Leaders d’opinion
Comment les criminels gagnent la course aux armes de l’IA avant même que les entreprises ne commencent
Dans une ère où l’IA transforme les industries à un rythme sans précédent, le côté sombre de cette révolution technologique est tout aussi alarmant. Alors que les entreprises se précipitent pour exploiter le potentiel de l’IA, les cybercriminels exploitent ces progrès, modifiant la dynamique de la cybercriminalité et de la fraude.
Changer l’économie de la cybercriminalité et de la fraude
Les cybercriminels utilisent les mêmes modèles et technologies d’IA que les entreprises, les adaptant souvent dans les jours suivant leur sortie. L’un des premiers exemples d’une telle mauvaise utilisation était l’automatisation de la résolution de CAPTCHA à l’aide de ChatGPT-1, qui a démontré à quel point les modèles génératifs pouvaient contourner les contrôles de sécurité de base.
Depuis, chaque avancée majeure dans l’IA générative a été rapidement reproduite par des adaptations criminelles, notamment la génération de voix et de vidéos deepfake qui apparaissent presque immédiatement sur les plateformes du darknet. Ce cycle accéléré permet aux fraudeurs d’exploiter des technologies sophistiquées pour créer des arnaques convaincantes, sapant les mesures de sécurité traditionnelles.
Au premier trimestre 2025, les pertes financières causées par la fraude basée sur les deepfakes ont été estimées à plus de $200 millions. La rentabilité de la cybercriminalité a explosé, les plateformes offrant des services de « fraude en tant que service » facilitant la mise en œuvre de schémas complexes, notamment les identités synthétiques et les kits de phishing avancés.
Alors que les entreprises luttent pour développer leurs capacités d’IA, les criminels prennent les devants, innovant continuellement et exploitant les failles laissées par les cadres de sécurité obsolètes.
Pourquoi les cadres de sécurité et de confiance traditionnels échouent face aux acteurs alimentés par l’IA
Les mesures de sécurité traditionnelles qui offraient autrefois une certaine protection se révèlent inadéquates. Les systèmes hérités, basés sur des listes noires, des CAPTCHAs et une authentification à facteur unique, sont mal équipés pour lutter contre le paysage évolutif des attaques alimentées par l’IA. Les criminels utilisent des deepfakes capables de tromper les scanners biométriques et des identités synthétiques qui contournent facilement les protocoles de connaissance du client.
Cet échec est aggravé par le fait que de nombreuses organisations traitent encore la cybersécurité comme un centre de coûts plutôt que comme un composant essentiel de l’infrastructure. Alors que le Pentagone investit des millions pour embaucher des pirates informatiques d’IA, l’écart technologique devient évident. Alors que les entreprises sont engagées dans un théâtre de conformité, les criminels exploitent l’IA pour exploiter les vulnérabilités humaines, telles que les attaques de phishing ciblées qui imitent les communications des dirigeants.
À quoi ressemblent les attaques « natives IA » dans la pratique
Les tactiques de fraude modernes ont évolué bien au-delà des schémas de phishing du passé. Les attaquants construisent des chaînes de fraude élaborées qui apparaissent légitimes à chaque étape.
Imaginez un matin d’entreprise habituel. Mardi, 9h43. Un directeur financier reçoit un e-mail marqué « urgent », apparemment envoyé par le PDG. Le ton est familier. Le langage correspond aux demandes précédentes. Un message de suivi arrive quelques minutes plus tard sur un canal différent, renforçant l’urgence. À 11h00, un virement bancaire de plusieurs millions de dollars est approuvé, mais il est découvert plus tard qu’il a été acheminé vers un compte offshore contrôlé par les attaquants.
Ces attaques natives IA sont des manipulations psychologiques qui exploitent la confiance et l’autorité. La sophistication de ces opérations met en évidence un fossé dans les mesures de sécurité existantes, qui ne peuvent détecter les anomalies comportementales nuancées qui caractérisent la fraude moderne.
Que les entreprises devraient réalistiquement donner la priorité avant de déployer plus d’IA en interne
Avant de déployer plus d’IA en interne, les entreprises doivent faire une pause et réévaluer leurs hypothèses sur la confiance. L’accélération de la criminalité alimentée par l’IA a exposé une faiblesse structurelle : les organisations défendent encore contre les menaces d’hier, tandis que les attaques d’aujourd’hui sont conçues pour paraître légitimes par défaut.
1. Les entreprises doivent reconsidérer la façon dont le risque est défini.
Les matrices de risque traditionnelles étaient construites autour de défaillances telles que les pannes de système, les fuites de données, les violations de politiques. À l’ère de l’IA, le risque provient de plus en plus de la simulation plutôt que de la défaillance. Au lieu de se demander « ce qui pourrait mal se passer », il est plus approprié de se demander « ce qui peut être convaincant, à grande échelle, plus rapidement que nous ne pouvons réagir ».
