comme on s'attend à ce que ChatGPT augmente le volume et la vitesse de ces attaques, il faut considérer comme non négociable le fait de s'assurer que les employés suivent des pratiques sûres, quel que soit leur lieu de travail. 

Les employés qui reçoivent une formation adéquate  sont en effet cinq fois plus susceptibles d'identifier et d'éviter les liens malveillants. Cependant, selon le rapport Forrester 2022 sur les solutions de sensibilisation et de formation à la sécurité, de nombreux responsables de la sécurité ne savent pas comment créer une culture de la sensibilisation à la sécurité et se rabattent sur des formations statiques et uniformes pour mesurer l'engagement et influencer le comportement des employés. Cette approche est largement inefficace. Pour que les modules de formation résonnent, ils doivent être évolutifs et personnalisés, avec un contenu divertissant qui s'alignent sur les centres d'intérêt et les styles d'apprentissage des employés. 

Le fait d'investir dans les meilleures solutions ne constitue donc pas une solution miracle pour protéger les organisations contre les attaques sophistiquées d'ingénierie sociale. C’est la combinaison de l'IA générative et d'une formation de sensibilisation des utilisateurs bien exécutée qui créera une alliance de sécurité robuste permettant de lutter contre les nouvelles menaces menées orchestrée par des outils d’Intelligence Artificielle.