Connect with us

Les Deepfakes sont-ils les nouveaux appels de spam ? Voici comment les prévenir

Leaders d’opinion

Les Deepfakes sont-ils les nouveaux appels de spam ? Voici comment les prévenir

mm
Published
Updated

Si vous voyiez un deepfake de votre PDG, seriez-vous capable de déterminer que ce n’est pas réel ? C’est un défi inquiétant que les organisations du monde entier doivent relever fréquemment. En fait, récemment, un géant de la publicité a été la cible d’un deepfake de son PDG. Une image publiquement disponible de l’exécutif a été utilisée pour organiser une réunion Microsoft Teams dans laquelle un clone vocal de l’exécutif – issu d’une vidéo YouTube – a été déployé. Même si cette attaque spécifique a été sans succès, elle peint un tableau plus large des tactiques émergentes que les cybercriminels utilisent avec les informations publiquement disponibles – et ce n’est que la pointe de l’iceberg.

La technologie est devenue si sophistiquée que seulement environ la moitié des dirigeants IT d’aujourd’hui ont une grande confiance dans leur capacité à détecter un deepfake de leur PDG. Les choses s’aggravent, les cybercriminels ne se contentent pas d’usurper l’identité des PDG, mais également de toute l’équipe de direction, avec les DAF devenant des cibles populaires, ainsi. Les deepfakes deviennent de plus en plus faciles à créer. En fait, une recherche rapide sur Google de « comment créer un deepfake » produit divers articles et tutoriels YouTube sur la façon exacte de créer un. Les coûts deviennent négligeables, ce qui signifie que les deepfakes sont essentiellement les nouveaux appels de spam.

Les appels de spam sont trop courants aujourd’hui. En fait, la Federal Communications Commission (FCC) affirme que les consommateurs américains reçoivent environ 4 milliards d’appels de robocall par mois, et les progrès de la technologie les rendent extrêmement bon marché et très lucratifs, même avec un faible taux de réussite. Les deepfakes suivent la même tendance. Les cybercriminels utiliseront la technologie de deepfake pour tromper les employés imprévoyants encore plus que ce qu’ils font aujourd’hui, et les deepfakes deviendront finalement une occurrence quotidienne pour le consommateur moyen. Explorons les stratégies que les dirigeants peuvent mettre en œuvre pour protéger au mieux leur organisation, leurs employés et leurs clients contre ces menaces.

Établir des lignes directrices solides

Tout d’abord, les dirigeants doivent établir des lignes directrices solides au sein de leur organisation. Ces lignes directrices doivent provenir du sommet, en commençant par le PDG, et être communiquées fréquemment. Par exemple, le PDG doit expliquer fermement à l’ensemble de l’entreprise qu’il ne fera jamais de demande étrange ou aléatoire à un employé, comme acheter plusieurs cartes-cadeaux de 100 $ – une tactique de phishing fréquente. Ces attaques sont souvent couronnées de succès parce qu’elles proviennent d’un poste de direction et ne sont pas remises en question. Cependant, à mesure que les deepfakes de PDG deviennent plus courants, nous sommes de plus en plus conscients qu’ils ne sont, en fait, pas réels. Par conséquent, je prévois qu’ils se propageront dans l’organisation, y compris les VP, les directeurs, les gestionnaires de première ligne et même les pairs.

Pensez-y : avoir un pair ou votre gestionnaire immédiat vous demander quelque chose est assez courant. Pourquoi devriez-vous avoir une raison de remettre cela en question ? Les lignes directrices peuvent également être liées à l’utilisation de ces outils de deepfake au sein de votre organisation, y compris l’interdiction de les utiliser sur les technologies appartenant à l’entreprise. La mise en place de ces lignes directrices et de ces garde-fous n’est que la première étape.

Confirmer les demandes via plusieurs canaux

Deuxièmement, lorsque des demandes doivent être faites, il doit y avoir une stratégie en place pour les confirmer via plusieurs modes de communication. Un exemple pourrait être si une demande provient du PDG, cette demande sera partagée par e-mail et comportera un suivi via une plate-forme de messagerie instantanée utilisée sur le lieu de travail. S’il n’y a pas de suivi, l’employé doit soit ignorer la demande, soit la confirmer de manière proactive via Slack lui-même, puis notifier les équipes de sécurité internes conformément à leur politique de sécurité. De même, peut-être qu’une demande est faite via une réunion Teams, similaire à la tactique utilisée pour le deepfake de l’entreprise de publicité. Cette demande doit alors avoir une confirmation par e-mail et/ou une confirmation via Slack. Mieux encore, confirmé via un appel téléphonique rapide si se rendre à son bureau n’est pas une option. Ces processus doivent être communiqués souvent et à l’ensemble de l’organisation pour les garder à l’esprit. Ensuite, lorsque une tentative est connue, établir un processus pour partager l’exemple largement dans l’organisation pour créer une reconnaissance de modèles des types de menaces dont tout le monde devrait être conscient.

Organiser des formations fréquentes

Troisièmement, les organisations devraient mettre en œuvre des formations fréquentes à l’échelle de l’entreprise pour garder les deepfakes et d’autres types d’attaques de fraude d’identité à l’avant-garde de l’esprit des employés. Ceux-ci sont utiles pour plusieurs raisons. Un employé peut ne pas même savoir ce qu’est un deepfake ou savoir que les voix et les vidéos peuvent être fausses. De plus, les employés peuvent recourir à la mentalité « hors de vue, hors de l’esprit » – si les deepfakes ne sont pas à l’avant-garde de l’esprit, ils peuvent facilement tomber victimes d’une attaque. Les recherches montrent que les employés qui ont reçu une formation en cybersécurité ont démontré une capacité nettement améliorée à reconnaître les menaces cybernétiques potentielles.

Les deepfakes ne disparaîtront pas, et ils deviennent de plus en plus fréquents et difficiles à détecter. Cependant, en établissant des lignes directrices, en vérifiant les demandes via plusieurs itinéraires et en mettant en œuvre une formation cohérente dans l’ensemble de l’organisation, nous pouvons être mieux préparés et protéger contre ces menaces. Dans un monde numérique en constante évolution, notre diligence pour faire confiance à moins de choses et vérifier plus sera essentielle pour maintenir la sécurité et l’intégrité de notre identité numérique.

mm

Jason Oeltjen est Vice-président de la gestion de produits chez Ping Identity. Au cours des 20 dernières années, Jason a dirigé les équipes d'ingénierie, de support et de produits dans des entreprises allant des startups en démarrage aux entreprises du Fortune 500. Récemment, il a travaillé sur des solutions d'identité cloud, axées sur la création de solutions cloud simples pour résoudre les défis complexes de sécurité d'identité d'entreprise.