Contact 01 75 43 22 20

Utile

Recrutement

Nous suivre

Logo linkedin Logo facebook Logo instagram Logo youtube

Sérénité informatique

Catégorie : Guide

Guide #3 La double face de l’IA pour la sécurité de vos données.

Posted on by Aubin

Chat GPT, Notion…

Sensibilisation aux problématiques de sécurité liées aux usages de l’Intelligence Artificielle.

Les progrès fulgurants de l’Intelligence Artificielle ces derniers mois, et l’adoption rapide de ces nouveaux outils par les entreprises préfigurent la prochaine révolution industrielle, une révolution déjà en marche.

Face à ce changement de paradigme, et alors que des doutes émergent quant aux enjeux éthiques et cyber liés à l’IA, vous pouvez choisir de nager à contre-courant… ou d’ajuster les voiles pour naviguer dans le sens du vent.

NOTRE CONVICTION

Que vous soyez favorable ou non à l’émergence de l’IA, votre entreprise risque de se faire distancer si elle ne suit pas la tendance.

Bien entendu, comme toute innovation son usage devra être maîtrisé et nécessitera un contrôle régulier, qui vous permettra cependant, de ne prendre aucun retard sur les avancées technologique de demain.

QUEL EST LE RISQUE ?

L’utilisation de ChatGPT (et autres solutions d’IA) présente, comme pour toute solution IT, des risques pour votre Cybersécurité :

Fuite ou vol de données, attaques sophistiquées par phishing , logiciels malveillants plus performants, diffusion de désinformation, usurpation d’identité… la gamme de risques cyber accentuée par l’IA est large.

CONFIDENTIALITÉ DES DONNÉES

L’utilisation de Chat GPT et d’autres IA soulève des défis particuliers en matière de prévention des fuites de données (Data Leak Prevention, DLP).

En effet, les salariés peuvent saisir des informations sensibles dans ces systèmes externes hors de contrôle de votre organisation. Ces informations peuvent être stockées, analysées, exploitées et potentiellement exposées en cas de violation de données ou d’attaque informatique.

Les systèmes de DLP traditionnels reposent sur des méthodes de détection des données sensibles dans les communications et les transferts de fichiers, telles que l’inspection approfondie des paquets (Deep Packet Inspection, DPI) et l’analyse de contenu.

Avec Chat GPT, la prévention des pertes de données devient plus complexe. Les interactions entre les systèmes et les utilisateurs sont moins structurées et plus dynamiques que les communications traditionnelles, ce qui rend difficile la détection des fuites de données par les outils de DLP existants.

Dans ce contexte, il est crucial de mettre en place des mesures de protection des données adaptées à l’ère des intelligences artificielles, notamment en renforçant les politiques de DLP existantes et en intégrant des mécanismes de contrôle spécifiques pour surveiller et limiter les échanges d’informations sensibles avec les systèmes de Chat GPT et autres IA.

Les solutions techniques de DLP promettent d’évoluer pour répondre à ces nouveaux usages. En parallèle, nous recommandons la diffusion des bonnes pratiques suivantes à vos salariés :

  • Ne pas saisir de données personnelles, telles que les noms, adresses, numéros de téléphone ou numéros de sécurité sociale.
  • Éviter d’inclure le nom de l’entreprise, des informations sur les clients, des secrets commerciaux ou des informations financières dans les requêtes.
  • Ne pas partager des informations sur les systèmes de sécurité internes, les configurations réseau ou les vulnérabilités de l’entreprise.
  • Blanchir la donnée : utiliser des exemples fictifs ou anonymisés lors de l’échange d’informations avec l’IA.
    • Attention : le blanchiment des données atteint rapidement ses limites, et vous devez avoir conscience qu’avec quelques corrélations très simples (adresse de connexion par exemple), il est « facilement » possible de rattacher des requêtes à l’entreprise, même si son nom n’est pas directement mentionné. La mise en place de connexions VPN peut rendre de tels rapprochements plus complexes.
  • Mettre en place des protocoles d’accès aux IA, tels que l’authentification multi facteurs (MFA) et la gestion des droits d’accès pour limiter les risques de divulgation non autorisée d’informations sensibles.

PHISHING

Le phishing est également une menace importante associée à ChatGPT.

Les pirates informatiques peuvent utiliser les technologies d’IA génératives pour écrire des e-mails de phishing de meilleur qualité et convaincants, qui semblent avoir été écrits par des professionnels « légitimes ». Ce travail nécessitait jusqu’à présent des ressources importantes, ce qui explique que les attaques de phishing de masse restaient souvent de piètre qualité (présence de fautes d’orthographe, de fautes de syntaxe, etc.). L’intégration de l’IA permet d’ores et déjà des attaques beaucoup plus sophistiquées.

