La résilience contre l’ingénierie sociale à l’ère de l’IA

Sensibiliser les gens aux e-mails de phishing en faisant attention aux erreurs d’allemand et aux logos mal conçus n’aide pas vraiment. Aujourd’hui, les assaillants imitent facilement, et à s’y tromper, le style de communication, les voix et les visages de l’entourage de la personne cible. 

Les organisations sont confrontées à la tâche urgente de repenser leurs stratégies de défense, en abandonnant les formations classiques de sensibilisation à la sécurité au profit du développement de la résilience de leur personnel face à la manipulation. Ce n’est, certes, pas une tâche facile, mais qui offre peut-être de toutes nouvelles opportunités.
 

Depuis la diffusion de l’IA générative, les attaques ciblées d’ingénierie sociale sont plus précises, plus automatisées et surtout beaucoup plus difficiles à détecter. Bienvenue dans l’ère du Deep Doubt, le doute profond, comme le titre WIRED, où il devient de plus en plus difficile de faire la différence entre un contenu réel et falsifié. 

Grâce aux contenus générés par l’IA tels que les deepfakes ou les voix synthétiques, les cybercriminels peuvent imiter les identités de manière toujours plus crédible. En outre, l’IA générative permet de créer des visages qui ne se différencient plus des vrais visages – et pire encore, qui sont perçus comme plus dignes de confiance. 

Les méthodes de tromperie connues deviennent ainsi nettement plus efficaces et difficiles à identifier: à Hong Kong, une employée a été amenée, par le biais d’une vidéoconférence, à transférer environ 20 millions de livres à des escrocs qui se faisaient passer pour ses supérieurs.  
 

Les formations classiques de sensibilisation à la sécurité se concentrent la plupart du temps sur les modèles d’attaque connus de l’ingénierie sociale, en particulier sur le phishing classique par e-mail. Il s’agit souvent d’enseigner des règles rigides, dont la mise en œuvre exige de la part du personnel qu’il porte une grande attention aux détails. 

Même si nous, les employé·e·s, sommes capables d’identifier avec certitude le domaine d’une URL, nos yeux et notre attention ne sont pas faits pour détecter le moindre typosquat. Surtout si notre travail consiste à répondre le plus rapidement possible à 300 e-mails (externes) par jour. 

Dans le même temps, l’approche des mesures de sensibilisation à la sécurité repose souvent sur l’idée dépassée que les individus peuvent toujours faire appel à leur capacité de réflexion analytique à des moments décisifs.

En réalité, de nombreuses décisions – en particulier les décisions rapides qui mènent à des actions concrètes au quotidien – sont bien plus souvent pilotées par les émotions et la pensée intuitive que par l’analyse rationnelle. C’est précisément sur ce champ de tension entre l’intuition et l’intelligence que se penche l’économie comportementale, façonnée par des chercheurs comme Daniel Kahneman, Richard Thaler et Cass Sunstein. Jusqu’à présent, cette approche n’a guère été prise en compte dans la conception des mesures de changement de comportement en matière de cybersécurité. À l’avenir, l’accent devrait moins être mis sur la transmission de nouvelles méthodes de détection que sur la transmission de la méthode d’attaque dans son ensemble, qui n’est pas technique en soi, et sur la manière de s’en protéger. 

Les attaques d’ingénierie sociale suivent généralement un déroulement clair. Les assaillants recherchent d’abord des informations sur les organisations, les rôles et les personnes accessibles au public (OSINT). Sur cette base, ils développent des scénarios crédibles afin de générer la confiance chez la personne cible ou d’exercer une pression ciblée. Comprendre comment créer automatiquement et efficacement des profils de personnes détaillés permet de remettre en question de manière plus critique les demandes urgentes de soi-disant collègues. 

Les assaillants utilisent de manière ciblée les principes d’influence décrits par l’auteur à succès Robert Cialdini: l’autorité («Le CEO exige un paiement immédiat!»), la preuve sociale («Tout le monde investit actuellement dans cette cryptomonnaie!») ou la sympathie («J’ai beaucoup aimé ta présentation!»). Ces techniques ne sont pas seulement largement répandues dans la vente. Elles sont aussi transmises de manière ciblée sur le Darknet afin d’affiner les compétences en ingénierie sociale. En identifiant ces schémas psychologiques, on peut mieux identifier les tentatives de manipulation et s’en distancer plus consciemment.

C’est précisément là qu’intervient une défense efficace: un mécanisme de protection central consiste à prêter attention à sa propre réaction émotionnelle, en particulier dans les situations qui exigent une action rapide. Dès que la pression émotionnelle augmente, il faut faire preuve d’une vigilance particulière. Les stratégies utiles sont les suivantes: faire une pause, réfléchir à son propre état («Comment est-ce que je me sens en ce moment? Cette demande est-elle plausible?»), demander un deuxième avis, appliquer le principe du double contrôle ou demander des précisions via un autre canal. En cyberpsychologie, des recherches sont actuellement menées sous le terme de cybermindfulness pour déterminer comment les individus peuvent orienter leur attention de manière plus ciblée dans des contextes numériques. Cela favorise une action consciente, réduit les réactions d’impulsion et renforce la résilience face aux attaques d’ingénierie sociale.

Comprendre la manipulation et la tromperie ne nécessite aucune expertise technique — ces tactiques existent depuis que les êtres humains communiquent entre eux. Mais à l’ère de l’intelligence artificielle générative, l’ingénierie sociale est devenue plus évolutive, plus convaincante et bien plus difficile à détecter. Au sein des organisations, il ne suffit plus d’identifier des e-mails de phishing manifestes ; il faut aussi savoir repérer des manipulations sophistiquées sous forme de voix, visages ou messages réalistes. Les formations traditionnelles à la sensibilisation à la sécurité, souvent centrées sur des détails techniques et des règles rigides, ne sont plus à la hauteur. Ce qu’il faut, c’est une compréhension plus profonde et transversale du fonctionnement des attaques — à un niveau psychologique ou « méta » — ainsi qu’une formation à la cyber-pleine conscience : apprendre à détecter et à interrompre les déclencheurs émotionnels avant qu’ils ne mènent à des réactions impulsives. Cette approche est déjà au cœur de recherches actuelles et promet de renforcer durablement les comportements face aux menaces contemporaines.

Cornelia Puhze est experte en Security Awareness et en communication chez Switch et envisage la sécurité du point de vue de l’individu. Elle conseille différentes communautés sur le thème de l’humain et de la sécurité de l’information, tant sur le plan stratégique que pratique. Disposant d’un MA en communication politique, elle a appris son métier dans le secteur privé, le secteur public et les ONG. Elle puise également avec gratitude dans le bagage qu’elle a acquis grâce à la formation des adultes.