{"id":15596,"date":"2024-09-30T22:49:13","date_gmt":"2024-09-30T20:49:13","guid":{"rendered":"https:\/\/largeur.com\/?p=15596"},"modified":"2024-09-30T16:28:37","modified_gmt":"2024-09-30T14:28:37","slug":"cybersecurite-7","status":"publish","type":"post","link":"https:\/\/largeur.com\/?p=15596","title":{"rendered":"Faux visages, vraies menaces"},"content":{"rendered":"

Une version de cet article r\u00e9alis\u00e9 par Large Network est parue dans\u00a0PME<\/a>.<\/p>\n

_______<\/p>\n

Il y a quelques semaines, le responsable financier d\u2019une entreprise suisse re\u00e7oit un coup de fil pour l\u2019inviter \u00e0 une visioconf\u00e9rence avec son chef. En se connectant, le CFO\u00a0voit et \u00e9change avec son sup\u00e9rieur. Mais durant la conversation, ce dernier tente d’obtenir des informations sensibles et de convaincre le responsable financier de r\u00e9aliser une transaction financi\u00e8re. Heureusement, plusieurs d\u00e9tails ont mis la puce \u00e0 l\u2019oreille de la personne cibl\u00e9e: la tenue vestimentaire de son chef sortait de l\u2019ordinaire et sa voix n\u2019\u00e9tait pas compl\u00e8tement famili\u00e8re.<\/p>\n

Voil\u00e0 un cas signal\u00e9 \u00e0 l\u2019Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 (OFCS) ce printemps recourant \u00e0 la technologie deepfake. Pour rappel, cette derni\u00e8re consiste \u00e0 g\u00e9n\u00e9rer des contenus audio ou vid\u00e9o en utilisant des \u00e9chantillons de la voix et de l’apparence de la personne cibl\u00e9e. L\u2019OFCS enregistre un nombre croissant de plaintes en lien avec des tentatives de fraude qui emploient des technologies li\u00e9es l\u2019intelligence artificielle: \u00abLes cybercriminels utilisent des images g\u00e9n\u00e9r\u00e9es par l\u2019IA pour des tentatives de sextorsion, se font passer pour des personnalit\u00e9s connues au t\u00e9l\u00e9phone ou r\u00e9alisent des escroqueries \u00e0 l\u2019investissement.\u00bb Bien que le nombre de signalements dans ce domaine soit encore relativement faible, il s\u2019agit, selon les estimations de l\u2019OFCS, des premi\u00e8res tentatives d\u2019explorer les possibilit\u00e9s d\u2019utilisation criminelle de l\u2019IA pour mener de futures cyberattaques.<\/p>\n

Arnaques en millions<\/strong><\/p>\n

Dans certains cas, ces tentatives peuvent co\u00fbter tr\u00e8s cher. Ainsi, l\u2019entreprise britannique Arup, un bureau d\u2019ing\u00e9nieur notamment \u00e0 l\u2019origine de l\u2019Op\u00e9ra de Sydney,\u00a0a confirm\u00e9 r\u00e9cemment avoir \u00e9t\u00e9 la cible d\u2019une escroquerie recourant au deepfake qui a amen\u00e9 un de ses collaborateurs \u00e0 verser 25 millions de dollars \u00e0 des cybercriminels.<\/p>\n

\u00abIl faut se rendre compte que les organisations criminelles pr\u00e9parent ces attaques de la m\u00eame mani\u00e8re qu\u2019un braquage de banque, raconte Paul Such, CEO de la soci\u00e9t\u00e9 vaudoise Hacknowledge, sp\u00e9cialis\u00e9e dans la cybers\u00e9curit\u00e9. Elles int\u00e8grent ainsi une longue phase de reconnaissance, qui permet de se renseigner sur le style de la personne cibl\u00e9e, ses absences, etc. On m\u2019a rapport\u00e9 r\u00e9cemment le cas d\u2019une soci\u00e9t\u00e9 suisse qui a perdu 8 millions de francs \u00e0 cause d\u2019une arnaque au deepfake. Heureusement, ces transferts sont souvent bloqu\u00e9s au dernier moment par l\u2019\u00e9tablissement bancaire de l\u2019entreprise cibl\u00e9e.\u00bb<\/p>\n

