Les cybercriminels ont trouvé un moyen de tirer parti des technologies émergentes pour piéger de nouvelles proies : des dirigeants et des employés sérieux et peu méfiants d'entreprises du monde entier. Les acteurs malveillants utilisent la technologie de l'intelligence artificielle (IA) pour créer des courriels sophistiqués qui trompent les employés et les dirigeants en se faisant passer pour leurs collègues par le biais d'une usurpation de voix, de photos manipulées et de vidéos générées par l'IA.
Les résultats sont époustouflants, tant par leur efficacité évidente que par leur caractère destructeur sur le plan financier. Dans un exemple choquant de la vie réelle, des fraudeurs ont utilisé l'IA pour créer de fausses images virtuelles de responsables financiers participant à une vidéoconférence à plusieurs personnes. Résultat? Un chef d'équipe financière a envoyé 25 millions $ aux escrocs parce que l'employé croyait qu'il participait à une véritable vidéoconférence avec le directeur financier de la société et d'autres employés haut placés1.
Alors que la plupart des gens affirment qu'ils ne tomberaient jamais dans le piège d'une arnaque aussi évidente, l'essor de l'IA permet aux cybercriminels de créer plus facilement des stratagèmes élaborés d'hypertrucage - et rend la distinction entre l'authentique et le trompeur d'autant plus difficile à faire.
La prévalence de ces arnaques - et leurs conséquences financières - ne cesse d'augmenter. De nombreux assureurs affirment que la fraude au transfert de fonds rivalise désormais avec le rançongiciel comme principale réclamation cyber. En 2023, la fraude par transfert de fonds et la compromission de messagerie d'entreprise ont représenté 56 % de toutes les réclamations cyber2.
Les fraudes par transfert de fonds ont augmenté de 15 % et la gravité des sinistres de 24 % entre 2022 et 2023, avec des pertes s'élevant en moyenne à 275 000 $ par sinistre. Avec 2,9 milliards $ de pertes déclarées en 2023, les compromissions de messagerie d’entreprise étaient le deuxième type de cybercriminalité le plus coûteux, derrière les fraudes à l’investissement3.
Les employés : La cible à un million de dollars
Les employés, quel que soit leur niveau dans l'entreprise, sont conditionnés pour répondre, souvent à la vitesse de l'éclair, lorsqu'une demande émanant d'un dirigeant arrive sur leur bureau, ce qui fait d'eux la cible idéale. Ils suivent les instructions et agissent rapidement sans penser qu'il pourrait s'agir d'une fraude, en particulier lorsqu'ils croient voir et parler à leur PDG ou à quelqu'un d'autre dans la hiérarchie.
Les conséquences peuvent être désastreuses. Non seulement les entreprises peuvent être confrontées à un choc financier dévastateur ou à des amendes pour avoir divulgué des informations sensibles, mais la technologie de l’hypertrucage peut saboter des accords ou permettre à des fraudeurs en ligne d'accéder au réseau et aux données d'une entreprise. Dans la plupart des cas, la fraude n'est découverte que lorsqu'il est trop tard pour en éviter les conséquences.
Ces arnaques peuvent également menacer la marque et la réputation d’une personne, et même la sécurité physique et financière de sa famille. Qu'il s'agisse d'utiliser l'IA pour créer de fausses images de célébrités nues, de générer des vidéos de personnalités connues cautionnant faussement un produit, de fabriquer des voix célèbres à des fins de promotion par l'IA ou d'exploiter l'IA générative à des fins d'intimidation et de harcèlement, les acteurs malveillants ont trouvé d'innombrables moyens de créer de nouveaux maux de tête pour les particuliers comme pour les entreprises4.
L’ANGLE HUB
La prévalence et la sophistication des fraudes par hypertrucage ne feront qu'augmenter. Les organisations doivent prendre des mesures dès maintenant pour évaluer leur exposition et créer un plan de gestion des risques adapté à leur secteur d'activité et aux circonstances.
