Alors que l'agence de cybersécurité de l'UE a récemment alerté sur de nouveaux risques cyber liés à l'IA générative, le secteur financier se trouve être particulièrement ciblé par ces attaques. À titre d’exemple, au premier semestre 2023, le secteur bancaire a été le plus affecté par les attaques par rançongiciel, avec plus de 9 000 détections. Le véritable défi pour le secteur reste alors d’appréhender davantage l’IA afin de compenser ses impacts à long terme et améliorer la résilience de la cybersécurité.
Category
🗞
NewsTranscription
00:00 [Musique]
00:04 Les risques cyber à la une de Smartech aujourd'hui avec mes invités Maxime Cartan,
00:08 expert du renseignement sur les cybermenu, vous avez officié comme tel au Centre opérationnel de l'Annecy,
00:14 l'Agence nationale de sécurité et de système d'information.
00:17 Vous êtes l'actuel président cofondateur de Citali, d'une start-up spécialisée en quantification financière des risques cyber.
00:24 Alors ça, ça nous intéresse beaucoup de savoir comment on peut les quantifier justement.
00:28 Avec vous autour de la table Olivier Pantaleo, président cofondateur d'Allemonde.
00:32 Vous êtes un acteur français de l'audit, du conseil mais aussi du service,
00:37 l'intégration de services managés en cybersécurité, cloud et infrastructure.
00:42 Et puis on a convié le consultant du jour, Olivier Erisson. Bonjour.
00:46 Bonjour.
00:47 Expert de la cybersécurité avec une spécialisation sur la résilience et la compréhension des menaces cyber pour le cabinet, OnePoint.
00:53 Bienvenue à tous les trois. Je voulais qu'on commence donc ensemble, Olivier, juste pour avoir un état des lieux de la menace cyber.
01:00 Très bien. Déjà merci pour l'invitation. Je suis ravi d'être ici.
01:04 2023, ce qu'on a constaté sur la rétrospective, c'est qu'on a une forte augmentation à peu près plus de 40% des attaques dites ransomware.
01:13 On voit que ces attaques ont été dévastatrices un petit peu partout dans le monde.
01:17 Et que les attaques ont rapporté un peu plus d'un 1,1 milliard d'euros aux auteurs de ces ransomware parce que les victimes ont souvent,
01:26 très souvent payé la ransom. Donc ça, c'est au niveau mondial. Donc beaucoup d'augmentation de ransomware.
01:31 Au niveau de la France, on voit aussi que le secteur public a été très touché.
01:35 Justement, Nancy a expliqué qu'on était sur une moyenne d'à peu près 10 attaques par mois sur les collectivités territoriales.
01:42 Ensuite, en 2023, on voit aussi les hôpitaux, les mairies. Bien sûr.
01:48 Et on voit aussi, forcément, le mot était sur toutes les lèvres en 2023, c'est l'intelligence artificielle.
01:54 Et on commence à voir justement les premières attaques, les premières manipulations de l'IA à des fins malveillantes.
02:02 Donc voilà, en résumé pour 2023.
02:04 C'est un magnifique paysage.
02:06 Oui, exactement.
02:07 Et Sophie, comment vous qualifieriez-vous plus particulièrement la menace cyber aujourd'hui qui pèse dans le secteur de la finance,
02:14 qui peut peser sur les banques ?
02:16 Oui. Alors merci pour l'invitation.
02:18 Pour rebondir sur ce que tu viens de dire, c'est aussi intéressant de noter que 2024, ça va être une année assez pleine en termes de menaces,
02:25 puisqu'on a les JO à Paris, puis une année d'élections aux États-Unis, ce qui est toujours assez mouvementé.
02:29 Les élections européennes aussi.
02:31 Exactement. Et donc pour répondre directement à la question sur les banques et les finances,
02:34 on a sorti un rapport récemment. Pour rebondir, tu disais que c'était à peu près plus de 40% le nombre de ransongiciels,
02:40 donc d'attaques par extorsion de ce type-là, dans le monde.
