Comment protéger votre entreprise des deepfakes générés par l'intelligence artificielle
Récemment, des cybercriminels ont utilisé des vidéos « deepfake » de dirigeants d'une entreprise
multinationale pour convaincre les employés de l'entreprise à Hong Kong de transférer 25,6 millions
de dollars. Sur la base de la vidéoconférence au cours de laquelle plusieurs deepfakes ont été
découverts, les employés pensaient que leur directeur financier au Royaume-Uni avait demandé le
transfert de fonds. Il semblerait que la police ait arrêté six personnes en lien avec cette
escroquerie. Cette utilisation de la technologie de l’intelligence artificielle est dangereuse et
manipulatrice. Sans lignes directrices et cadres appropriés, de plus en plus d’organisations
risquent d’être victimes de fraudes à l’IA telles que les deepfakes.
Deepfakes 101 et leur menace croissante
Les deepfakes sont des formes de médias numériques, notamment des photos, des vidéos et des clips
audio, qui semblent représenter une personne réelle. Ils sont créés en entraînant un système d’IA
sur de vrais clips humains, puis en utilisant ce système d’IA pour créer de nouveaux médias
réalistes (mais inauthentiques). L’utilisation de deepfakes est de plus en plus courante. L'affaire
à Hong Kong est devenue la dernière d'une série d'incidents très médiatisés impliquant des deepfakes
ces dernières semaines. Des images fausses et franches de Taylor Swift ont circulé sur les réseaux
sociaux, le parti politique d'un candidat aux élections pakistanaises emprisonné a utilisé une vidéo
truquée de lui pour prononcer un discours, et un « clone de voix » truqué du président Biden a
exhorté les électeurs des primaires à leur dire de ne pas le faire. vote.
Les cas moins médiatisés de deepfakes commis par des cybercriminels gagnent également en ampleur et
en sophistication. Dans le secteur bancaire, les cybercriminels tentent désormais de contourner
l’authentification vocale en utilisant des clones de voix humaines pour usurper l’identité des
utilisateurs et accéder à leurs fonds. Les banques ont réagi en améliorant leur capacité à détecter
l’utilisation de deepfakes et en augmentant les exigences d’authentification.
Les cybercriminels ciblent également les personnes avec des attaques de « phishing ciblé » qui
utilisent des deepfakes. Une approche courante consiste à tromper la famille et les amis d'une
personne en utilisant un clone vocal pour usurper l'identité de quelqu'un lors d'un appel
téléphonique et demander que de l'argent soit transféré sur un compte tiers. Une enquête menée par
McAfee l'année dernière a révélé que 70 % des personnes interrogées n'étaient pas sûres de pouvoir
distinguer les personnes de leurs clones vocaux, et que près de la moitié des personnes interrogées
répondraient à des demandes de fonds si un membre de la famille ou un ami, l'appelant prétendre
avoir été volé ou impliqué dans un accident de voiture.
Les cybercriminels appellent également des personnes se faisant passer pour des autorités fiscales,
des banques, des prestataires de soins de santé et des assureurs pour tenter d'obtenir des
informations financières et personnelles.
En février, la Federal Communications Commission a statué que les appels téléphoniques utilisant des
voix humaines générées par l’intelligence artificielle sont illégaux à moins qu’ils ne soient passés
avec le consentement préalable exprès de la personne appelée. La Federal Trade Commission a
également finalisé une règle interdisant l’usurpation d’identité d’IA par des organisations
gouvernementales et des entreprises et a proposé une règle similaire interdisant l’usurpation
d’identité d’IA par des particuliers. Cela s’ajoute à la liste croissante de mesures juridiques et
réglementaires prises dans le monde pour lutter contre les deepfakes.
Restez protégé contre les deepfakes
Pour protéger les employés et la réputation de la marque contre les deepfakes, les managers doivent
suivre ces étapes :
Tenez les employés informés à la fois de la fraude basée sur l’IA et, plus généralement, des
opportunités émergentes en matière d’IA et de leurs risques.
Mettez à jour les directives de phishing pour inclure les menaces de deepfake. De nombreuses
entreprises ont déjà informé leurs employés des e-mails de phishing et les ont exhortés à être
prudents lorsqu'ils reçoivent des demandes suspectes via des spams. Ces directives de phishing
doivent inclure les escroqueries deepfake basées sur l’IA et noter qu’elles peuvent utiliser non
seulement du texte et des e-mails, mais également des vidéos, des images et de l’audio.
Augmentez ou calibrez l’authentification des employés, des partenaires commerciaux et des clients en
conséquence. Par exemple, utiliser plusieurs méthodes d'authentification en fonction de la
sensibilité et du risque de la décision ou de la transaction.
Considérez l’impact des deepfakes sur les actifs de l’entreprise tels que les logos, les personnages
publicitaires et les campagnes publicitaires. Ces actifs de l’entreprise peuvent être facilement
reproduits à l’aide de deepfakes et se propager rapidement via les réseaux sociaux et d’autres
canaux en ligne. Réfléchissez à la manière dont votre entreprise va atténuer ces risques et éduquer
les parties prenantes.
Attendez-vous à des deepfakes plus nombreux et de meilleure qualité étant donné le rythme auquel
l’IA générative s’améliore, le nombre de processus électoraux majeurs en cours en 2024 et la
facilité avec laquelle les deepfakes peuvent se propager entre les personnes et au-delà des
frontières.
Si les deepfakes constituent un problème de cybersécurité, les entreprises doivent également les
considérer comme un phénomène complexe et émergent aux implications plus larges. Une approche
proactive et réfléchie pour lutter contre les deepfakes peut aider à éduquer les parties prenantes
et à garantir la responsabilité, la proportionnalité et la pertinence des contre-mesures.