Les identités synthétiques, l’usurpation d’identité d’exécutifs et les récits générés par l’IA se comportent différemment des menaces héritées : ils se propagent plus rapidement, se fondent dans les activités légitimes et exploitent la confiance plutôt que les failles techniques. Il n’est pas surprenant que ces risques tendent à être classés plus haut et à se matérialiser plus souvent que leurs prédécesseurs non IA, se cachant dans la cybersécurité, la fraude, le risque de réputation ou la conformité.
2. Les organisations doivent accepter que la prévention seule n’est plus suffisante.
Les principales entreprises cartographient désormais les risques liés à l’IA sur trois couches de défense, qui correspondent à l’architecture modulaire de AI Defender :
- Prévention des risques – qui inclut désormais l’anticipation d’attaques qui exploitent la confiance humaine et le contenu généré par l’IA, et non seulement le blocage de menaces connues.
- Vérification d’identité basée sur l’IA
- Intégrité de la session et du dispositif
- Protection de la communication des exécutifs
- Détection et surveillance des menaces combine l’analyse technique des anomalies avec la surveillance des médias et du comportement, reflétant le fait que de nombreuses attaques natives IA se manifestent dans les modèles de communication plutôt que dans le code.
- Surveillance continue des signaux et des anomalies
- Détection d’IA vs IA
- Surveillance des médias et des récits
- Enquête et attribution – axée sur la reconstruction des événements, l’attribution de l’intention et la production de preuves tangibles, permettant aux organisations de réagir efficacement même lorsque la tromperie se propage plus rapidement que leurs défenses initiales.
- Explicabilité des alertes d’IA
- Attribution de l’activité suspecte
- Preuves de niveau OSINT
3. Les entreprises doivent affronter la dimension humaine de la fraude native IA.
Les employés restent le point d’entrée principal des attaques modernes, mais la nature de l’exploitation a changé. Un modèle courant observé de plus en plus dans la fraude alimentée par l’IA implique des interactions internes plutôt que des attaques externes. Les employés peuvent recevoir des appels vidéo courts d’un prétendu service RH, demandant de « vérifier rapidement leur identité » pour résoudre un problème de paie. Le visage, la voix et le branding apparaissent authentiques. La demande en elle-même semble inoffensive, mais elle permet en réalité la prise de contrôle du compte plus tard dans la journée.
Ce type de scénario illustre pourquoi la fraude alimentée par l’IA exploite le contexte, l’autorité et le timing, imitant souvent les communications des exécutifs avec une précision inquiétante. Dans cet environnement, la formation à la sécurité traditionnelle risque de ne devenir qu’un théâtre de conformité, offrant une fausse sécurité sans résilience réelle.
Le défi ne réside pas seulement dans la sensibilisation, mais dans la façon dont le problème est formulé.
Reformuler le problème (c’est l’étape zéro)
Ancien modèle mental : « Former les employés à ne pas faire d’erreurs. »
Nouveau modèle mental : « Supposer que les employés seront ciblés, manipulés et utilisés comme arme. »
La formation n’est pas l’éducation.
La formation est l’immunisation + la mémoire musculaire.
Vue sous cet angle, ce que les équipes doivent être formées à reconnaître les modèles de fraude récurrents.
Les 5 principaux vecteurs de fraude IA qui passent à travers les employés – aucun de ceux-ci n’est arrêté par les affiches de sensibilisation :
| Vector | À quoi cela ressemble dans la réalité |
| Usurpation d’autorité | Note vocale du PDG/CFO, WhatsApp, Zoom deepfake |
| Pièges d’urgence | « 5 minutes », « confidentiel », « niveau du conseil d’administration » |
| Piratage de contexte | Le fraudeur connaît les projets réels, les noms, les délais |
| Abus de processus | « Juste contournez cela une fois », « normal plus tard » |
| Abus de confiance dans les outils | « L’IA a dit que c’est bon », « le système a déjà approuvé » |
4. Les organisations doivent reconsidérer ce que signifie « identité » dans un monde de réalité synthétique.
Alors que les voix et les vidéos deepfake sapent la confiance biométrique, aucun facteur unique ne peut prouver de manière fiable l’authenticité. La résilience provient de plus en plus de l’accumulation de nombreux signaux faibles au fil du temps, tels que le contexte, la continuité et la cohérence à travers les appareils, les sessions et les points de données externes.
Les données ouvertes et externes, qui étaient longtemps traitées comme secondaires, gagnent une importance stratégique. Lorsqu’elles sont combinées avec des signaux de comportement internes, elles aident à répondre à une question critique : cette identité ou action a-t-elle du sens dans différents contextes ? Dans un monde où presque tout peut être fabriqué, la cohérence devient l’un des rares ancrages de confiance restants.
