Avec les progrès technologiques dans le domaine de l’IA et l’arrivée des IA Génératives accessibles au grand public, les entreprises font face à de nouveaux risques. Et ces risques sont arrivés si rapidement qu’ils ont été difficiles à éviter pour les entreprises.
Les RH, dans leur accompagnement de l’entreprise peuvent, et devraient, jouer un rôle clé dans la prévention de ces risques, via des actions de communication interne et des actions de sensibilisation. Sans quoi, c’est presque chaque semaine qu’on apprend que telle ou telle entreprise a fait les frais d’une action de piratage, a perdu de l’argent ou a perdu des données.
L’augmentation du risque global de piratage et rôle des RH
Il y a un an, les risques de piratage liés au vol de données — espionnage, crime organisé, sabotage — étaient déjà en hausse de 30 %. Mais depuis, la donne a changé. Les « hackers » disposent désormais — eux aussi — de l’accès aux puissances inédites des IA. Ce qui fait qu’à infrastructure informatique constante, une entreprise est de fait devenue bien plus vulnérable à ces attaques.
C’est l’affaire des RH pour deux raisons.
D’une part, si la DSI de votre entreprise est normalement bien plus informée que vous dans ce domaine, vous avez une responsabilité commune à ce que les salariés adaptent leurs usages et comportements. Prenons un exemple très simple : les mots de passe. Si l’on considère que les hackers ont désormais une puissance informatique supérieure pour craquer les mots de passe, cela signifie qu’il faut que les salariés renforcent les mots de passe de leurs outils de travail. Il est donc temps, en lien avec votre DSI, de mettre à jour vos modules de sensibilisation à la cybersécurité, vos messages liés aux outils dans l’onboarding des salariés et vos communications internes : sur l’intranet, dans les prises de parole des RH, etc. Et les mots de passe ne sont que le début.
D’autre part, vos propres outils RH sont concernés. Sont-ils assez solides pour tenir face aux nouvelles menaces ? Si vous ne savez pas répondre à cette question, alliez-vous à votre DSI pour prévoir l’examen de vos outils internes. Mais aussi et surtout pour interroger/auditer les prestataires RH avec lesquels vous travaillez déjà, en faisant preuve de plus d’exigence qu’auparavant. N’oubliez pas qu’il en va des informations personnelles de vos salariés.
Deepfakes : protégez vos salariés de l’arnaque au président à la sauce IA
L’escroquerie aux faux ordres de virement ou « escroquerie au président » est en constante augmentation depuis 2010. Le ministère de l’Économie et des Finances explique comment cela fonctionne :
La technique des fraudeurs repose sur le « social engineering » (ingénierie sociale), méthode qui vise à soutirer des informations à des personnes sans qu’elles s’en rendent compte. Le mode opératoire est toujours le même : le fraudeur contacte le service comptable d’une entreprise cible, en se faisant passer pour le président de la société mère ou du groupe. Le contact se fait par courriel ou par téléphone, via le standard. Après quelques échanges destinés à instaurer la confiance, le fraudeur demande que soit réalisé un virement international non planifié, au caractère urgent et confidentiel. Le comptable sollicité s’exécute, après avoir reçu les références du compte étranger à créditer
Jusqu’à présent, cela passait par des échanges téléphoniques ou d’e-mails. Mais désormais, les hackers peuvent même « simuler » la voix et la vidéo de vos collègues en visioconférence grâce au Deepfake. Le Deepfake, c’est une « technique de synthèse multimédia reposant sur l’intelligence artificielle, qui peut servir à superposer des fichiers vidéo ou audio existants sur d’autres fichiers vidéo ou audio. »
En février 2024, c’est ainsi qu’un salarié d’une multinationale à Hong Kong a transféré 25 millions de dollars à des fraudeurs. Lors d’une visioconférence qu’il pensait faire avec ses collègues et son directeur financier, il était en réalité avec des hackers qui ont utilisé l’IA pour simuler la voix et la vidéo de ces personnes lors d’un appel vidéo. Ces derniers lui ont demandé de faire un virement. Ils ont ainsi piégé le salarié qui a cru accepter une demande interne.
C’est une technique qui peut être utilisée à de nombreuses fins, et il devient indispensable pour les RH de sensibiliser leurs salariés sur ces sujets. Les RH sont aussi directement concernés. Il y a par exemple une recrudescence de faux appels informant le service paie d’un changement de RIB d’un salarié juste avant la paie. Sensibilisez donc également vos équipes RH, et mettez à jour vos process de changement de RIB pour éviter de tomber dans ces nouveaux pièges.
La fuite de données lors de l’usage des IA Génératives : cadrez les usages au plus vite !
Désormais, vos salariés peuvent utiliser, même gratuitement, les IA Génératives comme ChatGPT que l’on ne présente plus. Et même si votre entreprise a bloqué ChatGPT en interne, vos salariés peuvent l’utiliser. Sur leur smartphone ou leur ordinateur personnel, par exemple. Le problème, c’est que ces IA Génératives ne sont pas sécurisées, et appartiennent en majorité à des entreprises étrangères.
Et donc ce qui devait arriver arriva (plusieurs fois) : lorsque des salariés ont saisi des données de l’entreprise, celles-ci se sont retrouvées dans la nature. Pouvant nuire à l’intérêt de l’entreprise ou de ses parties prenantes.
Le risque porte avant tout sur quatre types de données :
- les données stratégiques de l’entreprise ;
- les lignes de code d’une application informatique interne ou externe ;
- les données sur la vie personnelle des utilisateurs du produit ou service de l’entreprise ;
- les données sur la vie personnelle des salariés de l’entreprise.
Pour parer à cela, certaines entreprises ont déjà opté pour des IA Génératives « localisées » ou « privatisées ». C’est-à-dire pour lesquelles les informations renseignées restent — pour faire simple — dans les serveurs et l’enceinte de l’entreprise. Rien ne va sur internet.
Mais pour toutes les autres entreprises — et même ces dernières, dont les salariés peuvent utiliser ChatGPT sur leur ordinateur personnel par exemple — il y a un enjeu critique à mener des actions de communication et de sensibilisation. L’objectif est d’informer les salariés des risques sur ces fuites de données. Ceci pour qu’ils en tiennent compte dans leurs usages des IA Génératives.
C’est aussi l’occasion de mettre à jour vos modules de sensibilisation au respect du RGPD. Pour une fois qu’on a un sujet captivant pour parler de RGPD, ce serait dommage de manquer l’occasion.
Et n’oubliez pas vos propres usages RH. Vous manipulez au quotidien les données personnelles de vos salariés qui comptent sur vous pour les protéger.
On résume :
- des risques plus importants et de nouveaux risques autour du piratage, des deepfakes et des fuites de données ;
- un enjeu à faire de la prévention, en communiquant et sensibilisant en interne, en lien avec la DSI ;
- un enjeu à s’assurer que vos propres usages et outils RH sont eux aussi à l’épreuve de ces risques.
Sources :
Panorama de la cybermenace 2023 Anssi
Professionnels, agents publics, attention à l’arnaque au président !
