Chaque mois, dans de nombreuses organisations, des employés ajoutent de nouvelles applications, même si cette multiplication des outils peut entraîner un enfer de dépendance et des risques de sécurité.
Même si les DSI tentent de limiter la prolifération des SaaS, le problème semble s’aggraver, car les employés continuent d’ajouter de nouvelles applications au lieu d’en supprimer, selon une nouvelle étude. Alors que la prolifération des SaaS est un problème bien connu de longue date, plus de six responsables informatiques sur dix déclarent que leur entreprise ajoute de nouveaux outils SaaS chaque mois, selon une étude du fournisseur de solutions d’automatisation intelligente des processus Nintex auprès de 2000 entreprises de taille moyenne (entre 250 et 2500 salariés).41% des organisations ajoutent même de nouveaux outils toutes les une à trois semaines, « dépassant ainsi leur capacité à les gérer efficacement », constatent les auteurs de l’étude. En conséquence, les responsables IT de plus de la moitié des organisations interrogées admettent avoir entre 51 et 200 outils SaaS dans leur portefeuille de technologies.Un problème, une application SaaSL’épidémie de SaaS s’est développée ces dernières années, car les consommateurs et les entreprises ont vu dans les nouvelles applications un moyen de résoudre leurs problèmes spécifiques l’un après l’autre, explique Niranjan Vijayaragavan, chef de produit chez Nintex. « Les compétences coûtaient cher, créer en interne une application de qualité professionnelle était difficile, explique-t-il. Cela a conduit à une prolifération d’applications SaaS, où chaque petite équipe a acheté un produit pour résoudre son propre problème. »Sauf que chacune de ces nouvelles applications SaaS apporte des workflows spécifiques qui peuvent ne pas correspondre aux opérations de l’entreprise, ajoute-t-il. Les développeurs d’applications codent souvent en dur les workflows dans leurs produits, en partant du principe que toutes les entreprises clientes fonctionnent de la même manière. « Le premier problème est que le fonctionnement de votre entreprise est défini par la façon dont l’application fonctionne, ce qui ne devrait jamais être le cas, souligne Niranjan Vijayaragavan. Il faut définir les opérations de l’entreprise et considérer les logiciels comme une solution pour celles-ci et non comme leur origine. »Plus d’applications, plus de problèmesLes responsables IT interrogés reconnaissent dans l’étude plusieurs problèmes causés par la prolifération des SaaS : retards dans les workflows, difficulté à passer à l’échelle, augmentation des saisies manuelles et duplication des données. « Dans la plupart des organisations, vous avez ces systèmes déconnectés les uns des autres et vous essayez de mettre du sparadrap, du chewing-gum, du fil de fer barbelé autour d’eux pour faire fonctionner vos opérations métiers », illustre Niranjan Vijayaragavan. « Les gens trouvent que c’est inefficace, parce qu’il faut maintenant intégrer un système à l’autre ».« Je dis à mon équipe que les outils ne résoudront pas leurs problèmes, explique de son côté Kevin Trowbridge, développeur de logiciels chevronné et directeur technique de la plateforme de diffusion médiatique Qwoted. Souvent, vous ne faites que créer de nouveaux problèmes. Comme un nouvel outil à maintenir, le personnel à former, et des licences à payer. »Sans oublier le fait que la prolifération des SaaS crée des problèmes de dépendances, un cauchemar courant dans le développement de logiciels, ajoute Jevin Trowbridge. « Les dépendances externes non gérées se multiplient, aboutissant à un système fragile et instable, difficile à faire évoluer ou à maintenir », dit-il.Prolifération… des risques cyberUn nombre croissant d’outils SaaS introduit également de nouveaux risques de sécurité, souligne Justin Etkin, cofondateur et directeur de l’exploitation chez Tropic, fournisseur de systèmes spécialisés dans les approvisionnements. « Si des personnes achètent des outils et prennent des décisions d’achat de manière indépendante, sans examen par l’équipe en charge de la sécurité, vous n’avez aucune idée de ce que vous introduisez réellement dans votre écosystème, explique-t-il. Surtout que lorsque vous apportez un nouvel outil, vous l’intégrez souvent à des systèmes existants, qu’il s’agisse d’une gestion de