L\u2019expert remarque lui aussi une augmentation des tentatives criminelles qui int\u00e8grent ces nouvelles technologies. \u00abAujourd\u2019hui en Suisse, les fraudeurs ont principalement recours \u00e0 des enregistrements audio. Cela s\u2019explique sans doute par le fait que les outils sont pour l\u2019instant surtout entra\u00een\u00e9s en langue anglaise, mais il n\u2019y a aucun doute que l\u2019on va voir arriver davantage de vid\u00e9os r\u00e9alistes en fran\u00e7ais dans un futur proche.\u00bb<\/p>\n

\"\"<\/p>\n

Employ\u00e9s en premi\u00e8re ligne<\/strong><\/p>\n

Le probl\u00e8me principal pos\u00e9 par ces approches ne concerne pas la technique, mais le fait qu\u2019elles reposent sur la cr\u00e9dulit\u00e9 des utilisateurs. \u00abTous les artifices s\u00e9curitaires possibles ne servent \u00e0 rien si les employ\u00e9s ne sont pas r\u00e9guli\u00e8rement sensibilis\u00e9s \u00e0 ces questions. Aussi, notre industrie a essay\u00e9 ces derni\u00e8res ann\u00e9es de faire progresser les utilisateurs en envoyant des fausses tentatives de phishing et en notant qui se faisait avoir. Mais ce n\u2019est qu\u2019une partie de l\u2019\u00e9quation: il est aussi int\u00e9ressant de pouvoir identifier le nombre de collaborateurs qui se rendent compte d\u2019une attaque et qui appliquent les bons r\u00e9flexes, notamment en pr\u00e9venant leur service informatique.\u00bb<\/p>\n

La formation des employ\u00e9s est cruciale pour la cybers\u00e9curit\u00e9 d\u2019une organisation, souligne \u00e9galement Christian Da Silva, de la soci\u00e9t\u00e9 genevoise CyberHelvet, sp\u00e9cialis\u00e9e dans la cybers\u00e9curit\u00e9 et membre de l\u2019Observatoire des risques op\u00e9rationnels (Oprisko), une association \u00e0 but non lucratif qui traite de la ma\u00eetrise des risques d\u2019entreprise. \u00abComme les employ\u00e9s sont souvent les premi\u00e8res cibles des attaques, une formation r\u00e9guli\u00e8re aide \u00e0 r\u00e9duire les erreurs qui pourraient compromettre la s\u00e9curit\u00e9. Il s\u2019agit par ailleurs de promouvoir une v\u00e9ritable culture de la cybers\u00e9curit\u00e9 pour contribuer \u00e0 renforcer les d\u00e9fenses globales de l’entreprise.\u00bb<\/p>\n

Un avis partag\u00e9 par Paul Such, de la soci\u00e9t\u00e9 Hacknowledge. \u00abCet \u00e9tat d\u2019esprit doit \u00eatre instill\u00e9 par la direction pour que les employ\u00e9s prennent pleinement conscience des risques encourus. Aussi, cette \u00e9vang\u00e9lisation aupr\u00e8s des utilisateurs finaux doit s\u2019accompagner d\u2019explications concr\u00e8tes de l\u2019utilit\u00e9 des mesures mises en place.\u00bb<\/p>\n

_______<\/p>\n

Certify, pour distinguer le vrai du faux<\/strong><\/p>\n

La start-up genevoise Certify d\u00e9veloppe une application qui aide les internautes \u00e0 mieux identifier les informations douteuses.<\/strong><\/em><\/p>\n

Les graines de chia sont-elles vraiment un aliment miracle, comme le professe cet influenceur sur TikTok? \u00abNon, il manque des \u00e9tudes \u00e0 ce sujet, et la personne qui en parle \u00e0 l\u2019\u00e9cran est coach sportif et non pas nutritionniste.\u00bb Voil\u00e0 un exemple de contextualisation que l\u2019on peut d\u00e9couvrir en utilisant l\u2019application genevoise Certify. Concr\u00e8tement, celle-ci permet aux utilisateurs d\u2019envoyer le contenu d\u2019un r\u00e9seau social ou d\u2019un site web sur la plateforme Certify pour faire appel \u00e0 l\u2019avis d\u2019un expert. Celui-ci r\u00e9dige ensuite une fiche qui r\u00e9sume les principaux points d\u2019attention concernant le contenu soumis et int\u00e8gre des liens vers les sources utilis\u00e9es.<\/p>\n

