La menace Deepfake est là : il est temps de commencer à l'intégrer dans la gestion des risques d'entreprise

Par Phil Muncaster • 5 septembre 2023

Lorsque le défenseur britannique des droits des consommateurs, Martin Lewis, s'est tourné vers les médias sociaux pour promouvoir un nouveau programme d'investissement « Quantum AI », beaucoup ont été surpris par cette décision. Après tout, Lewis avait bâti la confiance du public au fil des années en refusant de soutenir des projets commerciaux de quelque nature que ce soit. En fait, la publicité vidéo mettant en vedette Lewis s'est avéré être un deepfake. La qualité de la ressemblance a été qualifiée d'« effrayante » par l'homme lui-même, qui a averti que de telles contrefaçons pourraient « ruiner des vies ».

C'est sans aucun doute vrai. Mais lorsqu’elle est utilisée de manière malveillante, la technologie présente non seulement une menace de fraude pour les consommateurs, mais elle présente également un risque financier et de réputation considérable pour les entreprises. Il s'agit d'un risque qu'un système de gestion de la sécurité de l'information (ISMS) solide pourrait contribuer à atténuer.

Qu’est-ce que la technologie Deepfake ?

Les Deepfakes utilisent un type de technologie d’IA connue sous le nom d’apprentissage profond pour créer des vidéos et des audios falsifiés de personnes difficiles à distinguer du contenu authentique. Il peut être utilisé pour synthétiser le discours et manipuler efficacement les expressions faciales pour donner l’impression qu’un individu dit quelque chose qu’il ne dit pas. Bien qu'il existe des utilisations légitimes de cette technologie, par exemple dans l'industrie cinématographique, elle est de plus en plus déployée à des fins malveillantes.

Le faux Martin Lewis est l’une des premières fois qu’une vidéo est utilisée de cette manière pour promouvoir la fraude à l’investissement. Cependant, le deepfake audio existe depuis quelques années et est utilisé pour inciter les destinataires à virer des fonds sur des comptes appartenant à des fraudeurs. Cette technique a trompé un Britannique PDG en croyant un audio deepfake de son patron allemand lui disant de virer plus de 240,000 XNUMX $ sur un compte tiers. Et cela a escroqué un manager japonais en croyant que le directeur de son entreprise mère avait demandé un transfert de 35 millions de dollars.

Quelles sont les menaces potentielles ?

Les cas ci-dessus sont une sorte de riff sur l’escroquerie Business Email Compromise (BEC), un type de fraude sur frais anticipés où l’escroc incite les victimes à effectuer des transferts importants vers ces dernières. Cependant, d’autres menaces émergent pour les entreprises. Ceux-ci inclus:

Surcharger les tactiques de phishing : Un audio ou une vidéo deepfake d'une entité de confiance au sein de l'entreprise, par exemple le responsable informatique ou une unité commerciale, pourrait inciter la victime à remettre ses informations d'identification ou des informations commerciales sensibles. Le FBI a déjà averti employés de deepfake audio utilisés conjointement avec des plateformes de vidéoconférence.

Postuler frauduleusement à des emplois à distance : Le FBI a également averti de deepfakes utilisés avec des informations personnelles volées pour aidez les fraudeurs à obtenir des emplois à distance. L’accès au réseau d’entreprise pourrait alors être utilisé pour voler des informations sensibles sur les clients et l’entreprise.

Contourner les contrôles d’identité : La reconnaissance faciale ou vocale est un moyen de plus en plus populaire auprès des organisations pour authentifier les utilisateurs, notamment les clients. Comme détaillé par Europol, des deepfakes pourraient être déployés pour inciter ces systèmes à fournir un accès aux comptes. Bien qu’il ne s’agisse pas d’une menace directe pour la sécurité de l’entreprise, cela pourrait avoir un impact sérieux sur les risques de réputation et financiers.

Fraude directement aux clients : Comme le soutient Timothy Morris, conseiller en chef de la sécurité de Tanium, les deepfakes audio pourraient être utilisés comme suivi des campagnes de smishing (texte de phishing), dans lesquelles les clients sont invités à appeler un numéro s'ils ne reconnaissent pas de frais spécifiques sur leur compte.

"Si vous appelez, un deepfake amical représentant votre banque attend pour prendre vos informations d'identification et votre argent", explique-t-il à ISMS.online. "Des méthodes similaires peuvent utiliser des deepfakes pour le support technique et les escroqueries amoureuses."

Diffusion de désinformation sur l’entreprise : Par exemple, une entreprise pourrait vouloir avoir un impact sur les ventes et le cours de l'action de son rival en publiant une fausse vidéo d'un PDG affirmant que les produits de son entreprise sont défectueux.

"La circulation de contenus deepfake visant à diffamer des organisations ou des personnels clés peut causer des dommages importants à la réputation", a déclaré Ricardo Amper, PDG d'Incode, à ISMS.online. "En manipulant la perception du public, les deepfakes peuvent avoir des implications sociétales considérables, impactant la perception du marché, la confiance des clients et même l'environnement politique."

Comment un SMSI peut-il aider ?

Heureusement, selon Eze Adighibe, consultant ISO chez Bulletproof, les organisations peuvent prendre des mesures systématiques pour atténuer les risques posés par les deepfakes.

« Les deepfakes sont associés à divers les cyber-risques qu'un système de gestion de la sécurité de l'information efficace (ISMS), via un cadre de conformité tel que la norme ISO 27001, peut contribuer à l'atténuation. Des exemples de ces risques incluent les attaques d’ingénierie sociale, les escroqueries, le vol d’identité, les faux profils et la désinformation automatisée », a-t-il déclaré à ISMS.online.

« Un SMSI nécessite une approche globale évaluation des risques liés à la sécurité de l'information avec une analyse d’impact et la sélection des contrôles pour traiter les risques identifiés. Par conséquent, les organisations devraient envisager d’inclure les deepfakes dans leurs activités d’évaluation des risques, compte tenu de la menace qu’elles représentent aujourd’hui.

Plus précisément, un SMSI peut aider à atténuer le risque de deepfake dans trois domaines, selon Adighibe :

Sensibiliser les collaborateurs aux risques liés au deepfake
Mettre en œuvre les contrôles techniques appropriés pour détecter et prévenir les deepfakes
Développer des procédures de réponse/gestion des incidents pour faire face aux attaques deepfake

Il explique que les contrôles répertoriés dans la norme ISO 27001 qui pourraient aider ici sont des formations de sensibilisation à la sécurité/des simulations de phishing, des contrôles d'accès stricts et des outils de surveillance de la sécurité. D'autres couvrent la confidentialité et la protection des informations personnelles, la suppression des informations, rapport d'événements de sécurité et le renseignement sur les menaces.

"Les organisations bien rodées dans l'atténuation des menaces émergentes auront déjà mis en place des mesures pour lutter contre les deepfakes, mais il est grand temps que toutes les entreprises, quelle que soit leur taille, fassent le point sur les risques et mettent en œuvre les contrôles de sécurité appropriés", a déclaré Oliver Pinson, PDG de Defense.com. Roxburgh raconte à ISMS.online.

Il a raison. Les deepfakes audio/vidéo ne sont pas seulement de plus en plus réalistes. Cela devient de plus en plus abordable pour un plus grand nombre de personnes ayant des intentions néfastes. Là sont aussi des signes que ces capacités sont proposées en tant que service dans le domaine de la cybercriminalité. C’est un moyen infaillible de le démocratiser auprès d’acteurs encore plus malveillants.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster