Depuis des années, les programmes de sensibilisation à la cybersécurité visent principalement à aider les collaborateurs à repérer les e-mails suspects. Il s’agissait là d’une approche tout à fait pertinente ; en effet, l’e-mail est depuis longtemps l’un des moyens les plus courants utilisés par les pirates pour accéder aux systèmes d’une entreprise. On a appris aux collaborateurs à repérer les pièces jointes inattendues, les demandes inhabituelles et les messages qui semblent suspects.

Mais les pirates ne restent pas les bras croisés.

Le clonage vocal, les « deepfakes » et les attaques d’usurpation d’identité basées sur l’IA constituent un nouveau défi pour les organisations, car ils ciblent un élément auquel beaucoup de gens font instinctivement confiance : une voix familière.

Le clonage vocal n’est plus l’apanage de la science-fiction. Ce qui était autrefois considéré comme une technologie émergente est désormais largement accessible, de plus en plus convaincant et d’une simplicité d’utilisation inquiétante.

Le problème ne réside pas seulement dans le fait que les pirates puissent cloner des voix, mais aussi dans le fait que les gens leur font naturellement confiance. Lorsqu’un message arrive dans votre boîte de réception, vous pouvez prendre le temps de vous demander s’il est authentique, mais lorsqu’une personne dont la voix ressemble à celle de votre responsable vous appelle pour vous demander de l’aide, ce même scepticisme ne se manifeste pas toujours.

C’est pourquoi le clonage vocal est en train de devenir un outil si puissant pour les cybercriminels.

Pourquoi nous accordons davantage de crédit aux témoignages qu’aux e-mails

Des années de campagnes de sensibilisation ont appris aux gens à se méfier des messages inattendus et à bien réfléchir avant de cliquer sur des liens ou de partager des informations. Même s’ils n’en ont pas conscience, de nombreux employés ont pris des habitudes qui les aident à déterminer si un e-mail semble authentique.

La communication vocale est différente. Lorsque nous entendons quelqu’un parler, en particulier une personne que nous connaissons ou que nous reconnaissons, notre instinct nous pousse à faire confiance à ce que nous entendons. Une voix familière semble personnelle, authentique et bien plus difficile à imiter. C’est pourquoi le clonage vocal est devenu un outil si attrayant pour les cybercriminels.

Imaginez que vous soyez en plein milieu d’un après-midi chargé lorsque votre téléphone sonne. C’est votre directeur financier ; ou du moins, la voix correspond parfaitement à la sienne.

Ils s’excusent de vous appeler à l’improviste et vous expliquent qu’ils sont en réunion. Ils ont besoin que vous validiez un paiement avant la fin de la journée ou que vous leur transmettiez certaines informations pour répondre à une demande urgente d’un client. Tout dans cette conversation semble normal. La voix vous est familière, le ton est juste, et rien ne suscite immédiatement de soupçons.

Sauf que ce ne sont pas eux.

Le clonage vocal est désormais à la portée de tous

Ce qui est le plus inquiétant dans le clonage vocal, c’est la facilité avec laquelle il est désormais possible de le réaliser.

Il y a quelques années, la création d’une voix synthétique convaincante nécessitait des connaissances spécialisées, une technologie coûteuse et beaucoup de temps. Aujourd’hui, certains outils d’IA peuvent générer un clone vocal réaliste à partir d’un enregistrement audio de seulement trois secondes. Cet enregistrement peut provenir d’une intervention dans un podcast, d’une vidéo LinkedIn, d’un webinaire d’entreprise, d’une présentation lors d’une conférence, voire d’un court extrait partagé sur les réseaux sociaux. De nombreux dirigeants disposent déjà de suffisamment d’enregistrements audio accessibles au public pour permettre à des pirates de créer une imitation crédible.

Une fois cette voix clonée, elle peut être utilisée lors d’appels téléphoniques, de messages vocaux ou de notes vocales qui semblent provenir d’un collègue de confiance ou d’un cadre supérieur. Un salarié qui remettrait immédiatement en question un e-mail suspect serait bien moins enclin à douter d’une voix familière lui demandant d’agir rapidement.

C’est ce qui fait du clonage vocal un risque aussi important pour les entreprises. Cette technologie n’est plus l’apanage des cybercriminels sophistiqués ; elle devient une fonctionnalité courante, accessible à toute personne désireuse de l’utiliser.

À mesure que les barrières à l’entrée continuent de s’abaisser, les organisations doivent partir du principe que l’usurpation d’identité vocale deviendra un élément de plus en plus courant du paysage des menaces.

Pourquoi le clonage vocal est-il plus efficace lorsqu’il est associé à d’autres attaques ?

Le clonage vocal ne remplace pas les techniques traditionnelles d’ingénierie sociale ; il les renforce.

Les attaques les plus efficaces ne reposent pas sur une seule interaction. Au contraire, les pirates s’attachent à gagner la confiance de leur cible via plusieurs canaux avant de lui demander d’agir.

Un collaborateur peut recevoir un e-mail qui semble provenir d’un fournisseur. Plus tard dans la journée, il reçoit un message sur Teams qui réitère cette même demande, puis un appel téléphonique de la part d’une personne qui semble être un cadre supérieur, confirmant que la demande est légitime.

Chaque interaction rend la suivante plus crédible. Lorsque l’employé est invité à effectuer un virement, à autoriser un accès ou à communiquer des informations, cette demande lui semble familière et digne de confiance.

L’IA facilite la mise en place de ces attaques et permet de les multiplier beaucoup plus facilement. Les pirates peuvent générer des e-mails convaincants, des messages personnalisés et des appels vocaux clonés en une fraction du temps qu’il leur aurait fallu auparavant.

