Entre amplification des menaces et nouvelles voies de défense, quel est l’impact des Intelligences Artificielles Génératives ?
Dans le cadre de mon mémoire de recherche, je me suis focalisé sur les opportunités et les menaces liées à l'adoption massive des Intelligences Artificielles Génératives face à la menace cyber. Conscient des enjeux complexes que pose cette évolution technologique, je vous livre ici une synthèse de mon travail, dévoilant un panorama aussi riche que captivant des défis et des solutions envisageables…Je vous souhaite une excellent lecture à tous
Les avancées récentes en Intelligence Artificielle (IA) ont révolutionné de nombreux domaines, y compris celui de la cybersécurité. Parmi ces technologies, les Intelligences Artificielles Génératives (IAG) se distinguent par leur capacité à produire des contenus complexes et réalistes, augmentant à la fois le spectre des menaces et les possibilités de défense dans le domaine cyber. Cet article examine les dangers accrus posés par les IAG, en particulier à travers les attaques par ingénierie sociale, et explore comment ces mêmes technologies peuvent être utilisées pour renforcer les stratégies de cybersécurité, stratégies qui doivent repositionner l’humain au centre des moyens de défense.
Les IAG : de nouvelles armes pour les cybercriminels
Les IAG, capables de générer du texte, des images, et même des voix synthétiques réalistes, ont trouvé leur place dans l’arsenal des cybercriminels. Elles facilitent la création de contenus trompeurs et sophistiqués qui échappent souvent aux méthodes de détection traditionnelles.
Parmi les attaques les plus préoccupantes amplifiées par les IAG, on trouve celles basées sur l’ingénierie sociale. Ces attaques exploitent les failles humaines plutôt que technologiques, en manipulant les victimes pour qu’elles révèlent des informations sensibles ou accèdent à des systèmes protégés au profit du cyberattaquant.
Selon une étude de PWC, 72 % des entreprises estiment que l’IAG accentuera l’intensité de la menace, la fréquence des cyberattaques et leur sophistication, et 52% que ces cyberattaques seront particulièrement impactantes, du fait de l’influence des IAG sur la capacité des hackers à lancer des campagnes de phishing sophistiquées et à grande échelle.
Massification et industrialisation des attaques
L’une des principales contributions des IAG à la menace cyber réside dans leur capacité à massifier et industrialiser les attaques. Elles permettent, par exemple, de générer en masse des courriels de phishing personnalisés, qui sont non seulement plus convaincants mais aussi plus complexes à contrer.
L’industrialisation des cyberattaques est facilitée par l’émergence des plateformes de type « phishing-as-a-service » (ou « PhaaS »). Ces plateformes, généralement disponibles sur le dark web, permettent à des cybercriminels peu expérimentés d’accéder à des kits de phishing sophistiqués moyennant un abonnement mensuel ou un paiement unique. Ces services incluent des modèles de courriels de phishing, de fausses pages web pour la capture de données, et même des outils statistiques sur le taux de réussite des campagnes.
Les PhaaS démocratisent ainsi l’accès aux outils de cybercriminalité : les attaques sont devenues moins coûteuses, plus rapides à déployer, et plus efficaces, contribuant ainsi à une augmentation rapide du nombre de cyberattaques à travers le monde. Des chercheurs chez DarkTrace ont observé une augmentation de 135 % des nouvelles attaques d’ingénierie sociale sur la seule période entre janvier et février 2023, correspondant à l’adoption généralisée de GPT-3.
Sophistication et hyper-personnalisation des attaques
En plus de l’industrialisation, les IAG permettent une hyper-personnalisation des attaques. Les cybercriminels peuvent établir des profils très détaillés de leurs cibles en collectant et en analysant massivement des données personnelles, puis en utilisant ces informations pour concevoir des attaques par ingénierie sociale qui semblent authentiques et légitimes.
La société DeepMedia, spécialisée dans la détection de médias produits par IA, a estimé qu’il y avait eu trois fois plus de deepfakes vidéos et huit fois plus de deepfakes vocaux (« deepvoices) fin 2023 qu’à la même période en 2022.