02:43 Sur les banques et la finance, on voit que c'est plutôt plus de 65-70% par rapport à l'an dernier.
02:48 Ah, donc ça c'est la croissance.
02:50 Exact. Donc on a un secteur qui est déjà de base extrêmement ciblé,
02:54 parce que vu comme très lucratif par les cybercriminels et intéressant aussi d'un point de vue renseignement par les États,
03:00 qui est de plus en plus ciblé avec des attaques de plus en plus sophistiquées.
03:04 On pourrait y revenir, mais une convergence des techniques d'attaque entre les cybercriminels et les attaquants étatiques.
03:11 Donc voilà, plus de sophistication, plus de ciblage, plus de monnaie.
03:14 Et alors je me suis laissé dire qu'un RSSI dans une banque voyait passer à peu près 99% des mails,
03:21 étaient des mails de cyberattaquants, des mails de phishing.
03:25 Oui, alors ça, ça ne va en plus pas s'arranger, puisque tu mentionnais l'IA générative.
03:29 Bon, un des cas d'usage qu'on voit d'ores et déjà, c'est sur la partie phishing, hameçonnage,
03:34 où bien sûr ça permet de passer à l'échelle et d'avoir des choses qui sont de meilleure qualité.
03:38 Et donc de faire du ciblé de masse, ce qui est un petit peu un nouveau paradigme par rapport à ce qu'on avait l'habitude de voir.
03:43 Il ne faut pas oublier aussi que le secteur bancaire a cette caractéristique,
03:47 qu'il repose avant tout sur la confiance, et que la confiance c'est une des choses qui peut être brisée suite à une cyberattaque.
03:53 Donc oui, c'est particulièrement important sur ce secteur-là.
03:57 Voir préoccupant, oui. Alors Olivier, on commence à évoquer cette arrivée de l'intelligence artificielle dans le monde de la cybermenace.
04:04 Est-ce que vous, vous constatez une hyperaccélération autour de l'IA ?
04:08 Alors, pas forcément autour de l'IA, mais autour des attaquants et des attaques réussies.
04:12 Donc on a des délais entre la survenance d'une vulnérabilité et l'exploitation de la vulnérabilité, qui est très rapide.
04:19 Donc par le passé, ça pouvait durer des semaines, des mois.
04:22 Maintenant, ça dure plutôt des heures, voire des minutes, entre la publication de la vulnérabilité et l'exploitation de la vulnérabilité.
04:30 On a aussi une capacité des attaquants à se remettre en question. Il y a eu la faillite d'Antti il y a quelque temps.
04:37 L'éditeur a sorti un checker pour s'assurer qu'on avait bien patché la vulnérabilité.
04:42 Les attaquants ont pris le checker, ont adapté l'attaque, et en fait ont compromis malgré tout les entreprises.
04:49 Donc on voit que l'attaquant va très vite, ce qu'on appelle le "very go fast" chez nous.
04:54 C'est-à-dire qu'entre le moment où la faille sort et le moment où il l'exploite, ça va extrêmement vite.
04:59 Comment vous l'expliquez, ça ?
05:01 Il y a plusieurs raisons à ça. C'est l'automatisation.
05:04 On parlait de plus d'un milliard de ronçons collectés. En 2022, c'était 200 millions.
05:11 Donc on voit la croissance qui est quand même considérable.
05:13 On a des attaquants qui visent, qui ciblent.
05:15 On parlait d'avant que de la finance, de l'assurance, entre guillemets des "gros poissons".
05:19 Des entreprises qui sont très exposées et qui ont énormément de fournisseurs.
05:23 Un écosystème de confiance qui est important.
05:25 On se rend compte que sécuriser, protéger tout ça...
05:29 En fait, on protège son écosystème.
05:31 Exactement, c'est compliqué.
05:33 Et pour répondre à la question, pourquoi on observe ça ?
05:36 C'est l'automatisation.
05:38 C'est-à-dire que...
05:39 L'automatisation, c'est IA ou c'est pas IA ?
05:41 Ça commence. L'IA, on est au démarrage de l'IA.
05:43 Tout le monde parle de l'IA.
05:45 La bonne nouvelle, c'est que côté défense et côté attaque, on est à peu près au même niveau.
05:48 On n'a pas forcément les mêmes moyens d'un côté et de l'autre.
05:51 Ceci étant, ça n'est que le début.
05:53 Ce que disait Maxime, ce qui arrive devant, enfin ce qui est devant nous, est quand même assez inquiétant.
05:59 La bonne nouvelle, c'est que côté défense, on utilise aussi.
06:03 On va utiliser cette IA.
06:04 Donc pour être beaucoup plus réactif, pour améliorer la détection, pour améliorer la réponse.
06:09 Donc après, c'est toute une histoire de moyens.
06:12 Qui va plus vite ? C'est la question.
06:14 Aujourd'hui, typiquement, nous, on a des activités de réponse à incidents.
06:18 On a des entreprises qu'on accompagne sur de la détection.
06:21 En fait, on a des cas d'usage malveillant.
06:24 On est capable, via l'IA générative, aujourd'hui, d'interroger de manière littéraire.
06:28 En gros, les quantités d'informations que l'on a collectées sur l'entreprise,
06:34 pour s'assurer, pour voir s'il y a des événements malveillants qui remontent.
06:37 Donc on va beaucoup plus vite.
06:38 Et donc, on qualifie grâce à l'IA.
06:40 Mais je pense que l'enjeu, il est plutôt devant nous.
06:44 C'est-à-dire que là, on a, dans les deux ans qui viennent, ça va s'accélérer.
06:47 On parlait d'un milliard, plus d'un milliard.
06:49 Potentiellement, ça sera encore plus que ça.
06:51 Alors sur ces rançons, ça veut dire qu'on continue dans le monde à payer les rançons ?
06:54 C'est quand j'entends les comptants signalés.
06:56 Oui, je ne sais pas si vous vous souvenez, mais...
07:00 Oui, parce qu'on a eu des débats ensemble.
07:02 Si vous vous souvenez, les assurances, il y a des assureurs qui se sont mis en retrait.
07:05 Finalement, on a l'IGRFR au niveau de l'État.
07:07 Donc on a autorisé le paiement de la rançon.
07:09 Nous, on intervient, on a géré à peu près...
07:11 En France, ce n'est pas le cas aux États-Unis.
07:13 Exactement.
07:14 Côté Allemande, on a géré 80 crises majeures en 2023.
07:18 Et dans certains cas de figure, l'entreprise n'a pas d'autre choix que de payer.
07:23 Donc, bien évidemment, il faut aller au bout, il faut éviter de payer.
07:27 Mais quand on n'a pas le choix, il en va de la survie de l'entreprise.
07:31 Donc, c'est pour ça qu'on est passé de 200 millions à 1 milliard.
07:36 Et que derrière, avec tout ce qui se passe...
07:39 Maxime ?
07:40 Il faut aussi rappeler rapidement que c'est le but ultime, évidemment, des cybercriminels, la rançon.
07:45 Et que donc, ils se diversifient.
07:47 Typiquement, avant, ils chiffraient les données.
07:49 Donc ils les rendaient inaccessibles, illisibles pour leurs propriétaires.
07:52 Ils se sont rendus compte qu'avec les sauvegardes, la montée en maturité de l'écosystème,
07:56 ça marchait un peu moins bien qu'avant.
07:58 Et donc, voyant leur taux de conversion baisser,
08:00 ils ont commencé à faire de la double ou de la triple extorsion.
08:02 Par exemple, exfiltrer des données avec une menace de publication de ces données sur le web.
08:08 C'est-à-dire même de commencer à faire fuiter certaines données de l'entreprise.
08:12 Parfois, des nids de service à côté.
08:14 Et on a même un mode opératoire, un attaquant, qui s'appelle Black Cat,
08:18 qui commence à faire des choses marrantes.
08:20 C'est menacer les entreprises de les dénoncer aux régulateurs
08:25 lorsqu'elles ne font pas la déclaration d'incident dans les temps.
