Les deepfakes représentent une menace croissante pour la cybersécurité des entreprises, avec des cyberattaques de plus en plus sophistiquées exploitant ces technologies pour manipuler l’identité et tromper les employés. Voici 6 bonnes pratiques à mettre en œuvre pour en atténuer la menace.
Selon un rapport de VMware, en 2022 déjà, 66 % des professionnels de la cybersécurité déclaraient avoir vu des deepfakes exploités lors d’une cyberattaque. La plupart de ces attaques avaient pris la forme de vidéos (58 %) plutôt que d’audio (42 %), ciblant les employés principalement par email et messagerie mobile. Avec l’essor de l’IA qui permet de sophistiquer toujours plus ces technologies pour créer du contenu audio et vidéo hyper réaliste en temps réel, la supercherie est de plus en plus difficile à détecter par l’humain et la menace pour les entreprises de subir une attaque d’ingénierie sociale par deepfake grandit.
Voici six mesures concrètes à prendre pour protéger son organisation contre les menaces modernes basées sur l’identité, telles que les deepfakes et autres attaques.
1 / Le Zero Trust
En mettant en œuvre des contrôles de sécurité Zero Trust et en adoptant une mentalité Zero Trust, les organisations peuvent mieux prévenir et atténuer les attaques basées sur l’identité. Les concepts fondamentaux que les organisations doivent déployer comprennent l’authentification et la surveillance continues basées sur le contexte, ainsi que l’application du principe du moindre privilège.
Ces éléments doivent être associés à des politiques solides et testées. Par exemple, une organisation pourrait standardiser un logiciel de conférence Web à utiliser pour organiser des réunions d’affaires au sein de l’entreprise, et pour lequel des contrôles stricts basés sur l’identité seraient appliqués.
2 /Les tests d’intrusion Deepfake
Quelle meilleure façon de se préparer à une attaque deepfake que d’utiliser des deepfakes dans des tests de pénétration et des exercices de formation ? Les tests de pénétration vidéo et audio deepfakes sont une méthode potentielle que les pirates éthiques peuvent utiliser pour évaluer les vulnérabilités des flux de travail et sensibiliser les organisations aux risques associés aux médias manipulés.
Cette technique utilise généralement l’intelligence artificielle pour créer des vidéos ou des enregistrements audio réalistes, mais entièrement fabriqués, afin d’imiter des individus réels disant ou faisant des choses fictives dans le cadre d’une campagne d’ingénierie sociale. Grâce à cette reconstitution d’une véritable attaque deepfake, les pirates éthiques peuvent évaluer l’efficacité des mesures de sécurité et des processus internes (c’est-à-dire les contrôles financiers), identifier les faiblesses potentielles et conseiller sur la manière de renforcer les défenses contre ces types d’attaques d’ingénierie sociale.
En démontrant le potentiel de désinformation et de tromperie des deepfakes, les organisations peuvent mieux comprendre l’importance de mettre en œuvre des contrôles de sécurité et de politique supplémentaires pour se protéger contre l’exploitation humaine. Cette approche proactive contribue à sensibiliser et à améliorer les stratégies de cybersécurité pour lutter contre les menaces en constante évolution posées par les techniques avancées de manipulation numérique. Tout comme pour de nombreux autres types de tests d’intrusion, les organisations doivent tenir compte des considérations juridiques et éthiques de ces exercices, ainsi que des risques.
3 / La formation et l’éducation
Il est essentiel de mettre en place une formation continue en cybersécurité pour tous les employés. En 2023, 74 % de toutes les violations impliquaient un élément humain, les personnes étant impliquées soit par erreur, soit par abus de privilèges, soit par utilisation d’identifiants volés, soit par ingénierie sociale (cf. Verizon Data Breach Report 2024).
