Les nouvelles technologies, comme l’intelligence artificielle générative, notamment Chat GPT, deviennent de plus en plus populaires à divers niveaux, mais entraînent dans leur sillage des risques accrus en matière de cyberattaques. C’est ce qu’explique le Dr Sheeba Armoogum, Associate Professor à l’Université de Maurice.
« With Chat GPT, cyber-attacks even go exponential », affirme-t-elle. L’intelligence artificielle se popularise, mais avec une prolifération d’identity attacks, dit-elle. Ce qui représente encore un défi à relever, pour les individus tout comme pour les organisations, qui doivent revoir leur cybersécurité, car les limites sont sans cesse repoussées avec l’intelligence artificielle. Laquelle permet même d’imiter la voix d’une personne, ce qui facilite notamment les Catfish Attacks.
« Je ne suis pas contre Chat GPT, car cela facilite le travail, pour rédiger des lettres, etc. Mais cela facilite aussi des attaques », dit-elle. « Anyone can start attacking any organisation. More security incidents will happen with AI. » Et si quelqu’un a volé votre identité pour attaquer votre compagnie, vous allez perdre beaucoup de temps à essayer de prouver que ce n’est pas vous qui avez commis le crime en question, fait-elle comprendre.
Elle intervenait lors d’une conférence sur la criminalité économique organisée par le Centre for Legal and Business Studies (CLBS) en partenariat avec le groupe Comsure. Conférence qui aura été l’occasion de débattre de diverses questions, comme le blanchiment d’argent, la prolifération des crimes, les sanctions, la cryptomonnaie, la cybercriminalité, la confidentialité des données, les risques liés aux tierces et à la chaîne d’approvisionnement, la dénonciation et les enquêtes, ainsi que les droits de l’homme et la criminalité environnementale.
Pour éviter les cyberattaques, il faut rester constamment vigilant, insiste Sheeba Armoogum. Et parfois certaines entreprises se retrouvent incapables d’opérer pendant un certain laps de temps. « Sometimes you have to shut down the servers, you have no choice, it is difficult to chut down your infrastructure. Cyberattack is something severe. There is no ideal solution to stop them, but you need to be more resilient. »
En 2021, les attaques par ransomware ont augmenté de 105% par rapport à 2020, et les menaces cryptées (« encrypted threats ») de 167%. Si les ransomwares occupent une place prépondérante, les attaques par hameçonnage et par compromission du courrier électronique des entreprises (« business email compromise ») ont également connu une hausse significative, suscitant de vives inquiétudes.
Sheeba Armoogum affirme qu’outre les systèmes de protection traditionnels, il faut des systèmes de prévention contre les attaques. « And now there is the Cloud. Employees are using their own devices and working on the Cloud. Cloud is not in the premises, it is everywhere », dit-elle. Et croire que les cyberattaques ne ciblent que le milieu professionnel serait une erreur. « Your own device can have risk factors and not all companies are giving their employees devices to work from home. And at home, you are often sharing your devices with other members of the family. »
Sheeba Armoogum met aussi en garde contre les pertes financières que provoquent les cyberattaques. Elle soutient que dans le processus de transition digitale des entreprises, il faut savoir construire et maintenir l’élément de confiance entre la direction et les employés, et en matière de cyber résilience, c’est le Zero-Trust Principle qui est utilisé.
« With this concept you always need to verify and authenticate before any connection. Whatever points connected to your system have to be verified, we tend to think that attacks always come from outside, but insider threat is what is more dangerous. »
Après le Zero-Trust Principle, le deuxième axe majeur reste celui de donner le moins de privilèges possibles. Ces deux éléments ont permis à beaucoup d’entreprises de réduire les attaques, selon elle. Mais il y a aussi la formation et le TTX (Tabletop Exercise), qui permet de préparer les employés à de telles éventualités et de décider à l’avance qui sont ceux qui doivent agir en cas d’attaques, et ainsi éviter des situations de panique au sein des entreprises.
Cette conférence a réuni divers intervenants, comme Mathew Beale, fondateur/CEO du groupe Comsure, Hervé Duval, Senior Counsel, Jessica Naga, CEO du groupe Mindex, Dipty Gajadur, de Dentons, Naushad Khadun, directeur de la formation au Financial Services Institute, Perrin Carey, de Costeer, et Anthony Flemmer, de Defence Logic, entre autres.