08:28 Ils l'ont déjà fait aux Etats-Unis en déclarant une entreprise à la SEC, Meridian Link,
08:32 dans le domaine de la finance, justement.
08:34 D'accord. Et alors sur les IA génératives,
08:37 est-ce que c'est le mot à la mode ou est-ce que vraiment,
08:39 il va se passer quelque chose dans le monde de la cybersécurité
08:42 avec l'explosion des IA génératives ?
08:44 On va tous avoir envie de répondre.
08:48 Évidemment, c'est un mot à la mode, mais ce n'est pas pour rien non plus.
08:53 Nous, ce qu'on observe, c'est qu'il va y avoir un coût, un moyen à long terme,
08:57 à court terme, on voit déjà un impact très concret sur l'avant et l'après l'attaque.
09:02 Je m'explique, l'avant l'attaque, c'est tout ce qui va être reconnaissance,
09:05 donc détection de profils de valeurs à cibler,
09:08 personnalisation des pièges, des phishings, etc., qui vont être envoyés.
09:13 Et après l'attaque, ça va aussi être traitement des données qu'on exfiltre de masse,
09:18 dans toutes les langues, dans tous les domaines d'activité.
09:20 Les deepfakes, on a entendu cette histoire.
09:24 En Corée ? En Asie, oui.
09:26 C'était un DAF, un directeur financier, je crois,
09:31 qui s'est retrouvé piégé par un deepfake.
09:34 Il s'était pourtant un petit peu méfié sur les personnes qui le sollicitaient
09:37 pour se connecter en visioconférence.
09:39 Et puis, il s'est connecté et il a vraiment cru qu'il avait des responsables de l'entreprise
09:43 en face de lui, alors que ce n'était que des avatars.
09:46 Nous, on a une recrudescence sur les activités de détection que l'on opère pour nos clients.
09:52 L'IA générative permet d'industrialiser les campagnes de phishing,
09:58 de développer, de créer des malwares, d'intégrer ces malwares.
10:02 On parle effectivement du deepfake à Hong Kong.
10:07 Et du coup, l'objectif et la finalité de ça, c'est très très bien fait.
10:11 On a des mails qui sont en faute d'orthographe.
10:14 Le formalisme, ils respectent à la lettre le formalisme de la société qui a été usurpée.
10:19 Donc l'objectif et la finalité de tout ça, c'est de rendre difficile pour l'utilisateur
10:27 le fait de se rendre compte qu'il est attaqué, et de la même façon pour les moyens de détection.
10:33 L'objectif, c'est d'essayer de contourner les moyens de détection.
10:36 Et l'IA générative, en ça, avec ce qu'on appelle le DarkLLM,
10:41 avec de l'entraînement sur des grandes quantités de données,
10:44 de l'armée, d'optimiser et d'accélérer ce type d'attaque.
10:49 Et donc, de massifier ce type d'attaque.
10:52 Et donc, forcément, il y a du volume, il y a de plus en plus de cibles,
10:56 et donc il y en a de plus en plus qui tombent dans l'art.
10:58 Comment on peut se protéger contre ces deepfakes ?
11:00 Parce que là, aujourd'hui, on peut faire le tour des systèmes de sécurité, de cybersécurité,
11:06 il n'y a rien là-dessus pour l'instant.
11:08 Non, non, non. Bonne question.
11:11 Ça ne va pas être évident. Moi, je pense que l'IA, là, on a ouvert la boîte de Pandore,
11:15 et très rapidement, il va falloir qu'on soit en capacité de développer notre propre esprit critique.
11:19 Et je pense que c'est là-dessus qu'il va falloir compter,
11:21 c'est être en capacité de voir nous-mêmes, humains, voir une information,
11:25 être capable de prendre du recul, de la comparer à d'autres,
11:28 pour être sûr que ce qu'on est en train de visionner, c'est la bonne information ou pas.
11:31 Et je pense que finalement, l'IA, pour dire un petit peu de positif...
11:34 Il va falloir que les responsables de sécurité de systèmes d'information
11:37 apprennent à faire des deepfakes eux-mêmes,
11:39 pour s'apercevoir justement de ce que c'est, jusqu'où ça peut aller.