la relation client (CRM) ou d’un progiciel de gestion intégrée (ERP). »Selon lui, le rapport de Nintex pourrait en fait sous-estimer le nombre d’outils SaaS utilisés par de nombreuses entreprises. Il dit ainsi avoir rencontré des organisations de moins de 500 employés qui utilisaient plus de 150 outils SaaS, quand ce n’était pas davantage.La prolifération des SaaS est souvent due à des directives contradictoires que les dirigeants d’entreprise donnent à leurs employés, ajoute-t-il. Le directeur financier et le DSI peuvent essayer d’appliquer des politiques exigeant que les employés obtiennent leur approbation pour tout achat d’application, ces efforts sont souvent sapés par les cadres intermédiaires ou les directions métiers qui peuvent les encourager dans ces achats afin de résoudre des problèmes au plus vite.« Vous avez des directives émanant des responsables de fonctions de l’entreprise qui disent : ‘Expérimentez, essayez de nouvelles choses, soyez à l’affût de la technologie la plus récente et la plus performante pour vous aider à faire votre travail de manière plus efficace ou plus productive’, souligne Justin Etkin. La prolifération est le résultat de bons employés qui essaient d’aller vite en l’absence d’un processus qui leur convienne. »Contenir le phénomènePour résoudre le problème, les entreprises peuvent emprunter deux voies, selon Justin Etkin. Elles peuvent d’abord appliquer rigoureusement des politiques limitant les achats d’outils SaaS par les employés, en utilisant éventuellement des logiciels de surveillance pour vérifier la bonne application de ces politiques. Ensuite, les entreprises peuvent se montrer plus réactives et encourager un certain niveau d’expérimentation des applications. La clé pour les DSI et les autres dirigeants d’entreprise ? Avoir un message cohérent au sein de l’équipe dirigeante, selon le cofondateur de Tropic.
Certains experts estiment que Deepseek pourrait secrètement diffuser des préjugés culturels et politiques. Une machine à exporter la vision du monde du gouvernement chinois ?
La publication du logiciel chinois DeepSeek a suscité des débats passionnés, mais les critiques ont largement ignoré un problème de taille : la possibilité pour la Chine d’utiliser un tel modèle d’IA pour imposer un modèle culturel et politique au reste du monde. Si Deepseek a suscité des inquiétudes concernant la cybersécurité, la protection de la vie privée, la propriété intellectuelle et d’autres questions, certains experts en IA s’inquiètent aujourd’hui de sa capacité à diffuser de la propagande.Cette inquiétude s’est notamment renforcée lors de la présentation du modèle d’IA et du chatbot en janvier dernier, lors de laquelle la société Hangzhou Deepseek Artificial Intelligence Basic Technology Research Co. les a envisagés comme une sorte d’encyclopédie permettant de former la prochaine génération de modèles d’IA.Bien entendu, les craintes de partialité dans l’IA n’ont rien de nouveau, même si les exemples passés semblent souvent involontaires. Ceux qui s’inquiètent de Deepseek reconnaissent qu’il ne s’agit pas du seul grand modèle de langage (LLM) susceptible de servir d’outil d’entraînement pour de futurs modèles, et que le gouvernement chinois ne sera probablement pas le seul gouvernement ou organisation à envisager d’utiliser des modèles d’IA comme outils de propagande. Mais la décision de l’entreprise chinoise de publier son modèle de rendu sous la licence libre MIT pourrait en faire un modèle intéressant à utiliser dans le processus de distillation pour former des IA plus petites.Distillation facile : un cheval de Troie ?Deepseek a ainsi été conçu pour faciliter la distillation d’autres modèles, suggèrent certains experts en IA. Les organisations qui construisent de petits modèles d’IA à bas prix, notamment dans les pays en développement, pourraient se tourner vers cette IA entraînée à diffuser la vision du monde du gouvernement chinois. La société Hangzhou n’a pas répondu à une demande de commentaires sur ces préoccupations.L’entreprise a utilisé du matériel peu coûteux pour construire Deepseek, et le coût relativement bas laisse présager un avenir où le développement de l’IA sera accessible à de nombreuses organisations, souligne Dhaval Moogimane, responsable de la pratique technologie et logiciels de la société de conseil West