Former les employés afin qu’ils soient en mesure d’être vigilants pour reconnaître et contrecarrer de telles tactiques de manipulation constitue une ligne de défense essentielle. Il est également important de proposer des modules de formation personnalisés pour informer des groupes spécifiques d’employés sur les menaces auxquelles ils sont le plus susceptibles d’être confrontés. La simulation d’attaques d’ingénierie sociale imitant le phishing réel peut aussi contribuer à créer une culture de sensibilisation à la cybersécurité au sein d’une organisation. Enfin, des processus internes et une surveillance doivent également être mis en place pour protéger contre les pertes de données ou financières importantes, et les employés doivent être bien formés sur ces processus.
4 / L’authentification multifacteur (MFA)
Lorsqu’elle est mise en œuvre efficacement, l’authentification multifacteur (MFA) ajoute une couche de protection importante contre les accès non autorisés et garantit l’authenticité d’une identité. Chaque compte privilégié doit avoir l’authentification multifacteur activée. Des politiques de connexion et d’accès conditionnel doivent être mises en place pour garantir que les utilisateurs doivent se réauthentifier à partir du bon appareil, du bon emplacement ou du bon réseau pour mener des activités privilégiées. Toutefois, le MFA à lui seul ne suffit pas. De plus, tous les MFA ne se valent pas. Les MFA résistantes au phishing, telles que FIDO2, peuvent offrir une protection plus solide, ce qui est particulièrement important pour protéger les comptes et les accès hautement sensibles.
5 / La gestion des accès privilégiés (PAM)
Aucune identité ni aucun compte ne sont plus impératifs à sécuriser que ceux disposant d’un accès privilégié aux systèmes, aux données, aux applications et à d’autres ressources sensibles. Avec la prolifération des différents types de comptes cloud et d’identités machine, la frontière entre privilégiés et non privilégiés est de plus en plus floue. Il est impératif pour les organisations d’utiliser des outils de sécurité d’accès privilégiés qui les aident à comprendre où se trouvent les rôles privilégiés, à intégrer ces comptes privilégiés pour la gestion et à appliquer le principe du moindre privilège, ce qui signifie que l’accès est limité à la quantité et à la durée absolument nécessaires en fonction d’un contexte approuvé. À mesure que le paysage des risques d’un environnement évolue, PAM doit s’assurer que tous les privilèges dans le cloud et sur site sont constamment ajustés. En outre, toutes les sessions privilégiées doivent être gérées, surveillées et modifiées.
6 / La détection et réponse aux menaces d’identité (ITDR)
Aujourd’hui, certaines caractéristiques peuvent encore aider les individus à identifier les deepfakes les moins convaincants, comme une mauvaise synchronisation labiale, un éclairage ou une décoloration étranges, un positionnement de la tête/du corps et des expressions faciales maladroits ou peu naturels, des modèles de discours ou des phrases inhabituels, des mouvements oculaires peu naturels ou un manque de clignement des yeux. Cependant, avec les améliorations apportées par l’IA, les organisations devront adopter des technologies et des stratégies modernes, telles que la détection et la réponse aux menaces d’identité (ITDR), qui peuvent détecter de manière intelligente les menaces ou les risques liés à l’identité. Les capacités ITDR peuvent aider les organisations à atténuer les menaces de manière proactive en ajustant leur posture de sécurité en fonction des risques en temps réel, et également à réagir rapidement et à arrêter les attaques en cours afin de minimiser tout risque de dommage. Ces capacités sont particulièrement importantes lorsqu’il s’agit d’atténuer les risques associés aux transactions décentralisées ou externes.
Les attaques par deepfake sont susceptibles d’avoir de lourdes conséquences telles que des pertes financières, de l’espionnage d’entreprise, l’exposition ou le vos d’actifs privilégiés, le vol d’identité personnelle, l’atteinte à la réputation, ou encore la désinformation et la propagation de fake news.
Il est donc essentiel pour les organisations de réévaluer leurs mesures de cybersécurité et leurs processus internes, car de plus en plus de ces types d’attaques modernes sont à venir. Le mantra Zero Trust « ne jamais faire confiance, toujours vérifier » trouve aujourd’hui tout son sens et il n’est pas étonnant de voir qu’il gagne en popularité ces dernières années.
____________________________
Par Thomas Manierre, directeur EMEA Sud de BeyondTrust