🚨 La directive NIS2 est désormais en vigueur. La sensibilisation à la sécurité est désormais une obligation légale dans l'UE.

Vérifier la conformité
Démarrez votre essai gratuit
Retour au Centre de ressources

Deepfake awareness training : un guide rapide

Les deepfakes représentent un risque cybernétique majeur et croissant pour les organisations. Nous avons tous vu des vidéos, comme celle ci-dessous, où des personnalités célèbres tiennent des propos des plus extravagants. Il était souvent facile de déceler le faux, ce qui le rendait parfois amusant. Cependant, au fil des semaines et des mois, les modèles d'IA qui créent ces vidéos s'améliorent dans l'art de nous tromper.

Dans cet article, nous expliquerons ce que sont les deepfakes, pourquoi ils représentent un risque si sérieux pour les entreprises et comment vous pouvez préparer vos employés grâce à une formation de sensibilisation aux deepfakes.

Commençons par le début.

Que sont les deepfakes et pourquoi sont-ils dangereux ?

Deepfakes sont des médias synthétiques (vidéo ou audio) générés ou manipulés à l'aide de l'intelligence artificielle pour faire apparaître des personnes disant ou faisant des choses qu'elles n'ont jamais réellement dites ou faites. Les visages peuvent être échangés et les voix peuvent être clonées pour paraître étrangement convaincantes. Un deepfake peut convaincre d'autres personnes qu'une personne a dit ou fait des choses qu'elle n'a jamais faites. Comme manger des spaghettis à la plage.

Au fil des ans, nous avons tous appris à ne pas toujours croire ce que nous lisons. Cependant, les gens n'ont pas encore appris à se méfier de tout ce qu'ils voient et entendent. Cette faille est actuellement exploitée par les cybercriminels. Qu'il s'agisse d'une fausse vidéo d'un PDG faisant une déclaration controversée, ou d'une voix clonée demandant d'urgence des informations sensibles, les deepfakes peuvent causer des dommages réels.

Les risques clés des deepfakes pour les organisations

Les deepfakes créent des menaces multicouches pour les entreprises. Les principaux risques incluent :

Fraude au PDG et pertes financières

Une menace majeure est la fraude au PDG basée sur les deepfakes. Les criminels utilisent une voix ou une vidéo clonée d'un cadre supérieur pour inciter les employés à effectuer des transferts d'argent. Ces attaques sont déjà une réalité. Par exemple :

  • En 2019, une entreprise énergétique britannique a perdu 243 000 dollars suite à un appel vocal deepfake émanant d'un « PDG ».
  • En 2020, des fraudeurs ont utilisé la technologie vocale deepfake pour dérober 35 millions de dollars.
  • En 2024, une entreprise d'ingénierie britannique a perdu plus de 20 millions de livres sterling suite à un faux appel vidéo usurpant l'identité d'un cadre supérieur.

Les employés ont naturellement tendance à obéir aux demandes urgentes de la direction, surtout sous pression. Les deepfakes exploitent cet instinct, contournant les procédures de vérification habituelles.

Atteinte à la réputation et désinformation

Les deepfakes peuvent également être utilisés comme armes pour détruire des réputations. Imaginez une fausse vidéo de votre PDG faisant des remarques racistes, ou de fausses preuves que votre produit est dangereux, devenant virales en ligne. Même si elles sont démenties par la suite, les dommages à la confiance et à la perception publique peuvent être irréversibles.

Europol avertit que les deepfakes pourraient être utilisés pour diffuser de fausses informations sur les entreprises, provoquant la panique des actionnaires, des boycotts de clients, ou même des enquêtes réglementaires.

Phishing ciblé et ingénierie sociale

Les deepfakes élèvent l'ingénierie sociale à un tout autre niveau. Au lieu d'un e-mail suspect, imaginez recevoir un appel vidéo convaincant de votre « service informatique » vous demandant de vous connecter à une page de phishing. Ou un message vocal de votre « directeur financier » demandant des informations confidentielles urgentes.

  • Le vishing (hameçonnage vocal) et le hameçonnage vidéo sont des menaces croissantes.
  • Les attaquants n'ont besoin que d'un court extrait audio (par exemple, provenant des réseaux sociaux) pour cloner la voix d'une personne de manière convaincante.

Les deepfakes créent une authenticité émotionnelle, rendant plus difficile pour les employés de détecter la fraude par simple instinct.

Dans la vie privée, de nombreuses personnes ont déjà été ciblées par des deepfakes de leurs enfants ou parents. Si la voix inimitable de votre fils vous dit qu'il est en danger et a besoin d'argent maintenant, êtes-vous assez calme et conscient pour vérifier son identité ?

Pourquoi la Security Awareness Training traditionnelle n'est plus suffisante

La plupart des entreprises proposent une Security Awareness Training annuelle, couvrant le phishing, l'hygiène des mots de passe et l'hygiène cyber de base. Mais cela n'est plus suffisant face aux deepfakes :

  • Les deepfakes sont une nouvelle menace en rapide évolution. Les employés doivent apprendre à remettre en question même les sources fiables, telles que les vidéos et les appels téléphoniques.
  • La plupart des programmes de formation traditionnels ne mentionnent même pas les deepfakes.
  • Des études montrent que même après avoir été averties des deepfakes, les personnes peinent à les détecter.
  • La formation en sécurité traditionnelle est statique, tandis que les techniques de deepfake évoluent chaque mois.
  • Les incidents de deepfake exigent de nouvelles réponses procédurales, telles que la vérification des appels suspects via des canaux alternatifs et la mise en place de mécanismes de signalement clairs.

Sans une formation spécifique sur la sensibilisation aux deepfakes, les employés peuvent être victimes d'attaques parce qu'ils sous-estiment à quel point les médias synthétiques peuvent être convaincants.

Conseils pratiques : préparer les employés aux incidents de deepfake

Voici comment les organisations peuvent commencer à se préparer dès aujourd'hui :

  • Campagnes de sensibilisation avec des exemples concrets : Montrez aux employés des exemples concrets de deepfakes. La comparaison de vidéos réelles et fausses aide à développer un sain scepticisme. La clé ici est la répétition. Une formation annuelle est oubliée après quelques semaines seulement.
  • Enseigner les compétences de détection : Formez le personnel à repérer les incohérences subtiles (par exemple, des mouvements labiaux désynchronisés, un éclairage étrange, des voix monocordes).
  • Définir des procédures de signalement claires : Les employés doivent savoir comment vérifier les requêtes inhabituelles et signaler les suspicions sans crainte de reproches.
  • Utiliser des outils techniques : Explorez les logiciels capables de détecter les médias synthétiques ou mettez en œuvre la vérification à deux facteurs pour les requêtes sensibles.

Comment proposer un Security Awareness Training efficace contre les deepfakes

Guardey aide les organisations à développer une cyber-résilience durable grâce à un Security Awareness Training gamifié et convivial qui inclut la sensibilisation aux deepfakes :

  • Gamification : Les employés gagnent des points, des badges et participent à des classements amicaux, rendant l'apprentissage amusant et mémorable.
  • Apprentissage continu : Au lieu d'une session annuelle unique, Guardey propose un micro-apprentissage hebdomadaire ou mensuel, aidant les employés à rester informés à mesure que les menaces de deepfake évoluent.
  • Contenu pertinent : Guardey adapte les scénarios au secteur de chaque client, rendant les leçons très pertinentes.

Le modèle continu et gamifié de Guardey encourage les employés à développer un esprit critique face à ce qu'ils voient et entendent, créant ainsi des habitudes durables de scepticisme.

→ En savoir plus sur Guardey lors d'une démo

Conclusion : agissez maintenant pour garder une longueur d'avance

Les deepfakes ne sont plus de la science-fiction. De toutes parts, les cybercriminels tentent de tromper les employés pour qu'ils commettent des actions pouvant nuire aux finances ou à la réputation de votre organisation. Investir dans une formation récurrente est la seule option pour préparer vos employés.

Dinela Lokvancic
Dinela Lokvancic Spécialiste en marketing Dinela veille à ce que la présence en ligne de Guardey soit toujours à jour. Elle crée du contenu qui rend accessibles des sujets complexes liés à la cybersécurité et aide les organisations à comprendre pourquoi la formation à la sensibilisation à la sécurité est importante pour leurs équipes.
PRÊT À VOUS LANCER ?

Rejoignez plus de 500 entreprises qui protègent déjà leurs équipes grâce à Guardey

Commencez votre essai gratuit de 14 jours
14 jours gratuits · Pas de carte de crédit · Accès complet · Configuration en 5 minutes
Ou planifiez une démonstration personnalisée