Monroe. « Ce que Deepseek a fait, d’une certaine manière, c’est mettre en évidence l’art du possible », ajoute-t-il.Hangzhou a développé Deepseek malgré les contrôles américains sur l’exportation des GPU à haute performance couramment utilisés pour concevoir et tester les modèles d’IA, prouvant ainsi la rapidité avec laquelle les modèles d’IA avancés peuvent émerger malgré les obstacles, ajoute Adnan Masood, architecte en chef de l’IA de UST, cabinet de conseil en transformation numérique.Avec un coût d’entrée plus faible, il est désormais plus facile pour les organisations de créer des IA puissantes… intégrant des préjugés culturels et politiques. « Sur le terrain, cela signifie que des populations entières peuvent consommer à leur insu des récits façonnés par une machine de politique étrangère, explique Adnan Masood. Le temps que les responsables politiques s’en rendent compte, ces récits peuvent déjà être ancrés dans l’esprit du public. »La technologie au service de la propagandeBien que peu de gens aient parlé des modèles d’IA en tant qu’outils de propagande, cet aspect ne devrait pas constituer une grande surprise, ajoute Dhaval Moogimane. Après tout, de nombreuses technologies, dont la télévision, l’internet et les médias sociaux, sont devenues des moyens de promouvoir des programmes politiques et culturels lorsqu’elles ont atteint le marché de masse. Les DSI et responsables IT doivent être conscients de la possibilité que le gouvernement chinois et d’autres organisations fassent passer leurs propres idées au travers de modèles d’IA, ajoute-t-il.Au travers des phase d’entraînement, « il existe une opportunité d’utiliser les modèles pour façonner le récit, façonner les esprits, façonner les résultats, à bien des égards, façonner ce qui est partagé », ajoute le responsable de West Monroe. L’IA est en train d’émerger comme un nouvel outil pour ce que l’on appelle le soft power, note-t-il.Si Deepseek et d’autres modèles d’IA limitent les références à des incidents historiquement sensibles ou reflètent des points de vue approuvés par l’État sur des territoires contestés – deux biais possibles intégrés dans les IA développées par la Chine – ces modèles deviennent des agents du changement dans les débats culturels mondiaux, ajoute Adnan Masood (UST).Le défi de la validation des modèles« À notre époque, l’IA est devenue un multiplicateur de force pour la conformité idéologique et l’exportation des éléments nationaux de soft power, explique Adnan Masood. Avec les deepfakes et les chatbots automatisés qui inondent déjà le discours public, il est clair que l’IA est en train de devenir un outil de leadership à fort impact pour le positionnement culturel et politique. »L’IA trompe déjà de nombreuses personnes lorsqu’elle est utilisée pour créer des deepfakes et d’autres formes de désinformation, mais les biais au sein d’un outil d’entraînement d’IA peuvent être encore plus subtils, ajoute Dhaval Moogimane. « En fin de compte, s’assurer que vous validez certaines des influences culturelles et des résultats du modèle nécessitera des tests et de la formation, mais cela sera un défi », ajoute-t-il.Attention au choix des modèles d’IADhaval Moogimane recommande aux entreprises de créer des architectures d’IA modulaires afin de pouvoir adopter facilement de nouveaux modèles au fur et à mesure de leur publication. « Il y aura des innovations constantes dans les modèles au fur et à mesure de l’évolution de la technologie, affirme-t-il. « Assurez-vous de créer une architecture évolutive afin de pouvoir remplacer les modèles au fil du temps. »Outre la mise en place d’une infrastructure d’IA modulaire, les DSI devraient également évaluer soigneusement les outils et les frameworks d’IA en termes d’évolutivité, de sécurité, de conformité réglementaire et d’équité avant de les sélectionner, ajoute Adnan Masood. Les responsables informatiques peuvent utiliser des cadres déjà établis tels que le cadre de gestion des risques de l’IA du NIST, les principes de l’OCDE ou les lignes directrices de l’UE sur l’IA digne de confiance pour évaluer la fiabilité et la transparence des modèles, ajoute-t-il. Les DSI doivent surveiller en permanence leurs outils d’IA et pratiquer une gouvernance responsable du cycle de vie de ceux-ci.