L’intelligence artificielle arrive partout. Outils d’assistance à la rédaction, moteurs de recherche boostés à l’IA, assistants virtuels... Difficile d’y échapper.
Mais derrière cette révolution se cache une réalité moins glamour : les menaces cyber et les risques de fraude sont décuplés avec ces nouvelles capacités. Et là, on pense tout de suite sensibilisation par les équipes cyber. Pourtant, le véritable enjeu, c’est aussi la formation.
Quand l’IA devient l’alliée des attaquants
S'il y a bien une qualité qu'on peut accorder aux cybercriminels, c'est leur capacité à intégrer rapidement les nouvelles technologies dans leurs processus.
Ils ont de la chance, ils ne doivent pas avoir un RSSI qui a défini tout un processus d'analyse cyber en parallèle de la DSI qui demande tout un dossier d'architecture et d'évaluations des besoins métiers avant de lancer les tests. (le rêve ! 😅)
L'IA est donc devenue une formidable opportunité pour eux. Ils peuvent dorénavant faire :
Des attaques de phishing plus crédibles : des e-mails et SMS ultra-convaincants, rédigés en quelques secondes sans fautes d’orthographe douteuses. (est-ce qu'aujourd'hui c'est le fait que le mail soit trop parfait qui devient douteux ?)
Des deepfakes plus vrais que nature : faux appels du PDG pour exiger un virement, usurpation de voix… la fraude au président monte en puissance. Idem pour les faux conseillers bancaires au téléphone. L'IA est utilisée par les cybercriminels, quelque soit leur cible.
De l’automatisation à grande échelle : des attaques sophistiquées qui se déclenchent en fonction de signaux spécifiques, rendant la détection plus complexe.
On comprend donc l’urgence de sensibiliser nos collaborateurs sur ces nouvelles menaces.
Sont donc intégrées de plus en plus dans les programmes de sensibilisations des messages liés à l'accentuation des risques par l'IA :
Démonstrations de Deepfake lors d'un COMEX ou devant des utilisateurs
Démonstrations de faux vocaux sur What'sApp avec des voix imitées
Démonstrations de faux appels téléphonique à la compta, aux RH, au support informatique avec des voix ultra ressemblantes
Et de nouveaux conseils pour s'en prémunir :
Si vous avez un doute, posez la question "Etes vous une IA ?"
Ne pas se fier au canal officieux qu'est What'sApp
Définissez des phrases codes que seul votre interlocuteur peut connaitre pour des processus critiques
Renforcer encore les processus pour qu'aucune action ne puisse être faite sur un simple ordre vocal ou visuel (virement, réinitialisation de mot de passe, droits d'accès)
En 2024, c'était un des sujets les plus mis en avant dans les entreprises pour le mois de la cyber ou les cyber weeks.
Il y a très fort à parier que 2025 sera identique du fait de l'explosion des tentatives dans tous les sens et des avancées rapides de l'IA.
Mais s’arrêter à de la sensibilisation sur l'aspect cyber serait une erreur.
L’IA, une sensibilisation nécessaire sur différents plans
On voit naturellement de plus en plus de personnes utiliser l'IA de manière très simple ou de manière un peu plus prononcée.
Et l'usage par des personnes non sensibilisés sur le fonctionnement et les risques de l'IA peut devenir du vrai n'importe quoi.
Il y a donc un véritable enjeu sociétal que les entreprises entreprennent aussi de la sensibilisation de leurs collaborateurs sur les aspects suivants :
Comprendre quand (et quand ne pas) utiliser l’IA : ce n’est pas la solution magique à tout.
Savoir analyser et prendre du recul : l’IA n’est pas toujours fiable, elle peut halluciner, inventer ou biaiser les réponses.
Penser à la propriété intellectuelle : que deviennent les données qu’on lui fournit ? Qui détient vraiment la création générée ?
Intégrer l’impact environnemental : l’IA consomme des ressources massives, l’utiliser à bon escient est un enjeu de sobriété numérique.
L'IA doit donc être utilisée de manière réfléchie et raisonnée.
Sensibilisation oui, mais aussi montée en compétence
Les entreprises ont un besoin d'aller au delà de la simple sensibilisation. Elles doivent mettre en place une véritable formation de l'usage de l'IA.
Au delà des opportunités stratégiques (ou non) que l'IA peut apporter à l'enteprise, il est important que cette dernière mette en place de vrais programmes de formation à ce nouvel outil du quotidien.
Souhaité ou non, l'usage de l'IA est aujourd'hui présent. Et un usage non maitrisé est à la fois dangereux pour l'entreprise mais également pour la société (capacité de prise de recul, environnement...)
Ce n'est pas qu'une simple sensibilisation qui est nécessaire, mais un vrai parcours de formation adapté permettant à chacun de :
Décrypter les opportunités et limites de l’IA.
Se former à une utilisation raisonnée et critique.
Connaître les risques, mais aussi les bonnes pratiques.
En somme, l’IA est une révolution qu’il ne faut ni diaboliser ni adopter aveuglément. Et ce n'est pas à l'équipe cyber de porter seule cette bataille de la sensibilisation.
Il est important que chaque entreprise mette en place une stratégie commune autour de l'IA intégrant les RH, les métiers, les experts IA et la cyber.
Un discours unifié et percutant permettra aux utilisateurs de se sentir plus à l'aise avec cette technologie et donc de limiter les risques !
👉Envie de creuser plus en détail comment sensibiliser sur l'IA, inscrivez-vous à la formation "Sensibilisez autrement"
Comments