Pendant des années, les consommateurs et les entreprises ont reçu les mêmes conseils en matière de cybersécurité : utilisez des mots de passe forts, sauvegardez régulièrement vos données et utilisez l’authentification multi-facteurs lorsque vous le pouvez. Ces trois piliers constituent la base de ce que l’on appelle l’hygiène cybernétique et aident les gens à protéger leurs informations personnelles. Cependant, nous entrons maintenant dans un nouveau paradigme de cybersécurité, dans lequel l’IA générative peut être utilisée pour exploiter les vulnérabilités humaines et techniques. Cela soulève la question : ces pratiques fondamentales d’hygiène cybernétique sont-elles suffisantes pour se protéger contre les nouvelles menaces cybernétiques liées à l’IA ?
Le membre senior de l’IEEE, Kayne McGladrey, indique que trois menaces sont couramment associées à la montée de l’IA générative : la compromission des emails professionnels, les deepfakes et la génération de codes d’attaque. « Ces menaces ne sont pas simplement théoriques, bien qu’actuellement elles soient encore relativement limitées dans leur application », a déclaré McGladrey. « Il est raisonnable de s’attendre à ce que les acteurs malveillants continuent de trouver de nouvelles utilisations innovantes de l’IA générative, allant au-delà de la compromission des emails professionnels, des deepfakes et de la génération de codes d’attaque. »
Explorons donc ce que sont ces cyber-attaques :
Compromission des Emails Professionnels (CEP) : Les attaques CEP impliquent que des acteurs malveillants compromettent des comptes email de cadres pour manipuler les individus afin qu’ils effectuent des transactions non autorisées. Traditionnellement, ces attaques reposaient fortement sur la mimique des styles d’écriture des cadres. Cependant, l’IA générative peut désormais émuler non seulement le style d’écriture, mais aussi le ton d’écriture d’un cadre, amplifiant ainsi la scalabilité et l’efficacité des attaques CEP. L’authentification multi-facteurs est considérée comme la meilleure défense contre la compromission des emails.
Deepfakes : Les deepfakes utilisent la technologie IA pour produire un contenu audio et vidéo convaincant et trompeur. Les acteurs malveillants peuvent utiliser les deepfakes pour cibler et imiter des individus, potentiellement conduisant à la désinformation, des dommages de réputation, voire une manipulation de marché. « Les consommateurs devraient faire preuve de prudence et de scepticisme lorsqu’ils rencontrent des contenus médiatiques suspects ou extravagants. L’hygiène cybernétique de base seule ne peut pas défendre adéquatement contre la consommation de deepfakes », a déclaré McGladrey.
Code d’Attaque Généré par l’IA : La plupart des acteurs malveillants n’ont pas les compétences techniques pour créer de nouvelles exploitations ou écrire du code. Ils s’appuient plutôt sur des stratégies préalablement identifiées pour leurs attaques, tirant du code du dark web. L’IA générative permet aux acteurs malveillants de créer un code malveillant spécifiquement conçu pour exploiter les vulnérabilités d’autres systèmes.
Aller au-delà de l’Hygiène Cybernétique de Base :
Les experts notent que même de petites améliorations dans l’hygiène cybernétique peuvent donner des résultats, car les acteurs malveillants ont tendance à suivre le chemin de moindre résistance. Alors, comment les individus et les organisations peuvent-ils compléter leurs pratiques d’hygiène cybernétique de base et renforcer leur sécurité ? Bien que des mots de passe forts, des sauvegardes régulières et une authentification multi-facteurs restent essentiels, voici quelques étapes recommandées supplémentaires :
Utilisation d’une clé de sécurité : Les clés de sécurité sont de petits dispositifs physiques qui se connectent généralement au matériel via USB. Elles agissent essentiellement comme une deuxième forme d’authentification, refusant l’accès aux services même lorsque quelqu’un connaît le mot de passe d’un compte. Elles ne peuvent pas être facilement contrefaites et ne sont pas sujettes aux escroqueries de phishing comme d’autres formes d’authentification multi-facteurs. Elles deviennent de plus en plus courantes dans les environnements professionnels et sont également utilisées par des personnes fortunées et des célébrités pour protéger l’accès à leurs comptes.
Mises à jour logicielles régulières : Maintenir à jour les systèmes d’exploitation et les applications logicielles est crucial. Cela aide à corriger les vulnérabilités qui pourraient être exploitées par des acteurs malveillants.
Comparaison avec des Cadres Bien Considérés : Les organisations devraient suivre une source réputée et fiable pour se tenir informées, comme le Cadre de Cybersécurité du NIST (CSF) ou les Contrôles de Sécurité Critiques du Center for Internet Security (CIS-CSC), et évaluer périodiquement leurs progrès par rapport au cadre.
Éducation et Formation : Promouvoir la sensibilisation à la cybersécurité parmi les employés, les clients et les individus. Cela inclut une formation sur la reconnaissance des emails de phishing, l’importance de ne pas partager les mots de passe et la compréhension des risques du Wi-Fi public.
Utilisation d’un VPN : L’utilisation d’un Réseau Privé Virtuel (VPN), surtout lorsqu’on est connecté à un Wi-Fi public, peut aider à chiffrer le trafic internet et à protéger les données contre l’interception.
Contrôles d’Accès et Principe du Moindre Privilège : Les organisations devraient limiter les droits d’accès à ceux qui en ont besoin et examiner régulièrement ces droits. Mettre en œuvre le « principe du moindre privilège », où les utilisateurs ont le niveau minimal d’accès aux opérations réseau critiques nécessaires pour accomplir leurs fonctions.
« En résumé, bien que les fondamentaux soient cruciaux, une hygiène cybernétique complète nécessite une approche multi-couches de la sécurité », a déclaré la membre de l’IEEE Sukanya Mandal. « Cela implique non seulement des mesures techniques, mais aussi une éducation, des politiques et des pratiques qui construisent ensemble une culture de la sécurité. »
Poster un Commentaire