Lorsque la mère de Savannah Guthrie, âgée de 84 ans, a été kidnappée en Arizona plus tôt cette année, le FBI a émis un avertissement inhabituel : à l’ère de l’IA, même les preuves vidéo de survie ne sont pas fiables. Tout ce dont un kidnappeur a besoin pour créer un deepfake convaincant est une photo LinkedIn et un message vocal. Les anciennes règles de réponse aux crises ne s’appliquent plus.
Sid Kosaraju, président de la société de sécurité mondiale Crisis24, a déclaré qu’il s’agissait exactement du genre de menace que les entreprises tardaient à prendre au sérieux. Il y a eu un silence lors du sommet Fortune COO à Scottsdale lorsque Kosaraju a décrit un véritable paysage de menaces auquel la plupart des gens ne veulent pas penser.
Après deux ans à ce poste, il a déclaré avoir demandé à son équipe de sécurité de procéder à une cyber-évaluation. Il pensait qu’il était bien protégé. Mais son équipe de hackers éthiques a pu localiser sa fille de 12 ans pendant deux heures chaque jour simplement en accédant au site Web de son école et aux horaires du club de tennis. Elle n’a même pas de smartphone. « Ils peuvent aller sur le site Internet de l’école. Ils peuvent aller sur le site Internet du club de tennis et l’identifier. »
Ce qui se produit généralement, a expliqué Kosaraju, c’est que les acteurs menaçants ciblent les enfants et les parents âgés. « Nous sommes désolés de vous annoncer qu’ici, en Arizona, l’incident de Guthrie s’est produit. » Ce sont des problèmes auxquels l’industrie est actuellement confrontée, a-t-il déclaré. « Il ne s’agit pas seulement du directeur. C’est la famille que nous devons protéger. »
Il a ajouté que le cas de Nancy Guthrie est ce que l’industrie appelle un « rhinocéros gris », une menace énorme, visible et choquante que la plupart d’entre nous regardons depuis des années et choisissons de ne pas agir. Il ne s’agit pas de « cygne noir », terme popularisé par Nassim Taleb qui désigne une catastrophe inconnue et imprévisible. Rhinocéros gris : évident rétrospectivement, mais ignoré pour le moment.
Lors d’une conversation avec Ruth Umoh de Fortune, Jacob Silverman, PDG de Kosaraju et de Kroll, a fait valoir que cette distinction est le concept le plus important en matière de gestion des risques que les entreprises américaines comprennent encore mal.
La menace est déjà chez vous
La plupart des dirigeants considèrent la sécurité comme quelque chose qui se produit au niveau du périmètre : pare-feu, lecteurs de badges, vérifications des antécédents. Silverman, qui dirige l’un des principaux cabinets de recherche et de conseil en matière de risques au monde, affirme qu’il s’agit d’une mauvaise catégorisation.
« Le maillon le plus faible est toujours l’humain », a-t-il déclaré. « Et certaines des plus grandes menaces proviennent de l’intérieur de chaque organisation, que ce soit intentionnellement ou par inadvertance. »
C’est un rhinocéros gris. Il ne s’agit pas d’une attaque sophistiquée d’un État-nation, mais d’un calendrier en ligne quotidien que tout le monde peut consulter.
Silverman a parlé franchement de ce que l’IA apporte au paysage des menaces. L’IA a rendu la tromperie peu coûteuse, rapide et presque indétectable. Son entreprise, Kroll, tente constamment de se faire passer pour lui, notamment par de faux e-mails, de fausses factures et de fausses voix se faisant passer pour lui.
