Perspectives de la cybersécurité 2024 : mesures de protection des PI et des données à l’ère de l’IA – LVB
Écoutez cet articleLes nouvelles technologies et l’intelligence artificielle (IA), en particulier, offrent des améliorations et des efficacités qui nous facilitent la vie. Les chatbots peuvent nous connecter rapidement aux solutions dont nous avons besoin et l’automatisation logicielle peut réduire de 20 minutes de travail à deux minutes. Mais ces mêmes outils peuvent également permettre aux criminels et aux fraudeurs de profiter plus facilement des personnes et des entreprises, en particulier lorsqu’ils ne sont pas habitués aux types d’attaques que cette technologie peut permettre. Des programmes de phishing et deepfakes basés sur l’IA à la puissance des logiciels malveillants automatisés et des outils de piratage, les menaces sont diverses et évolutives.
L’essor de l’IA dans la cybersécurité présente à la fois des défis et des opportunités. Et avec l’évolution technologique actuelle, l’intégration de la cybersécurité dans les politiques d’entreprise est essentielle pour atténuer les risques, garantir la conformité, préserver la continuité des activités et protéger à la fois les actifs de l’entreprise et les intérêts des parties prenantes. En comprenant les dernières tendances et en adoptant des mesures proactives, les particuliers et les entreprises peuvent prendre le contrôle de leur sécurité et contribuer à protéger leurs données lorsqu’ils sont en ligne.
Phishing et ingénierie sociale basés sur l’IA
Le phishing n’a rien de nouveau. Les gens sont amenés à divulguer des informations sensibles, telles que des mots de passe ou des informations financières, par des fraudeurs se faisant passer pour une personne ou une organisation digne de confiance par courrier électronique, SMS ou sites Web. Les attaques de phishing ont évolué parallèlement à la technologie et à l’instinct humain, devançant ainsi nos idées préconçues sur la réussite.
L’introduction de l’IA a ouvert la porte à une toute nouvelle classe d’attaques de phishing. Les programmes d’IA générative facilitent la reproduction du style d’écriture d’une personne ou d’une entreprise en qui nous avons confiance, ce qui peut nous donner davantage confiance dans la légitimité d’un message. Ces outils peuvent également analyser le comportement en ligne pour mieux se déguiser et se fondre dans ce que vous faites habituellement en ligne. Les chatbots peuvent engager des conversations réalistes, ce qui les rend plus susceptibles de révéler des informations sensibles à une personne que vous jugez digne de confiance.
La meilleure façon de protéger les informations sensibles est simplement de ralentir et de réfléchir de manière critique à vos interactions numériques. Les attaques de phishing s’attaquent à notre instinct d’agir rapidement, qu’il s’agisse de vous connecter à votre compte bancaire après avoir reçu un message inquiétant ou de répondre à une demande d’informations sensibles de votre patron. Pour vous protéger contre une éventuelle tentative de phishing, assurez-vous de vérifier toutes les correspondances que vous recevez pour détecter les fautes d’orthographe, les erreurs grammaticales et les demandes étranges. Par exemple, votre banque ne vous demandera jamais de révéler les informations de votre compte ou votre numéro de sécurité sociale par e-mail ou par SMS. Si quelque chose vous semble étrange, il est préférable de faire confiance à votre instinct.
Deepfakes et identités synthétiques
La puissance de l’IA ne se limite pas à générer des messages et des discussions plus réalistes. L’une des plus grandes cybermenaces est la capacité de générer des deepfakes, c’est-à-dire de fausses vidéos, images ou même enregistrements vocaux réalisés par un ordinateur qui semblent remarquablement réels. Les gens ont généré de fausses vidéos de dirigeants mondiaux, synthétisé des enregistrements vocaux pour ressembler à des présidents américains et généré de fausses images de célébrités.
Les deepfakes sont troublants du point de vue de la cybersécurité, car les imposteurs peuvent facilement se faire passer pour un haut dirigeant d’une entreprise, un membre des forces de l’ordre ou même votre parent ou votre enfant. Les criminels peuvent reproduire la voix d’un proche ou d’un collègue de travail, demandant des informations personnelles sensibles. Dans d’autres cas, les fraudeurs peuvent créer des personnages entièrement nouveaux (une variante de l’approche classique du catfishing) pour tenter d’escroquer des personnes ou des entreprises.
Logiciels malveillants et outils de piratage automatisés
Les logiciels malveillants automatisés et les outils de piratage dynamisent les ressources sur lesquelles les cybercriminels s’appuient pour commettre leurs crimes depuis des décennies. L’IA facilite la création et le déploiement automatiques de logiciels malveillants, grâce à ses prouesses en matière de codage logiciel. Cela permet aux attaquants d’exécuter des campagnes à grande échelle sur les réseaux informatiques personnels et d’entreprise. L’IA peut non seulement créer et déployer des attaques ; il peut également découvrir l’analyse des vulnérabilités du système et les exploits en quelques secondes.
Par exemple, les ransomwares basés sur l’IA peuvent identifier des vulnérabilités spécifiques dans un large éventail de systèmes plus rapidement que les outils préexistants. Il est donc difficile pour les individus et les réseaux de suivre le rythme, car les humains ne peuvent pas travailler aussi rapidement que les outils basés sur l’IA. Lorsqu’une vulnérabilité est exploitée, les cybercriminels peuvent voler des informations sensibles, telles que des coordonnées bancaires, des numéros de sécurité sociale, etc.
Il est plus important que jamais de rester proactif en matière de cybersécurité. Mettez régulièrement à jour vos logiciels et systèmes d’exploitation avec les derniers correctifs de sécurité, utilisez des mots de passe robustes et activez l’authentification à deux facteurs. Séparez les fichiers professionnels et personnels pour créer un tampon entre les systèmes. Il est important de noter que si vous pensez que vos informations ou votre ordinateur ont été compromis, contactez votre équipe informatique pour obtenir une assistance immédiate.
Attaques de bourrage d’informations d’identification
Les attaques de credential stuffing se produisent lorsque les cybercriminels connaissent l’un de vos mots de passe et tentent de l’utiliser ailleurs en espérant que vous réutilisiez les mots de passe sur plusieurs sites. Les algorithmes d’apprentissage automatique basés sur l’IA peuvent tester simultanément de vastes ensembles d’informations d’identification volées sur plusieurs sites Web, obtenant ainsi accès à ces sites si vous réutilisez vos mots de passe. Les mesures de sécurité mises en place par les sites pour détecter les activités inhabituelles des comptes ont du mal à suivre ces systèmes, ce qui les rend plus susceptibles d’être compromis sans le savoir.
La meilleure défense contre le credential stuffing est de ne jamais réutiliser les mots de passe des comptes. Il peut être difficile de mémoriser plusieurs mots de passe uniques, mais les gestionnaires de mots de passe peuvent vous aider à les conserver clairement et même à suggérer de nouveaux mots de passe complexes lorsque vous en avez besoin. Changer régulièrement les mots de passe peut également aider, tout en utilisant l’authentification multifacteur autant que possible. Surveillez également vos comptes pour détecter les tentatives de connexion suspectes ou à partir d’emplacements inhabituels.
Alors que nous exploitons les commodités offertes par l’IA, les défis de cybersécurité qui en découlent exigent notre attention. Ralentissez, scrutez les interactions numériques et restez diligent, tout en suivant les mêmes conseils qui accompagnent l’informatique (et la banque) à l’ère moderne.
Lance Spencer est vice-président principal et responsable de la sécurité de l’information chez Northwest Bank.