L’apprentissage tiré du rapport Cybersecurity Outlook 2025 du Forum économique mondial par le Dr Martin J. Kraemer
L’année dernière, la multinationale britannique Arup a subi une perte de près de 20 millions de livres en raison d’une escroquerie menée par deepfake. Un employé du secteur financier dans leurs bureaux de Hong Kong a réalisé 15 transactions vers sept comptes bancaires différents après avoir rejoint une réunion en ligne, où des exigences financières urgentes étaient discutées par la direction.
Cet incident, qui a suscité une prise de conscience au sein de nombreuses organisations, illustre la façon dont les nouvelles technologies alimentent d’anciennes escroqueries—les cybercriminels utilisent désormais avec succès l’IA et les deepfakes. Ce cas met en évidence la complexité croissante du cybercrime, alors que les nouvelles technologies augmentent à la fois la fréquence et la sophistication des cyberattaques. D’après le rapport Cybersecurity Outlook 2025 du Forum économique mondial, les types d’attaques les plus fréquents incluent les ransomwares, l’ingénierie sociale améliorée par l’IA et les attaques sur la chaîne d’approvisionnement.
Ces trois types d’attaques ne surprendront personne dans le domaine de la cybersécurité, étant des éléments récurrents de cette liste depuis plusieurs années. Il est également révélateur de noter qu’une majorité des décideurs en matière de risques (71%) s’attendent à des perturbations sévères causées par des risques cybernétiques et des activités criminelles. En outre, 72% des entreprises signalent une augmentation des risques cybernétiques en 2024. Ces menaces présentent d’importants défis pour les responsables de la sécurité de l’information (CISO).
L’émergence de l’IA générative a diminué les coûts des campagnes de phishing et de fraude bien conçues, comme le montrent des tentatives de phishing de plus en plus personnalisées. Cela reflète également une démocratisation du cybercrime, avec l’émergence de plateformes de cybercriminalité-as-a-service. Ainsi, les attaques par phishing et deepfake sont désormais proposées comme des services sur le dark web, réduisant ainsi la nécessité pour les attaquants d’avoir des compétences techniques avancées. En conséquence, les attaques sont plus fréquentes et souvent menées par des adversaires moins qualifiés.
Le rapport du WEF indique que le nombre de cybercriminels augmente, notamment par la convergence entre cybercriminalité et crime organisé. Des phénomènes tels que le travail forcé sur des fermes de scams en Asie du Sud-Est montrent l’évolution des profils criminels. L’efficacité opérationnelle des activités criminelles traditionnelles pourrait conférer de nouvelles caractéristiques à la cybercriminalité et, si rien n’est fait, contribuer à une hausse continue du nombre d’attaques.
Par exemple, une étude réalisée par Accenture révèle que le nombre d’attaques personnalisées par deepfake a augmenté de 223 % entre le premier trimestre 2023 et le premier trimestre 2024. De plus, 66 % des professionnels de la cybersécurité considèrent que l’IA et le Machine Learning représentent le principal risque pour la cybersécurité en 2025, tandis que 63 % admettent ne pas avoir effectué d’évaluations des outils d’IA avant leur déploiement. Les menaces proviennent à la fois d’attaques externes et d’une utilisation interne des technologies. Il est clair que l’intelligence artificielle agit comme un catalyseur pour le cybercrime.
Accroître la résilience en cybersécurité est plus crucial que jamais.
À l’heure actuelle, nous devons être préparés à prévenir, à résister, à détecter, et à nous remettre de ce déferlement d’attaques. Plutôt que de croire qu’il est possible de protéger totalement nos organisations des incidents, notre objectif se concentre sur le maintien des activités tout en gérant soigneusement les risques liés à la cybersécurité.
Une bonne formation et une réflexion adéquate peuvent mener à des décisions rapides et efficaces dans des situations critiques. Toutefois, lorsque des cybercriminels exploitent de nouvelles technologies pour reproduire d’anciennes escroqueries, il est possible que les individus ne prennent pas les mesures qui s’imposent, comme cela a été le cas dans l’exemple de Hong Kong. En revanche, des circonstances favorables peuvent également provoquer les bonnes réactions, comme l’illustre un incident survenu chez Ferrari l’année dernière.
Chez le fabricant de voitures de luxe, un haut responsable a posé la bonne question au bon moment, démasquant ainsi une tentative d’escroquerie. L’imposteur se faisait passer pour le PDG de l’entreprise, mais il n’a pas su se rappeler quel livre ce dernier avait recommandé quelques jours auparavant. Le responsable a immédiatement mis fin à l’appel.
Élever la sensibilisation à la cybercriminalité et former les employés à prendre de bonnes décisions de sécurité reste le point central de nombreux programmes de sécurité. Une approche couramment suggérée est de poser une question personnelle pour vérifier l’identité d’une personne.
Cependant, nous savons également que la formation s’avère souvent inefficace et ne conduit pas nécessairement à des comportements plus sécurisés. Selon Gartner, certains employés contournent délibérément les politiques de cybersécurité pour atteindre leurs objectifs. Les programmes de formation doivent inclure des interventions comportementales efficaces pour renforcer la résilience et la posture de sécurité d’une organisation.
Rob Greig, Directeur mondial des systèmes d’information chez Arup, partage ses réflexions sur la façon de sécuriser les organisations. Il souligne l’importance d’avoir une visibilité sur ce qui se passe au sein de l’organisation en termes de données et d’accès, pour détecter les activités erronées et y répondre efficacement.
Il est donc essentiel de créer un environnement qui encourage un comportement sécurisé, car aucun comportement ne doit exister en isolation. La science comportementale et la psychologie nous enseignent que les comportements sont influencés par la connaissance, la capacité, la motivation, mais aussi le bon déclencheur. Agir dans un cadre de soutien mutuel favorise plus de comportements sécurisés. À l’inverse, les employés d’organisations avec une culture de sécurité médiocre sont souvent plus susceptibles de partager des informations sensibles.
Bon à savoir
- Le rapport du WEF en matière de cybersécurité indique une augmentation des techniques de social engineering.
- Les attaques par deepfake sont en forte hausse, augmentant les risques associés aux transactions financières.
- Des plateformes de cybercriminalité-as-a-service facilitent l’accès à des outils avancés pour les cybercriminels.
La résilience organisationnelle face aux cyberattaques dépend donc de l’adaptabilité et de l’apprentissage collectif au sein des équipes. Cela pose la question de la manière dont les entreprises peuvent transformer la culture de la cybersécurité pour mieux prévenir les risques liés aux comportements humains. Les défis demeurent, mais augmenter la sensibilisation et l’engagement de tous pourrait ouvrir la voie à un environnement de travail plus sûr.