Alors oui je sais vous en avez marre de lire les mots "IA, ChatGPT, Midjourney...". Tout le monde en parle à longueur de journée... ce qui donne l'impression qu'on sera incapable demain de faire quelque chose sans.
L'IA pose beaucoup de problématiques : éthiques, cybersécurité, plagiat, etc... et peut effrayer beaucoup de personnes, notamment les moins à l'aise avec les outils digitaux qui vont se sentir encore plus dépassées qu'elles ne le sont aujourd'hui... ou celles qui lisent les articles disant qu'une quantité monstre de métiers disparaîtront au profit de l'IA. Argument qu'on voit à chaque nouveauté technologique et qui n'est pas une vérité absolue. Mais cela, d'autres que moi en ont déjà parlé.
L'iA pour sensibiliser : Du "Greenwashing" à l'"IAwashing".
Bien qu'il serait peut être bon pour notre avenir de repenser, contrôler, limiter l'évolution et l'usage de l'IA, il s'avère qu'il faut aujourd'hui vivre avec. Et ce ne sont pas les cybercriminels qui s'en privent : automatisation de la découverte de vulnérabilités, amélioration des techniques de phishing, automatisation d'attaques... l'IA est un formidable outil pour développer leur porte-feuille.
De l'autre côté, l'IA se retrouve maintenant dans tous les discours commerciaux des solutions de sécurité... après le "Greenwashing" on a l'"IAwashing". C'est de bonne guère me direz-vous... et dans le tas, il y en a qui développent réellement des solutions efficaces grâce à l'IA.
Mais est-ce que pour développer notre niveau en cyber, l'IA ne peut être utile que dans des phases de protection ou de détection ?
Mon sujet de prédilection étant la sensibilisation, j'ai voulu me poser et analyser en quoi l'IA pour sensibiliser serait possible et utile... et voici les 4 idées que j'en sors.
Idée n°1 : Un formidable outil à la disposition de votre créativité
Sensibiliser passe forcément par l'étape d'interpeller votre interlocuteur, le faire sortir de sa routine, de ses préoccupations et de ses taches pour capter son intention afin qu'il écoute et s'impregne de votre message.
Cette partie de votre métier ressemble fortement à celle d'un publicitaire. Vous avez donc besoin de faire fonctionner votre créativité, ou celle d'un prestataire pour imaginer régulièrement de nouvelles affiches, dessins, vidéos, illustrations qui attireront vos collaborateurs.
Et bien évidemment, vous avez besoin de vous renouveler régulièrement car l'effet "Wahou" diminue rapidement au fil du temps.
Aujourd'hui avec les outils de génération automatique d'images ou de vidéos, vous pouvez très facilement sortir des visuels originaux à tout moment et les accompagner d'un texte présentant le message que vous souhaitez faire passer.
Cela reste un outil bien évidemment. Ca ne générera pas pour vous automatiquement de formidables outils de sensibilisation. Si vous n'avez pas les idées, ça ne vous servira pas beaucoup. Mieux vaut pour vous de rester dans ce cas avec de très bons prestataires.
Mais si comme moi, vous aimez jouer avec votre côté créatif, alors l'IA est parfait pour aider à le décupler. Je ne le cache pas : tous les visuels que je produis sont générés par l'IA à qui je demande de mettre en image l'idée que j'ai eue.
Idée n°2 : Un outil pour faciliter la génération de contenu de formation
C'est ce que j'ai retenu de ma visite au salon Learning Technologies. Tous les outils les plus modernes de Learning Management System (LMS) incluent dorénavant l'IA pour vous aider à créer vos contenus de elearning, dont ceux en cyber.
Bien sûr, vous avez la capacité d'acheter des modules tout fait auprès de sociétés spécialisées qui font cela très bien. Mais si vous êtes comme moi, vous avez peut être tendance à vouloir faire les choses à votre sauce pour obtenir quelque chose de personnalisé et contextualisé à votre entreprise et vos besoins. Je ne dis absolument pas que c'est la chose à faire, bien au contraire... il est parfois bien plus avantageux en termes de temps et d'argent de prendre (et potentiellement adapter) des contenus tout faits.
Mais voilà... si vous voulez/devez faire par vous même, là aussi l'IA peut vous aider à éviter la copie blanche et vous préformater une base de départ. Alors attention, l'IA peut être un outil pour vous préparer un module comme il vous préparerait une pâte à pizza. Mais en aucun cas, l'IA n'est encore aujourd'hui capable de sortir facilement la sauce et les ingrédients que vous aimez le plus.
