Accueil À propos
cover-img
BFM Business Cybersécurité

Journaliste à BFM Business en charge notamment des questions de cybersécurité, je suis heureux de partager avec vous chaque semaine l’actualité du secteur mais aussi ma revue de presse et des tribunes

image_author_Frédéric_Simottel
Par Frédéric Simottel
8 févr. · 7 mn à lire
Partager cet article :

La procédure est sœur jumelle de la Liberté

La lettre de Frédéric Simottel n°41

Dans la newsletter d’aujourd’hui:

Pour les abonnés gratuits:

  • L’édito: La procédure est sœur jumelle de la Liberté 

Pour les abonnés payants:

  • Études: Les inquiétudes grandissantes de l’IA générative & les menaces qui vont s’accentuer au cours de l’année 2024

  • La tribune: Pourquoi le secteur manufacturier est-il devenu une cible privilégiée des cyberattaques ? Par Olivier Tireau, Directeur Général France de SentinelOne

  • A ne pas manquer sur le web:

    • Viamedis visé par un piratage

    • #AIAct après le vote, quelles sont les actions de mise en conformité à prévoir ? 

“Nous y sommes. Les premiers deepfakes apparus « pour rire » dans le grand public ont franchi les barrières de l’entreprise. Plus question de parodier Joe Biden ou Vladimir Poutine en leur prêtant des propos stupides ou de détourner des vidéos de Taylor Swift pour affoler les réseaux sociaux. Depuis l’an passé, les arnaques par clonage audio et vidéo ont non seulement augmenté mais se sont professionnalisés. Un avocat américain s’est même fait berner par un IA qui a réussi à imiter son fils. Face à ce fléau, la première des réponses reste la sensibilisation. « Au moindre doute, surtout ne pas y aller ». Certains chercheront la réponse technologique. Mais tout cela ne vaudra pas la meilleure des recettes qu’il soit… le process.” 

La procédure est sœur jumelle de la Liberté 

C’était il y a quelques semaines. La police de Hong Kong a expliqué qu’un cadre financier d’une grande entreprise internationale, a été berné par un clonage vidéo ou « deepfake ». Il a laissé s’évaporer 25 millions de dollars. Victime d’une nouvelle version de la fraude au président. Son patron est justement en voyage à l’étranger, au cœur d’une transaction financière de haute volée. L’opération porte sur un montant de 25 millions de dollars et doit rester secrète. Seuls quelques cadres sont au courant. Méfiant, le cadre contacté ne peut se contenter d’un simple échange téléphonique. Une visioconférence est alors organisée à laquelle il participe, rejoints par 2-3 collègues et… son N+1. Plus de doute, il est la cheville ouvrière de ce deal qui concerne bien son entreprise. Il valide alors le transfert. Grave erreur. Ses interlocuteurs qu’il connaissait tous très bien n’étaient autre que des clones dopés à l’IA.

Imaginez le niveau de préparation des pirates. Pendant plusieurs mois ils ont espionné tous ceux qui travaillaient dans cette entreprise et gravitaient en parallèle sur les réseaux sociaux ou sur les plateformes telles que Youtube, Instagramm ou Tiktok. Pas à pas, ils ont mis décortiquer l’organigramme de l’entreprise, cibler quelques cadres, cloner leurs voix, leurs visages ; des images empruntées sans doute aux téléconférences, tutoriels ou simples publications parues sur le Web et les réseaux sociaux de ces employés. Patiemment, les pirates ont mis en place le jumeau numérique de l’organisation en s’appuyant sur des logiciels d’IA. Et l’arnaque a fonctionné. Ils ont réussi à voler 25 millions de dollars. Un nouveau pallier de la fraude au président a été franchi.

Les deepfakes ne font plus rire

Le problème est que ce type de fraude va devenir de plus en plus difficile à repérer. Certains réfléchissent à des systèmes de détection qui analysent très précisément les vidéos en temps réel et seraient bientôt capables d’afficher un indicateur de confiance vert/orange/rouge. Mais à l’heure actuelle, ces plateformes manquent encore de fiabilité. D’autres s’inspirent des grandes heures des romans à la John Le Carré ou Ian Fleming et mettent en place des combinaisons de mots-codes ou de questions réponses codées. Pourquoi pas. Mais là encore le passage à l’échelle semble complexe. N’est pas 007 qui veut. Parmi les autres bonnes pratiques, plus réalistes en l’occurrence, figure l’entraînement à l’exercice de crise « deepfake ». Plusieurs cabinets de conseils ont lancé leurs cycles de formation. Cela S’inscrit dans un cadre plus complet de sensibilisation et peut aider les entreprises à la prise de conscience de leurs collaborateurs pour qui les « deepfakes » se limitent encore à doubler des discours de Donald Trump sans se douter à quel point ces technologies font déjà partie de l’arsenal du crime organisé.

Bon sens et respecter les règles

En fait, comme souvent en cybersécurité, la recette la plus simple est souvent celle que l’on a sous les yeux : le bon sens et les process (mais encore faut-il qu’ils existent). Un ancien grand patron avec qui nous échangions sur la transformation numérique -nous en étions aux prémices de cette révolution- me disait toujours que les 4 points impactés par l’arrivée du digital dans l’entreprise étaient l’organisation, la relation clients, la quête de nouveaux business models et les process. Ce dernier point est essentiel en cybersécurité. A partir d’un certain montant engagé, un salarié ne doit jamais agir seul ; il faut être au moins 3 avec au moins 2 personnes en physique. Cela peut paraître une évidence pour beaucoup mais peu de collaborateurs respectent vraiment la procédure : « cela fait perdre du temps ». On doit aussi s’interroger sur le montant à partir duquel la transaction ne peut plus se faire par téléphone ou par visioconférence.

Appliquer le « Security by design »

L’un des meilleurs moyens pour se sécuriser est alors de se reporter à une charte établie par le directeur financier, le juridique et le DSI/RSSI. Certains évoqueront que trop de règles freinent la dynamique de l’entreprise. Mais au contraire : « La procédure est sœur jumelle de la Liberté ». Certes, cette citation est attribuée à Lénine, mais en la prenant dans son sens plus… démocratique, elle fait référence à l’importance des procédures légales et judiciaires dans la protection et garantie des libertés individuelles. La liberté doit s’appliquer dans un cadre de règles qui garantissent l’équité, la justice et le respect des droits des individus.

En tentant un parallèle, on pourrait dire que les procédures ou process de cybersécurité sont essentiels pour s’assurer que les droits et libertés sont appliqués de manière cohérente. En clair, on peut… on doit même innover et développer sans cesse mais en respectant un cadre. Le principe de rapidité ou d’agilité ne peut pas prendre le dessus en matière de cyber. La procédure sœur jumelle de la Liberté met en lumière le lien indissociable entre la rigueur des process et le respect de la liberté. N’est ce pas un peu le principe du « security by design ».

(*) citation de Lénine

...

La suite est réservée aux abonnés payants
Déjà abonné ? Se connecter
image_author_Frédéric_Simottel
Frédéric Simottel Éditorialiste High-Tech sur BFM BUSINESS et BFMTV. Ingénieur télécoms et réseaux de formation, ce journaliste spécialisé occupe depuis plus de 28 ans une position privilégiée en tant qu’observateur du marché high-tech.
A lire aussi dans BFM Business Cybersécurité