Il en résulte une forme d’ingénierie sociale bien plus sophistiquée à laquelle de nombreuses organisations ne sont pas préparées.

Le déficit de sensibilisation auquel les organisations doivent remédier

De nombreux programmes de sensibilisation à la sécurité continuent de se concentrer principalement sur les menaces liées aux e-mails. Les collaborateurs sont formés à vérifier les liens, à reconnaître les e-mails de hameçonnage et à signaler les messages suspects. Bien que ces compétences soient importantes, elles ne préparent pas pleinement les personnes aux attaques qui se manifestent par le biais d’appels téléphoniques, de messages vocaux, de plateformes de collaboration ou d’une combinaison de ces trois moyens.

Le défi ne consiste pas à expliquer aux employés le fonctionnement de la technologie de clonage vocal par IA, mais à leur apprendre comment réagir lorsqu’une demande semble authentique.

Lorsqu’une voix familière vous demande d’agir de toute urgence, vous devez avoir suffisamment d’assurance pour prendre le temps de vérifier la demande et de suivre les procédures établies. Ce comportement est bien plus important que la compréhension des détails techniques de l’attaque.

À mesure que les techniques d’ingénierie sociale gagnent en sophistication, les formations de sensibilisation doivent refléter la réalité à laquelle les collaborateurs sont confrontés.

Pourquoi la formation axée sur des récits fait la différence

L’un des principaux défis liés aux menaces émergentes telles que le clonage vocal réside dans le fait qu’elles peuvent paraître abstraites tant que l’on n’en a pas fait l’expérience concrète.

La plupart des employés savent que les « deepfakes » et les voix générées par l’IA existent, mais cela ne signifie pas pour autant qu’ils sauront reconnaître une tentative d’usurpation d’identité le moment venu.

On n’apprend pas à réagir face à la pression en lisant un document de politique générale ; on apprend en observant des situations réalistes se dérouler et en comprenant comment les attaquants abusent de la confiance.

C’est pourquoi les formations de sensibilisation axées sur des récits prennent de plus en plus d’importance.

« Cyber Police » est la série de sensibilisation à la cybersécurité en prise de vues réelles de MetaCompliance, conçue pour donner vie à de véritables menaces informatiques, telles que le clonage de voix, à travers des récits. À l’aide de personnages réalistes, de scénarios professionnels et d’attaques mises en scène, elle montre aux collaborateurs comment les menaces informatiques modernes se déroulent, comment la confiance est manipulée et comment des situations en apparence banales peuvent rapidement dégénérer en incidents graves.

En observant le déroulement des attaques à travers le regard des personnes concernées, les collaborateurs acquièrent une bien meilleure compréhension de la manière de repérer les comportements suspects et d’y réagir efficacement.

Instaurer une culture de la vérification

À mesure que le clonage vocal se généralise, les organisations doivent repenser la manière dont la confiance s’établit.

On ne devrait jamais attendre des employés qu’ils déterminent, à l’oreille seule, si une voix est réelle ou générée par l’IA. La technologie est trop convaincante pour que cela puisse constituer un moyen de défense fiable.

Les organisations doivent au contraire mettre en place des processus de vérification clairs pour les demandes concernant des paiements, des informations sensibles, des identifiants ou l’accès aux systèmes.

  • Si une demande vous semble inhabituelle, vérifiez-la.
  • Si une demande revêt un caractère d’urgence, veuillez la vérifier.
  • Si une demande concerne de l’argent ou des données sensibles, veuillez la vérifier.

Avant tout, les collaborateurs doivent se sentir à l’aise pour le faire. Une culture de sécurité solide encourage chacun à remettre en question les demandes lorsque cela s’avère nécessaire, même si celles-ci semblent émaner de la direction.

Cette petite pause pour vérifier les informations peut vous éviter une erreur coûteuse.

L’avenir de l’ingénierie sociale est déjà là

Le clonage vocal est souvent présenté comme une menace future, mais les organisations doivent s’y préparer dès aujourd’hui. Cette technologie devient de plus en plus accessible, sa qualité s’améliore rapidement et il est de plus en plus difficile pour le grand public de la détecter. En effet, McAfee a constaté que 70 % des personnes interrogées ne se sentaient pas capables de faire la différence entre une voix clonée et une voix réelle, ce qui souligne à quel point ces attaques sont désormais crédibles.

Les organisations qui sauront réagir efficacement seront celles qui mettront en place une culture dans laquelle la vérification fait partie du quotidien, où les collaborateurs n’hésitent pas à remettre en question les demandes inhabituelles, et où les formations de sensibilisation tiennent compte des menaces auxquelles les personnes sont le plus susceptibles d’être confrontées.

Lorsqu’entendre une voix familière ne suffit plus à prouver l’identité d’une personne, la confiance doit se mériter, et non se présumer.

En savoir plus sur la cyberpolice

« Cyber Police » utilise le format dramatique pour donner vie à de véritables cybermenaces, suscitant ainsi des échanges et remettant en question les idées reçues. Chaque saison aborde les menaces auxquelles les collaborateurs sont le plus susceptibles d’être confrontés, du phishing aux ransomwares en passant par les deepfakes, et les transpose en épisodes captivants. En découvrant ces menaces à travers le regard des personnes concernées, les collaborateurs acquièrent une meilleure prise de conscience et la confiance nécessaire pour y faire face efficacement.

Découvrez-en davantage sur Cyber Police et voyez comment une formation de sensibilisation axée sur des scénarios aide les collaborateurs à identifier les cybermenaces actuelles, à remettre en question les comportements suspects et à réagir avec assurance dans des situations réelles.