\u00abNous voulons aider le public \u00e0 d\u00e9velopper son aptitude \u00e0 comprendre et \u00e0 utiliser les informations, explique Fayez Alrafeea, cofondateur et responsable du d\u00e9veloppement technique de Certify. Il existe aujourd\u2019hui un vrai probl\u00e8me de \u2018litt\u00e9ratie m\u00e9diatique\u2019 \u2013 soit la capacit\u00e9 \u00e0 analyser les contenus m\u00e9diatiques \u2013 chez les jeunes g\u00e9n\u00e9rations. D\u2019autant plus que si les gens pensent souvent en premier lieu aux fake news en lien avec la politique ou la sant\u00e9, cela concerne de nombreux autres domaines comme le sport ou les divertissements.\u00bb<\/p>\n

L\u2019application est actuellement en phase de test dans diff\u00e9rentes \u00e9coles de la r\u00e9gion genevoise. \u00abLes principaux d\u00e9fis techniques ont \u00e9t\u00e9 r\u00e9solus, et nous sommes d\u00e9sormais \u00e0 la recherche de nouveaux investisseurs pour une mise \u00e0 l\u2019\u00e9chelle du projet, pr\u00e9cise Basile Zimmermann, cofondateur.\u00a0Nous allons par ailleurs prochainement d\u00e9ployer la plateforme en Suisse allemande et d\u00e9veloppons aussi des partenariats \u00e0 l\u2019\u00e9tranger.\u00bb<\/p>\n

_______<\/p>\n

Les principales cybermenaces<\/strong><\/p>\n

    \n
  1. Phishing et Ing\u00e9nierie sociale<\/li>\n
  2. Ransomware (Ran\u00e7ongiciel)<\/li>\n
  3. Attaques par DDoS (Distributed Denial of Service)<\/li>\n
  4. Fraude au pr\u00e9sident et deepfakes<\/li>\n
  5. Vuln\u00e9rabilit\u00e9s des tiers, failles dans les syst\u00e8mes des fournisseurs ou des partenaires<\/li>\n<\/ol>\n

    _______<\/p>\n

    Cibler efficacement les investissements en cybers\u00e9curit\u00e9<\/strong><\/p>\n

      \n
    1. \u00c9valuer les dangers sp\u00e9cifiques \u00e0 l\u2019aide d\u2019une analyse des risques pour identifier les vuln\u00e9rabilit\u00e9s<\/li>\n
    2. Investir dans la formation continue pour sensibiliser les employ\u00e9s aux derni\u00e8res menaces<\/li>\n
    3. Adopter des technologies de s\u00e9curit\u00e9 avanc\u00e9es, tels que solutions de d\u00e9tection et de r\u00e9ponse aux menaces (EDR), pare-feu de nouvelle g\u00e9n\u00e9ration et solutions de s\u00e9curit\u00e9 cloud<\/li>\n
    4. Mettre en place une strat\u00e9gie de r\u00e9ponse aux incidents en disposant d\u2019un plan clair pour r\u00e9agir rapidement en cas de cyberattaque<\/li>\n
    5. Collaborer avec des experts en cybers\u00e9curit\u00e9 pour b\u00e9n\u00e9ficier de conseils sp\u00e9cialis\u00e9s<\/li>\n<\/ol>\n

      Sources: NCSC, SCSA<\/p>\n","protected":false},"excerpt":{"rendered":"

      Les attaques de cybercriminels \u00e0 l\u2019aide de technologies deepfake sont en augmentation, y compris en Suisse. Comment les entreprises peuvent-elles limiter les risques en la mati\u00e8re? Conseils pratiques.<\/p>\n","protected":false},"author":20154,"featured_media":15598,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-15596","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-kapital","kapital"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/15596","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/users\/20154"}],"replies":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15596"}],"version-history":[{"count":3,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/15596\/revisions"}],"predecessor-version":[{"id":15600,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/15596\/revisions\/15600"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/media\/15598"}],"wp:attachment":[{"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15596"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15596"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15596"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}