Vous aurez toujours besoin d'y apporter votre touche personnelle pour sortir des blablas très génériques que vous débite l'IA.
Idée n°3 : Un remplaçant à l'équipe que vous n'auriez jamais eue pour individualiser votre sensibilisation
Il ne faut pas se leurrer, les ressources en cyber sont rares et coûtent chers. Il est déjà très difficile d'avoir les effectifs et compétences nécessaires pour tous les sujets à traiter, qu'en règle générale, la sensibilisation est malheureusement identifiée comme le pôle auquel on affecte le moins de ressources... alors qu'avec du temps et des idées, on peut faire de magnifiques choses pour changer les comportements (#PubPlacéePourMaFormation)
Ce manque de ressources fait qu'aujourd'hui les actions de sensibilisation menées sont en générale les mêmes pour tout le monde. Elles vont parfois être adaptées au métier... mais rarement au niveau de connaissance ou au besoin de sensibilisation de l'utilisateur.
Grâce à l'IA, on peut imaginer remédier à cela !
Couplé à un SIEM, on peut tout à fait rêver d'une IA qui analyse le comportement des utilisateurs et déclenche des actions de sensibilisation individualisées qui répondent aux cas d'usage précis.
Cela permettrait de mettre enfin une fin à ces terribles formations ou e-learnings génériques rabâchant les mêmes règles chaque année. Que vous soyez acculturés à la sensibilisation ou pas, on vous demande chaque année de suivre ces modules obligatoires... pour "la compliance". Grâce à l'IA, soyez sensibilisé sur vos lacunes et vos comportements qui ont besoin d'être changés et avec le niveau de complexité qui correspond à votre niveau.
Mais oui ! Si vous avez lu l'idée n°2, il est dorénavant plus facile de générer des contenus différents sur un même sujet mais avec des niveaux différents. Laissons maintenant l'IA orchestrer tout ça automatiquement et évaluer automatiquement si les comportements changent.
Si cela est bien fait, vos collaborateurs auront enfin l'impression de recevoir une sensibilisation utile.
Idée n°4 : Un formidable coach pour vos utilisateurs
Dans les précédentes idées, j'évoquais des idées pour la génération de contenus... mais l'IA peut aussi être utile pour coacher/entraîner vos utilisateurs.
Et si cette dernière devenait capable d'identifier et de générer des tests de comportements qui seraient joués automatiquement et individuellement en continu ?
Fini le mail de phishing que tout le monde reçoit en même temps.
L'IA pourrait imaginer des tests personnalisés de phishing de plus en plus réalistes en se basant sur les types de mail les plus reçus par l'utilisateur, choisir des tests avec téléchargement de fichier si l'utilisateur est en grand "téléchargeur". Ou inversement préférer les tests pour récupérer les identifiants si l'IA a détecté qu'on a affaire à un accro du Shadow IT.
Autre idée : générer des faux appels en Deepfake en utilisant le contexte de l'utilisateur
Des exemples... on peut en avoir autant que notre imagination le permet. Et comme celle des attaquants est sans limite, la notre doit l'être aussi !
Idée BONUS : Un moyen de rendre la sensibilisation totalement inutile
Mon rêve absolu ! Celui de ne plus avoir à faire de sensibilisation.
Un monde où la technique est enfin disponible à un prix que tout le monde peut payer pour enfin laisser les utilisateurs s'occuper uniquement de leur travail et ne plus avoir à se soucier de la sécurité.
J'imagine un monde :
où l'IA automatise le contrôle ou la gestion des mots de passe des utilisateurs,
où l'IA automatise entièrement la protection des emails et rend totalement inefficace toutes les tentatives de phishing, smishing, quiching et autres
où l'IA automatise entièrement la protection des virements bancaires et empêche la fraude au président
où l'IA automatise entièrement la protection des données et la gestion de leur partage
où l'IA... fait tout
Mais je sais bien que ce n'est qu'un rêve et qu'au final dans 10 ans on sera toujours sur les mêmes problématiques de mots de passe et de ransomwares par manque de prise de conscience et d'investissements.
Alors oui... la sensibilisation sera toujours utile ! Mais au moins vous n'êtes plus seul pour le faire... l'IA est là pour vous aider !
💡C'est en s'inspirant des uns qu'on inspire les autres
👉Et si vous souhaitez être aidé pour définir votre programme de sensibilisation, découvrez la formation la plus originale sur le sujet. Celle qui vous fera définir le programme dont vous avez besoin. Découvrez cette formation
Comments