11:43 Alors, en fait, aujourd'hui, il existe des solutions qui permettent de voir,
11:47 en gros, si le mail, si l'information, si deepfake est un fake ou pas.
11:54 Aujourd'hui, on peut construire des attaques basées sur de l'IA,
11:59 et en fait, on construit des outils pour détecter,
12:02 et on utilise, nous, aujourd'hui aussi, sur l'IA générative, des outils pour détecter.
12:05 Mais on est juste aux prémices.
12:07 Détecter, en fait, un contenu produit par une outil d'interdiction.
12:09 Exactement. C'est-à-dire qu'en gros, on a la symétrie des deux côtés.
12:13 Donc, les usages, que ce soit en attaque ou en défense, sont les mêmes.
12:17 Donc, ça, c'est la bonne nouvelle pour les entreprises, pour les utilisateurs,
12:22 parce que le problème, il reste quand même entre l'écran et la chaise.
12:25 C'est l'utilisateur, et il faut...
12:26 Et nous, ce qu'on observe, on n'en a pas parlé,
12:28 au-delà de l'IA générative, c'est des utilisateurs dans les entreprises
12:32 qui sont ciblés par les groupes d'attaquants
12:34 parce qu'ils ont des difficultés financières, parce qu'ils doivent de l'argent.
12:37 Donc, forcément, ce qu'on appelle les "straight insiders",
12:40 on leur donne de l'argent, en contrepartie, on prend leurs informations
12:44 ou leurs "credentials", et en fait, on permet à l'attaquant
12:48 de mettre un pied dans le système d'information.
12:50 Et ça, c'est quelque chose qu'on voit arriver,
12:53 et on a une recrudescence qui est importante,
12:55 au-delà de tous les sujets liés à l'IA générative,
12:57 pour lequel, je pense, de notre analyse, on est juste au démarrage.
13:01 Par contre, ça va fortement s'accélérer dans les deux ans qui viennent.
13:03 Et là, tous les enjeux sont en 18-24 mois.
13:07 Sans doute que ça va d'abord viser, justement,
13:10 les plus grandes entités, les grandes organisations.
13:14 Le monde de la finance, j'imagine, doit être le premier
13:17 à se préparer à ce nouveau type d'attaque.
13:19 Parce que ça demande de déployer énormément de moyens, quand même,
13:22 de créer des deepfakes de cette dimension.
13:24 De moins en moins, mais c'est ça.
13:27 De moins en moins, c'est aussi ce qui fait, effectivement,
13:30 que ça va galopant.
13:32 - Est-ce qu'aujourd'hui, justement,
13:34 vous travaillez sur comment quantifier ce risque cyber ?
13:37 Est-ce qu'aujourd'hui, c'est pris en compte, ces nouveaux risques ?
13:40 - Oui, on commence de plus en plus à le prendre en compte.
13:43 On commence de plus en plus à le prendre en compte.
13:45 Le domaine bancaire et financier est, en plus, hautement régulé.
13:48 Donc, ça va forcément être mis sur la table, à un moment ou à un autre.
13:52 Là, aujourd'hui, clairement, dans les grands combats,
13:55 il y a surtout, ce dont on parlait tout à l'heure,
13:57 sur le risque écosystème, les tiers à sécuriser.
14:00 Mais oui, on voit de plus en plus cette question-là.
14:02 Nous, on est en train de travailler sur des scénarii de risque, justement,
14:05 qui intègrent ces vecteurs d'attaque-là.
14:07 - À un moment, on quantifie.
14:09 Parce que quantifier financièrement, c'est quoi ?
14:11 C'est des milliards de dollars ?
14:14 - Alors déjà, c'est un très bon point.
14:16 - On peut tout imaginer, évidemment.
14:17 - C'est un très bon point.
14:18 Souvent, quand on entend quantification du risque cyber,
14:20 un raccourci qui est fait, c'est de croire que risque = impact financier.