Nous vous recommandons fortement d’accentuer encore davantage les efforts de sensibilisation auprès de vos salariés. Selon certaines études, jusqu’à 90 % des cyberattaques réussies impliquent une forme de phishing ou d’ingénierie sociale : l’erreur humaine reste le principal facteur de succès pour les attaquants.

Abbana peut vous proposer un « audit », via de fausses campagnes de phishing qui permettront de mesurer le niveau de maturité de votre organisation en retournant des statistiques qui orienteront les efforts de sensibilisation (taux de signalement des emails frauduleux, taux de clics sur les liens frauduleux, taux de saisie d’informations de connexion comme les identifiants et mots de passe, etc.)

FIABILITÉ DE L’INFORMATION

Les IA, comme le chat GPT, sont capables de générer des réponses pertinentes, mais elles peuvent également fournir des informations incorrectes ou inexactes. Il est donc crucial de vérifier les informations obtenues auprès de sources fiables. Encouragez vos employés à :

  • Toujours valider les informations reçues auprès de sources fiables et officielles.
  • Ne pas se fier uniquement aux réponses des IA pour prendre des décisions importantes.

SÉCURITÉ DES SYSTÈMES

Les systèmes basés sur l’IA peuvent être vulnérables aux cyberattaques. Assurez-vous que vos employés respectent les bonnes pratiques de sécurité, telles que :

  • Utiliser des mots de passe forts et uniques pour chaque compte en ligne.
  • Ne pas partager leurs identifiants de connexion avec d’autres personnes.
  • Signaler immédiatement toute activité suspecte à l’équipe de sécurité informatique.

FORMATION ET SENSIBILISATION

Il est essentiel que vos employés comprennent les enjeux liés à l’utilisation des IA et les mesures à prendre pour minimiser les risques. Nous vous recommandons de vous assurer que :

  • Les employés reçoivent une formation adéquate sur l’utilisation des IA et leurs risques associés.
  • Les employés sont régulièrement informés des mises à jour des politiques et des meilleures pratiques en matière de sécurité.

CONCLUSION

ChatGPT et autres solutions d’IA sont des technologies fascinantes et prometteuses. En veillant à utiliser ChatGPT de manière responsable et en prenant les précautions nécessaires, votre entreprise pourra exploiter ses avantages tout en contenant les risques à un niveau acceptable.

Nous vous encourageons à adapter et à partager le document en Annexe avec vos salariés et à adapter vos politiques internes en conséquence, les équipes d’Abbana restent à votre entière disposition pour vous accompagner dans cette évolution.

Intelligence-artificielle-et-risques-cyber-infographie-ABBANATélécharger

Guide #2 Protégez vos réseaux sociaux professionnels

Posted on by Aubin

Le nouveau terrain de jeu des hackers

20% des entreprises Françaises déclarent avoir été victimes de cyber attaques via leurs réseaux sociaux d’entreprise. De nombreux dirigeants délaissent LinkedIn, Twitter ou Facebook pour d’autres alternatives telles que SharePoint et Teams qui comptent parmi les réseaux les plus utilisés par les professionnels à l’heure actuelle.

Restez alerte

  • IMPOSSIBLE DE VOUS CONNECTER à votre compte avec vos identifiants habituels ou réception d’un mail de changement d’identifiants.
  • DES MESSAGES SEMBLENT SUSPECTS parce qu’ils ne proviennent pas de vous, vous n’en comprenez pas la nature ou des publications ont disparu sans raison apparente.
  • VOS INFORMATIONS ONT CHANGÉ à votre insu, aussi bien personnelles que paramétriques, ou des contacts ont été supprimés / ajoutés sans votre consentement.

Que faire ?

  • Changer votre mot de passe et choisir un nouveau plus complexe
  • Activer la double authentification sur vos différents comptes
  • Prévenir vos collaborateurs, vos contacts pros et votre banque

Linkedin

Contactez LinkedIn à l’aide du formulaire réservé ci-après : bit.ly/3qRz48s

WhatsApp

Vérifiez le numéro de téléphone associé à votre compte WhatsApp grâce à un code à 6 chiffres envoyé par SMS : l’individu malveillant sera alors déconnecté.

Twitter

Twitter propose d’aider les comptes piratés en accédant à ce lien : bit.ly/3SgrQ9J

En cas de doutes ?

  • Consulter notre dossier sur les mots de passe
  • Contactez-nous

Guide #1 Cybersécurité

Posted on by charlie

Quand il y a un doute il n’y a pas de doute

Face aux risques liés à la cybercriminalité et quelle que soit votre secteur d’activité, votre sécurité doit être résiliente à toute épreuves.
Ces infractions numériques visant à récupérer vos données de manières frauduleuses sont toutes différentes et peuvent être anticipées.