Un des exemples les plus frappants de l’utilisation malveillante des deepfakes concerne une escroquerie impliquant une multinationale basée à Hong Kong. En février 2024, des cybercriminels ont utilisé des deepfakes audio et vidéo pour imiter les dirigeants de l’entreprise lors de vidéoconférences, trompant ainsi un employé qui a transféré 24M€ aux escrocs. Ce cas illustre la manière dont les technologies de deepfake peuvent être exploitées pour réaliser des fraudes massives, en se basant sur de simples enregistrements de quelques secondes de la voix de la victime.
Les stratégies de défense : utilisation des IAG pour la cybersécurité
Les IAG ne servent pas seulement à améliorer les attaques cyber, mais apportent également de nouvelles perspectives dans les stratégies de défense, et ceci à chaque étape de la chaine d’attaques cyber (« cyber kill chain »). En effet, ces technologies peuvent être utilisées pour surveiller les menaces, tester la robustesse des systèmes d’information et même simuler des attaques afin de mieux préparer les équipes de sécurité.
Les dirigeants d’entreprises en sont bien conscients puisqu’ils plébiscitent à près de 70% l’utilisation des IAG dans leur stratégie de cyberdéfense. Selon l’étude de PWC, Global Digital Trust Insights 2024, près de la moitié d’entre eux déclarait déjà l’utiliser pour la détection et l’atténuation des risques cyber.
Surveillance et évaluation des menaces
Les IAG peuvent être intégrées dans les systèmes de cybersécurité pour renforcer la surveillance continue des menaces. Elles permettent d’analyser de vastes volumes de données afin de détecter des comportements suspects ou des tentatives d’intrusion en temps réel. Cette capacité d’analyse prédictive permet d’anticiper les attaques et de déployer des contre-mesures avant même qu’un incident ne se produise.
Par exemple, dans le cadre de la surveillance des attaques de phishing, des algorithmes de LLM peuvent être utilisés pour inspecter le contenu (tonalité, structure de phrases type, invitation à l’action…), le contexte (adresses IP, localisation…) et les métadonnées de tous les messages et URL entrants et sortants, afin de détecter des signes révélateurs de tentatives de phishing.
Simulation de campagne de phishing et cyber entraînement
Les IAG peuvent simuler des attaques contre les SI d’une entreprise pour identifier les faiblesses humaines et techniques avant qu’elles ne soient exploitées par de véritables attaquants. Cela peut inclure des attaques par force brute automatisées, des tentatives d’injection SQL ou d’autres vecteurs d’attaque courants comme les campagnes de phishing amélioré. Dans ce dernier cas, cela permet de tester les filtres anti-phishing en place en les confrontant à des attaques simulées variées, renforçant ainsi leur robustesse.
Ces campagnes de simulation de phishing peuvent également viser des membres de l’organisation, afin de tester leur capacité de détection et de réaction, dans un cadre structuré et sans risque réel.
Optimisation des réponses et du reporting
En cas d’incident de sécurité, les outils d’IAG permettent de générer rapidement des résumés de renseignements sur les menaces (« CTI ») ainsi que des logs et des rapports sur les indicateurs de compromission. Selon une étude réalisée par IBM en 2023, ces solutions d’analyses basées sur l’IA accélèrent de 55 %, en moyenne, les enquêtes et le tri des alertes.
Dans un cadre de pénurie des talents dans le secteur de la cybersécurité [1], il est donc possible de tirer parti de l’évolution des IAG pour assister et soulager les équipes opérationnelles, notamment sur les tâches les plus répétitives et/ou les plus chronophages.
L’humain au cœur de la stratégie de résilience cyber face aux nouvelles menaces
Dans son rapport sur les Risques Globaux de janvier 2022, le Forum Economique Mondial estimait que le futur de la cybersécurité passerait par une meilleure prise en charge de l’erreur humaine, responsable des failles exploitées dans 95% des cas d’attaques.
Malgré les avancées technologiques, l’humain reste donc un maillon crucial dans la stratégie globale de résilience cyber.
