Le phishing, déjà un fléau pour les entreprises, a été exacerbé par l’émergence des grands modèles linguistiques et de l’intelligence artificielle générative. Cette technique de cyberattaque, responsable de plus de 90 % des violations de données, est désormais renforcée par une technologie qui la rend presque indétectable. Face à cette menace, les méthodes traditionnelles sont obsolètes. L’avènement de l’IA générative exige une réponse plus avancée.

Pour donner une idée de l’ampleur de la problématique, une entreprise moyenne subit 700 attaques de social engineering par an, dont 57 ciblent le PDG. En 2022, le volume mondial de cyberattaques a augmenté de 38 %, atteignant un pic historique au quatrième trimestre. Auparavant, de nombreuses attaques de phishing étaient facilement repérables grâce à une mauvaise grammaire ou à des stratagèmes peu réalistes. Mais avec l’arrivée des outils d’IA générative, les cybercriminels ont désormais de puissants alliés pour rendre leurs attaques de phishing plus crédibles et extensibles. En d’autres termes, un problème déjà colossal s’aggrave et devient plus intelligent.

Sécurité et IA générative : vers un nouveau paradigme

Utilisées à bon escient, des technologies comme ChatGPT peuvent faire économiser aux entreprises du temps, de l’argent et de la main-d’œuvre grâce à leurs capacités de création de contenu et de traitement du langage. Cependant, leur détournement pour des campagnes de phishing sophistiquées est de plus en plus courant.

Des outils tels que FraudGPT et WormGPT, conçus explicitement pour le cybercrime, ont vu le jour sur le dark web. Ces outils contournent les restrictions officielles pour créer des emails de phishing convaincants et même des sites web frauduleux. Auparavant, un simple coup d’œil suffisait pour détecter la majorité des emails ou messages de phishing. Mais aujourd’hui, les erreurs grammaticales et les formulations maladroites, qui éveillaient les soupçons, sont éliminées.

Certains experts évoquent la singularité, quand l’IA surpasserait l’intelligence humaine. En matière de détection de phishing, nous y sommes peut-être déjà. Certains soutiendront que les entreprises peuvent contrer l’IA par l’IA, en adoptant des logiciels prétendant identifier le contenu rédigé par une IA générative. Même en mettant de côté les résultats mitigés offerts par ces outils, cette approche est fondamentalement erronée. Combattre l’IA avec l’IA instaure un nouveau cycle du même jeu où le succès repose sur la détection de toutes, ou du moins d’un nombre significatif, des attaques de phishing. Cela conduira à une course aux armements, où les attaques de phishing et la technologie qui les sous-tend s’adapteront, devenant de plus en plus sophistiquées et difficiles à détecter en réponse.

Repenser les règles

Le véritable enjeu n’est pas la détection des emails de phishing ou du « social engineering ». Aucune formation ou logiciel de détection ne sera jamais infaillible. Les entreprises doivent repenser leur approche, ne plus jouer selon les règles des fraudeurs.

Au cœur de la problématique : les identifiants. Les cybercriminels cherchent avant tout à obtenir ces précieuses données. En 2022, de nombreuses entreprises ont admis avoir été victimes de telles attaques. Une fois en possession de ces identifiants, les fraudeurs peuvent accéder aux systèmes, extraire des données ou de l’argent. La solution ? Rendre les identifiants invulnérables.

Vers une authentification sans mot de passe

Rappelons-le, 74 % des violations sont dues à des erreurs humaines, à l’abus de privilèges, à l’utilisation d’identifiants volés ou au social engineering. En éliminant ce maillon faible, nous supprimons la possibilité pour les fraudeurs de profiter de leurs succès. Des méthodes d’authentification sans mot de passe, comme les passkeys, offrent une sécurité renforcée.

Avec les passkeys, même si un employé est dupé par un site frauduleux, il ne pourra pas fournir de mot de passe puisqu’il n’en possède pas. De plus, les tentatives de capture de données biométriques sont vouées à l’échec, ces informations restant sécurisées sur l’appareil de l’utilisateur.

L’inaction n’est plus une option

Les responsables de la sécurité doivent prendre conscience de l’urgence. La solution ne réside pas uniquement dans la technologie, mais aussi dans la communication et l’éducation. Ignorer cette menace revient à faire preuve de négligence. Les solutions existent, et le choix entre continuer à utiliser des mots de passe ou adopter des technologies plus sécurisées comme les passkeys aura des conséquences majeures.

En conclusion, face à l’évolution constante des cyberattaques, les entreprises doivent s’adapter rapidement. L’ère des mots de passe est révolue. Il est temps d’adopter des méthodes d’authentification plus robustes pour garantir la sécurité de tous.