Vous trouverez ci-dessous les 10 «cybermalveillances» les plus fréquentes et quelques conseils afin de vous sensibiliser aux mesures prioritaires à mettre en place.

HAMEÇONNAGE

Principale cybermalveillance rencontrée, tous publics confondus, l’hameçonnage ou le phishing cible la victime par l’envoi d’un mail ou sms l’incitant à réaliser une action tel que : l’ouverture d’un lien ou d’une pièce jointe infectée par un virus. Cette cyber attaque consiste à leurrer l’internaute en l’incitant à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.

PIRATAGE DE COMPTE

Seconde menace la plus rencontrée, le piratage de compte en ligne s’oriente aujourd’hui principalement vers l’attaque de compte de messagerie.
En effet, les cybercriminels l’ont compris, les messageries sont généralement les points centraux par lesquels transitent toutes les informations de réinitialisation de mots de passe ou de comptes en ligne.

ARNAQUE AUX FAUX SUPPORTS TECHNIQUE

Ce piège vise principalement les séniors, plus novices en matière de pratiques numériques. Il consiste à bloquer l’ordinateur de la victime en y faisant apparaitre un message évoquant une faille ou un incident et l’invitant à se rapprocher d’un support technique malveillant.
Son but ? Récupérer les codes d’accès via la prise en main de l’appareil et d’en faire par la suite un usage frauduleux.

CYBERHARCÈLEMENT

Il peut se manifester sous différentes formes : intimidations, insultes, menaces, rumeurs, publications de photos…
Ces comportements ont pour but la dégradation des conditions de vie de la victime et s’accompagnent régulièrement de chantages financiers.

VIOLATION DE DONNÉES PERSONNELLES

Vos données personnelles sont des informations clés permettant l’identification directe d’une personnes : photos, nom, adresse, mail, adresse IP…
Ainsi, la violation ou l’usurpation des données personnelles peut avoir des consé quences lourdes, préjudices financier, atteinte à la réputation, tentative d’hameçonnage…

RANÇONGICIEL

L’attaque du cybercriminel vise à bloquer l’accès à l’appareil de l’utilisateur ou à certains fichiers en l’échange d’une rançon pour en obtenir de nouveau l’accès. Ces rançongiciels constituent la principale attaque chez les professionnels.

SPAMS

Non sollicité et à des fins commerciales ou malveillantes, le spam peut prendre plusieures formes : sms, email, réseaux sociaux…Généralement agissant comme outil de prospection commerciale, faites preuve de vigilance car il peut être malveillant : demande de rappel à un numéro surtaxé, tentative de phishing, escroquerie et/ou piratage…

ATTAQUES EN DÉNI DE SERVICE

Cela vise à saturer un serveur afin de le rendre inaccessible ou bien à exploiter une faille de sécurité qui permettrait de dégrader voir d’interrompre le service/site. Le but d’une telle manoeuvre étant de descréditer et de nuir à la réputation de la victime.

FAUX ORDRES DE VIREMENT

Cyberattaque consistant à tromper la victime pour la pousser à réaliser un virement de fonds sur un compte détenu par un cybercriminel. «L’arnaque au président» est l’un des modes opératoire les plus courants : il s’agit d’une demande de virement urgente et confidentielle émanant d’un dirigeant. Dans la majeure partie des cas, cette fraude fait suite à un piratage et/ou à une usurpation d’identité.

VIRUS

On ne le présente plus, le virus est un programme informatique malveillant dont l’objectif est de s’implenter sur un système informatique afin d’en perturber son fonctionnement et de nuire à la cybersécurité de son propriétaire. Il s’infiltre par l’ouverture d’un mail, d’une pièce jointe ou d’un clic sur un lien et se manifeste par un ralentissement, un blocage.

Sécuriser

  • Utilisez un antivirus
  • Protégez vos accès par des mots de passe solides
  • Sauvegardez vos données régulièrement
  • Appliquez vos mises à jour de sécurité

Vérifier

  • Méfiez-vous de mails inattendus
  • Vérifiez les liens ou pièces-jointes si vous avez un doute : http://www.virustotal.com
  • Contrôlez l’url des sites sur lesquels vous faites vos achats
  • Téléchargez vos applications sur des sites officiels

Se faire accompagner

Si le doute persiste ou si vous êtes victime d’une cyberattaque :

  • Ne communiquez aucune information !
  • Changez vos mots de passe
  • Faites opposition
  • Faites-vous assister par un professionnel

VOUS POUVEZ IMPRIMER CE GUIDE POUR VOS ÉQUIPES INTERNES :
infographie-AbbanaTélécharger

Sources : Cybermalveillance.gouv.fr