Sensibilisation à la menace, formation continue et cyber-entrainement
Une approche proactive, combinant la sensibilisation et le cyber entrainement, peut jouer un rôle déterminant dans la mitigation des risques de cyberattaques. La menace évoluant, il est désormais essentiel que les employés soient informés des nouvelles techniques d’ingénierie sociale et des dangers liés aux deepfakes, notamment à travers des cas pratiques, voir des simulations d’attaques (apprentissage par l’expérience et par la répétition) non planifiées et exécutées en situation réelle, au détour de leurs tâches quotidiennes.
Ces programmes de sensibilisation, lorsqu’ils sont bien conçus et exécutés, aident à développer une vigilance accrue parmi les employés, les rendant plus aptes à reconnaître et à réagir aux tentatives d’escroquerie. La sensibilisation à l’ingénierie sociale et à ses contre-mesures présente de bons résultats, puisqu’on estime que le taux d’ouverture des e-mails de phishing baisse de 75 % après la session.
Gestion du risque humain : biais cognitifs et politique zéro-trust
La cybersécurité dépasse désormais le cadre technologique pour s’étendre aux domaines psycho-social et comportemental. Contrairement aux méthodes traditionnelles de piratage qui ciblent les vulnérabilités techniques, l’ingénierie sociale exploite la psychologie humaine. Les attaquants manipulent les « raccourcis mentaux » ou biais cognitifs pour inciter leurs cibles à divulguer des informations sensibles ou cliquer sur des liens malveillants.
Le « biais de surconfiance », par exemple, peut amener des employés à surestimer leur capacité à identifier les tentatives de phishing. Il est donc essentiel de reconnaître la diversité des profils psychologiques au sein d’une organisation, chaque type de personnalité ayant des vulnérabilités spécifiques. L’environnement de travail joue également un rôle crucial : un stress élevé et une surcharge cognitive augmentent les risques d’erreurs, particulièrement si l’attaquant adopte une stratégie d’urgence. L’intégration de tests de personnalité, comme le MBTI, dans les formations en cybersécurité peut aider les employés à mieux comprendre leurs forces et faiblesses.
Les politiques de sécurité doivent inclure des contrôles d’accès stricts, limitant l’accès aux informations sensibles selon le principe du « besoin d’en connaître ». La segmentation des processus critiques entre plusieurs individus réduit les risques. Cette approche s’inscrit dans la démarche Zero Trust, qui vise à limiter la confiance implicite accordée aux utilisateurs.
Enfin, les employés doivent être conscients de leur empreinte digitale et prendre des mesures pour la limiter, notamment en réglant les paramètres de confidentialité et en étant prudents quant aux informations partagées sur les réseaux sociaux.
Conclusion
À mesure que les IAG se généralisent, leur impact sur les cybermenaces, en particulier les attaques par ingénierie sociale, devient de plus en plus préoccupant. Ces technologies génèrent des contenus toujours plus trompeurs et réalistes, amplifiant ainsi les risques pour la cybersécurité. Cependant, nous avons souligné leur ambivalence : ces outils peuvent aussi renforcer les défenses cyber en automatisant certaines tâches et en aidant à la prise de décision, surtout dans un contexte de pénurie de talents.
Une approche holistique, combinant des mesures techniques avancées et un cyber-entrainement personnalisé, est essentielle pour développer une véritable culture de la cybersécurité. Enfin, nous avons mis en avant le rôle crucial des sciences humaines et sociales pour mieux comprendre et contrer ces menaces, en s’appuyant sur la connaissance des biais cognitifs. L’humain, avec ses capacités uniques, doit rester au cœur de la gestion de ces technologies pour construire des stratégies de résilience face aux manipulations amplifiées par les IAG.
[1] Selon une étude de l’ISC2, il manquant 4 millions de profils formés aux problématiques cyber dans le monde en 2023. ISC2 Cybersecurity Workforce Study: Demand Strong for Cloud Security and AI Skills while Workforce Gap Expands, 30/10/2023.