14:25 La réalité, c'est que le risque, c'est une combinaison
14:27 de la fréquence et de l'impact.
14:29 On peut avoir un risque au sens, un impact financier énorme
14:32 sur une attaque qui va arriver très peu souvent.
14:34 Et donc, le risque qui en résulte est peut-être tolérable
14:37 par certaines entreprises.
14:39 Donc nous, ce qu'on fait, c'est qu'on agrège un grand nombre de signaux
14:43 qui sont soit des signaux sur l'entreprise, son activité, son domaine,
14:47 ce qu'elle a mis en place en termes de maturité défensive ou pas,
14:50 des signaux sur la menace, ce qui est notre métier initial,
14:53 de suivre dynamiquement ces acteurs malveillants.
14:56 Et on combine tout ça pour arriver à calculer la fréquence potentielle
14:59 d'incidents cyber et surtout en fonction du scénario de risque,
15:03 est-ce que des impacts financiers vont être déclenchés et à quelle hauteur ?
15:06 On est dans le monde des probabilités, c'est-à-dire qu'on n'a pas
15:08 une boule de cristal, évidemment.
15:10 - Pour une banque, ça s'estime à combien le risque cyber ?
15:13 - Alors, ça dépend des acteurs. - Pour avoir une idée.
15:16 - Ça peut se compter en dizaines, centaines de millions,
15:19 ça dépend de quel risque on parle, de quel scénario.
15:21 Et il y a même des scénarios de risque qu'on voit qui sont en milliards.
15:25 Parce que justement, pour le coup, c'est systémique, le système bancaire.
15:29 Et donc il y a bien sûr l'impact pour la banque,
15:31 mais il y a l'impact pour l'ensemble de l'écosystème.
15:33 Et il n'y a qu'à voir ce qui se passe pendant les crises financières,
15:35 il suffit que nos deux banques tombent, et c'est les dominos potentiellement.
15:38 Je ne veux pas être anxiogène.
15:40 - Non, on va essayer de terminer par une note apaisante, je ne sais pas.
15:45 - Je vais essayer, je vais essayer.
15:47 Non, mais du coup, ce que nous on voit côté One Point aussi,
15:51 parce qu'on a pas mal de clients qui sont déjà proactifs,
15:53 bien sûr sur le sujet de l'IA, vous en avez parlé,
15:55 c'est qu'il y a une crainte, c'est que finalement,
15:59 on a une criminalité organisée qui aujourd'hui avait un certain niveau
16:02 en termes de capacité d'attaque, qui finalement va passer au cap supérieur
16:06 et qui va se rapprocher tout doucement des capacités d'un service étatique.
16:09 C'est-à-dire que grâce à l'IA, GEN notamment,
16:12 les hackers vont être en capacité de trouver des vulnérabilités plus facilement,
16:16 de les exploiter plus facilement, de les masquer plus facilement.
16:19 Et du coup, on ouvre tout doucement la porte à des intrusions plus furtives,
16:22 à du vol de données de manière massive, parce que justement,
16:25 tu l'as très bien dit, on pourra exploiter ces datas
16:28 quand on en vole des dizaines et des dizaines de gigas.
16:30 Donc les banques sont déjà, de manière proactive,
16:34 les banques sont dessus et commencent déjà à travailler sur des scénarios pour anticiper.
16:37 Donc ça, c'est très bien.
16:39 Et puis le deuxième sujet va être la souveraineté aussi des IA
16:42 qu'on va déposer dans ces systèmes.
16:44 Il y a un vrai questionnement par rapport à ça
16:46 et les banques devront participer à la résilience
16:49 et avoir une stratégie.
16:51 Il y a d'ORA qui arrive notamment, une stratégie pour être en capacité
16:54 de garantir les fondamentaux de la liberté des données des gens et des clients au niveau bancaire.
16:59 Merci beaucoup Olivier Risson, expert en cybersécurité chez OnePot.
17:03 Merci également à Olivier Pantaleo, président cofondateur d'Allemande
17:07 et Maxime Cartan, fondateur de Citalid.
17:09 On termine avec le biomimétisme.