« Je ne peux pas vous dire combien de fois Jake Silverman a demandé des informations de facturation », a-t-il déclaré à titre d’exemple. « Et maintenant que nous pouvons utiliser l’IA pour réaliser de véritables deepfakes, les enjeux sont encore plus importants. »
L’avertissement du FBI dans l’affaire Guthrie incarne ce que les experts en sécurité disent depuis des années : le paradigme de la preuve de vie qui a été le mécanisme de base de la réponse aux enlèvements pendant des décennies est brisé. L’IA n’a besoin que de quelques secondes d’audio ou d’une seule photo pour générer un faux convaincant. Confirmer en temps réel la survie d’un proche pose un véritable défi technique et opérationnel.
L’impact sur les entreprises va bien au-delà des enlèvements. Lorsque les employés, les clients et les collègues cadres ne peuvent plus présumer qu’un e-mail, un appel vocal ou une vidéo est authentique, vous devez repenser l’ensemble de l’architecture de confiance de votre organisation.
Ce que font réellement les entreprises les mieux préparées
Kosaraju a décrit une infrastructure de renseignement au niveau Fortune 100 qui aurait semblé excessive il y a encore cinq ans. Il s’agit d’une équipe dédiée à la résilience des entreprises, composée d’anciens analystes de la CIA et du FBI qui fournissent en permanence des renseignements géopolitiques en temps réel aux dirigeants. Certains dirigeants reçoivent désormais chaque jour ce qui équivaut à un mémoire présidentiel. Ce document est un résumé des menaces générées et synthétisées par l’IA pour les employés, les installations, les fournisseurs et la chaîne d’approvisionnement.
La société de M. Silverman, Kroll, exerce une fonction similaire. La plateforme Resolver de l’entreprise utilise l’IA pour ingérer des informations de sécurité et permettre aux gestionnaires de risques d’effectuer des mesures correctives à l’aide de pistes d’audit, réduisant ainsi le délai entre la détection et le confinement des violations.
Mais voici quelque chose qui a touché une corde sensible auprès du public : les dépenses annuelles médianes de sécurité pour la protection des dirigeants des 100 plus grandes entreprises publiques américaines étaient inférieures à 100 000 dollars en 2023. Kosaraju a noté que ce chiffre a fortement augmenté au cours des deux années qui ont suivi. Cependant, la base de référence était étonnamment basse pour une organisation ayant une exposition mondiale.
Pile de sécurité minimale viable
Pour les entreprises sans budget Fortune 100, les deux dirigeants se sont concentrés sur trois bases de référence abordables et sous-utilisées :
Transport sécuritaire. Ne placez pas les dirigeants et les administrateurs dans des trajets en covoiturage non approuvés. Le coût supplémentaire pour Uber est minime. Il n’y a aucune différence de protocole. Envoyez des e-mails d’entreprise à toutes les personnes importantes. Si un membre du conseil d’administration mène des activités sensibles via son Gmail personnel, une note de politique est requise au lieu d’une ligne budgétaire, car cela crée des vulnérabilités inapplicables. Intelligence toujours active. Les services de surveillance des menaces par abonnement, tels que la surveillance des réseaux sociaux, les alertes de réputation et les flux géopolitiques, ne sont pas très chers. Ce n’est pas encore une pratique courante.
Tous deux soulignent que la formation est à la base de tout cela. L’entreprise de M. Kosaraju dispose d’un système de mots de passe verbaux à rotation, dans lequel si les employés reçoivent des communications suspectes prétendant provenir de cadres supérieurs, ils appellent un numéro désigné pour échanger des codes.
M. Silverman a terminé la conversation avec une phrase qui a secoué tous les COO présents dans la salle. Les menaces actuelles sont cloisonnées et inaccessibles.
« Lorsqu’il s’agit d’une menace physique, elle est généralement associée à une menace sur la chaîne d’approvisionnement, et une menace sur la chaîne d’approvisionnement est associée à une menace commerciale, qui à son tour est associée à une menace cybernétique », a-t-il déclaré. « Ils affluent tous vers vous en même temps. »
Dans cet article, les journalistes de Fortune ont utilisé l’IA générative comme outil d’enquête. Les rédacteurs ont vérifié l’exactitude des informations avant leur publication.