Lors de l'évaluation et de la planification des risques, n'oubliez pas les éléments suivants :
La transaction est la cible. Apprenez à votre personnel à se méfier de toutes les demandes de transfert de données sensibles ou de fonds ou de modification des informations bancaires d'un fournisseur - et authentifiez tout. Si votre directeur financier ne vous contacte jamais et qu'il vous demande soudainement un virement important lors d'un appel Zoom, vous devriez tirer la sonnette d'alarme. Appelez le téléphone portable du directeur financier pendant l'appel Zoom pour vous assurer qu’il a bien fait une demande de virement. Appelez le poste personnel du fournisseur qui a « appelé » pour demander un changement d’information bancaire. La vérification n'a pas besoin d'être sophistiquée, mais elle doit absolument avoir lieu.
Empêcher les fraudeurs de déchiffrer le code. Utilisez des mots de code! Lors d'une rencontre en personne, établissez une phrase secrète ou un mot de passe nécessaire à l'authentification des transactions. Bien que cette méthode puisse s'appliquer à certaines entreprises, elle est plus appropriée pour les familles aisées, les gestionnaires de grande fortune et les petites organisations, où seul un petit nombre de personnes connaîtra le code et sera en mesure de vérifier un transfert de fonds.
Les protocoles et les politiques sont essentiels à la prévention. Les entreprises devraient envisager des protocoles et des outils de sécurité avancés, y compris des outils de détection des hypertrucages, et s'assurer que leurs fournisseurs d'applications informatiques et de systèmes d'exploitation disposent des ressources les plus récentes en matière de détection des hypertrucages et de mesures dissuasives. En outre, les entreprises devraient maintenir des politiques strictes qui décrivent les contrôles internes et les procédures d'authentification pour toutes les transactions financières, en particulier celles qui impliquent des transferts de fonds, et exiger une formation continue pour tout le monde pour aider à reconnaître les acteurs malveillants.
Exprimez-vous si le sujet vous semble suspect. Il est pratiquement impossible d'effacer tous les signes d'un hypertrucage. Prêtez attention aux yeux et aux sourcils de la personne. Des ombres étranges, des lunettes trop éblouissantes ou des reflets qui ne changent pas lorsque la personne bouge et des clignements de paupières trop rares ou trop fréquents peuvent indiquer que la personne qui apparaît à l'écran est un hyertrucage.
La bonne protection est cruciale. Même avec les bonnes politiques, les bons outils de détection et la bonne formation, personne n'est à l'abri que quelqu'un tombe dans le piège d'un hypertrucage. Vous avez besoin d'une assurance adaptée pour être protégé en cas de fraude par transfert de fonds, de manipulation de factures ou de fraude par ingénierie sociale. Vous avez également besoin d'un courtier expérimenté qui peut vous fournir des ressources d'atténuation des risques et une protection en cas de crise - y compris l'accès à des fournisseurs de classe mondiale tels que des sociétés d'expertise judiciaire et des avocats spécialisés dans la protection de la vie privée - qui peuvent minimiser les dommages financiers et les atteintes à la réputation causés par les fraudes cyber.
Nous n'en sommes qu'aux premiers stades du développement de la technologie de l'hypertrucage, et celle-ci va devenir de plus en plus sophistiquée et difficile à décrypter. Pensez-vous pouvoir les repérer et, plus important encore, pensez-vous que vos employés en sont capables?
1 CNN, « Finance worker pays out $25 million after call with deepfake ‘chief financial officer », 4 février 2024.
2 Insurance Business America, « Coalition publishes 2024 cyber claims report », 25 avril 2024.
3 Federal Bureau of Investigation, 2023 Internet Crime Report, 4 avril 2024.
4 Los Angeles Times, « Hollywood celebs are scared of deepfakes. This talent agency will use AI to fight them », 2 avril 2024.