Alors que les entreprises explorent les avantages de l’utilisation d’outils informatiques assistés par l’intelligence artificielle (IA) et l’apprentissage machine (ML), nous continuons à voir un intérêt et une adoption rapides de la technologie – en particulier dans les entreprises. La plupart des conversations tournent aujourd’hui autour de ChatGPT, un outil basé sur l’IA/ML pour générer du texte à partir d’entrées ou d’invites. ChatGPT a déjà été utilisé comme base pour augmenter les capacités existantes dans les produits destinés aux clients, comme l’intégration par Microsoft de ChatGPT dans son moteur de recherche Bing afin d’améliorer la qualité des résultats de recherche.
Les particuliers ont également profité de l’accessibilité de ChatGPT pour produire rapidement du contenu qui augmente leur productivité tout en réduisant les coûts. Dans le même temps, les projecteurs braqués sur l’IA ont suscité des inquiétudes en matière de cybersécurité auprès de l’European Data Protection Board (EDPB), un organisme de réglementation européen chargé de superviser les règles de protection des données, qui a récemment mis sur pied un groupe de travail chargé de réglementer l’utilisation de la technologie ChatGPT. Cette initiative fait directement suite à l’interdiction pure et simple de cette technologie par l’Italie et aux inquiétudes exprimées par plusieurs autres pays de l’UE quant à l’utilisation du ChatGPT.
Voir aussi :
ChatGPT vs GDPR – ce que les chatbots d’IA signifient pour la confidentialité des données – Alors que le ChatGPT d’OpenAI prend d’assaut l’espace des grands modèles de langage, il y a beaucoup à prendre en compte en ce qui concerne la confidentialité des données.
Comment adopter l’IA générative dans votre entreprise – Quels sont les cas d’utilisation pour intégrer l’IA générative dans votre entreprise ? Comment peut-elle contribuer à alléger le fardeau des tâches administratives répétitives ? Quelles sont ses limites ? Découvrez-le ici.
L’un des défis auxquels sont confrontés les groupes de travail comme celui-ci est que l’IA/ML rapproche la technologie de la limite de ce que nos sens humains normaux peuvent détecter. Cela joue sur nos sens les plus intuitifs que sont la vue et l’ouïe, ce qui rend la détection plus difficile que jamais. Les outils d’IA, tels que ChatGPT, peuvent abaisser la barre pour que les adversaires réussissent à exécuter des cyberattaques en utilisant des textes, des vidéos et des sons convaincants dans le cadre d’attaques par hameçonnage et par ransomware.
Les cybercriminels n’ont pas toujours besoin de recourir à des méthodes d’attaque sophistiquées pour compromettre un environnement cible. En fait, les adversaires choisissent souvent la voie de la moindre résistance en employant des tactiques qui coûtent le moins de temps et d’argent possible.
Dans le monde des affaires d’aujourd’hui, où la main-d’œuvre est géographiquement répartie, les outils d’intelligence artificielle permettent de mettre au point des méthodes de plus en plus crédibles pour mener à bien des attaques d’ingénierie sociale. Les contrôles qui étaient autrefois difficiles à contourner, comme la vérification vocale de l’identité lors de la réinitialisation d’un mot de passe, deviendront obsolètes. Bien que ChatGPT ne puisse pas (encore) produire des résultats convaincants en matière de spear phishing, il pourrait être utilisé pour améliorer les problèmes de qualité de base de la plupart des campagnes de phishing, tels que la mauvaise grammaire et les informations manifestement inexactes.
La menace d’une prise de contrôle d’un compte par le biais du phishing et de l’ingénierie sociale est aggravée par la prévalence de méthodes d’authentification dépassées. En effet, selon une étude récente de Yubico, 59 % des employés utilisent encore des noms d’utilisateur et des mots de passe pour s’authentifier sur leurs comptes en ligne, tandis que plus de la moitié des employés admettent avoir noté ou partagé un mot de passe, ce qui accroît le risque de prise de contrôle du compte.
Comment les organisations peuvent-elles renforcer leurs défenses ?
Alors que l’adoption d’outils soutenus par l’IA/ML continue de croître, il sera important de se concentrer sur les principaux moyens d’atténuer les risques associés à leur utilisation. Lorsque l’efficacité des mesures d’identité auxquelles les entreprises font confiance depuis des décennies, telles que la vérification vocale et la vérification vidéo, s’érode, il est d’autant plus important de disposer d’une identité électronique solidement liée.
Les solutions d’identification résistantes à l’hameçonnage, telles que les clés de sécurité, qui s’appuient sur du matériel et sont conçues sur la base de principes cryptographiques, excellent dans ces scénarios. Les clés de sécurité compatibles avec FIDO2 garantissent également que ces informations d’identification sont liées à une partie utilisatrice spécifique. Cette liaison empêche les attaquants de profiter d’une simple erreur humaine – par exemple, notre incapacité à distinguer un 0 (zéro) d’un O (o majuscule) dans l’URI d’un site web malveillant.
Avec les clés de sécurité, les informations d’identification sont stockées en toute sécurité dans du matériel, ce qui empêche leur transfert vers un autre système à l’insu de l’utilisateur ou par accident. L’utilisation d’authentificateurs FIDO2 réduit également considérablement l’efficacité de l’ingénierie sociale par le biais du phishing, car les utilisateurs ne peuvent pas être incités à donner un mot de passe à usage unique à un attaquant, ou se faire voler les codes d’authentification SMS directement par le biais d’une attaque par échange de cartes SIM.
Alors que la technologie continue d’évoluer et que des outils tels que ChatGPT changent le monde du travail, les entreprises doivent s’assurer qu’elles réagissent en mettant en œuvre une authentification multifactorielle (MFA) résistante au phishing afin de protéger les données et les actifs critiques. En outre, ces mesures doivent être soutenues par une formation continue à la sécurité du personnel afin de renforcer les défenses et de placer les entreprises dans la meilleure position possible pour réussir à atténuer les cybermenaces émergentes.
Ben Eichorst est ingénieur principal en sécurité chez Yubico, fournisseur de solutions d’authentification matérielle..