« Ce faisant, ils s’assurent que les systèmes d’IA apportent une valeur ajoutée à l’entreprise grâce à des gains de productivité et d’efficacité, mais aussi qu’ils maintiennent la confiance des différentes parties prenantes et respectent les principes de l’IA responsable », ajoute l’architecte en chef de l’IA de UST.Les DSI et autres décideurs en matière d’IA doivent réfléchir de manière critique aux résultats de leurs modèles d’IA, tout comme les consommateurs de médias sociaux doivent évaluer l’exactitude des informations qu’ils reçoivent, souligne Stepan Solovev, PDG et cofondateur de Soax, fournisseur d’une plateforme d’extraction de données. « Certaines personnes essaient de comprendre ce qui est vrai et ce qui ne l’est pas, mais d’autres se contentent de consommer ce qu’elles reçoivent et ne se soucient pas de vérifier les faits, explique-t-il. C’est l’aspect le plus préoccupant de toutes ces révolutions technologiques : les gens n’ont généralement pas l’esprit critique, surtout lorsqu’il s’agit du premier prompt que vous soumettez à l’IA ou des premiers résultats que vous obtenez sur les moteurs de recherche. »Dans certains cas, les responsables IT ne se tourneront pas vers des LLM tels que Deepseek pour former des outils d’IA spécialisés et s’appuieront d’emblée sur des modèles plus spécialisés, explique-t-il. Dans ces situations, il est moins probable que les utilisateurs soient confrontés à un modèle d’entraînement entaché de préjugés culturels.Néanmoins, les DSI devraient comparer les résultats entre modèles ou utiliser d’autres méthodes pour vérifier les résultats, suggère Stepan Solovev. « Si une IA diffuse un message biaisé, une autre IA, ou des fact-checkers humains renforcés par l’IA, peuvent la contrer tout aussi rapidement, ajoute-t-il. Nous allons assister à un jeu du chat et de la souris, mais avec le temps, je pense que la vérité et la transparence l’emporteront, surtout dans un marché d’idées ouvert. »La concurrence comme remède« Le défi consiste à maintenir cette concurrence équitable et à veiller à ce que les entreprises et les particuliers aient accès à plusieurs modèles afin de pouvoir les comparer », ajoute Stepan Solovev. Comme ce dernier, Manuj Aggarwal, fondateur et DSI du fournisseur de solutions informatiques et d’IA TetraNoodle Technologies, voit dans l’expansion rapide du marché de l’IA un moyen de remédier à la partialité potentielle d’un Deepseek ou d’autres LLM.« Il est très peu probable qu’un seul modèle ait une influence majeure sur le monde, dit-il. Deepseek n’est qu’un modèle parmi tant d’autres, et bientôt, nous en verrons des milliers provenant de tous les coins du monde. Aucune IA ne peut à elle seule dicter des récits à grande échelle lorsque tant de systèmes divers interagissent. »Depuis la sortie de Deepseek, Mistral AI a, par exemple, mis son modèle d’IA sous licence libre, et des modèles tels que Llama de Meta et Grok de xAI étaient déjà disponibles en Open Source, notent Manuj Aggarwal et d’autres experts de l’IA. Néanmoins, le fondateur de Terra Noodle recommande aux DSI qui utilisent des LLM pour entraîner leurs propres modèles d’IA de s’en tenir à des marques auxquelles ils font confiance.« Depuis la première élection de [Barack] Obama, les campagnes [politiques] s’appuient sur des analyses basées sur l’IA pour cibler les électeurs avec précision, explique-t-il. Aujourd’hui, avec des modèles comme Deepseek, les enjeux sont encore plus importants. La question n’est pas de savoir si l’IA sera utilisée à des fins de propagande ; il s’agit de savoir quel contrôle les différentes entités auront » pour contrer ces tentatives.
Les deepfakes, fléau des célébrités et crainte des politiciens, sont sur le point s’attaquer au monde de l’entreprise, car les cybercriminels y voient un nouveau moyen de gagner facilement de l’argent.
Les DSI, RSSI et autres dirigeants d’entreprise doivent se préparer à des attaques assistées par l’IA qui utilisent des appels vocaux, des vidéos et des visioconférences réalistes, mais truqués, explique Michael Hasse, consultant de longue date en cybersécurité et en IT. Certes, les deepfakes impliquant des appels vocaux n’ont rien de nouveau. Michael Hasse se souvient d’avoir fait une présentation sur le sujet à des sociétés de gestion d’actifs dès 2015, après que certaines entreprises du secteur ont été victimes d’escroqueries basées sur cette approche.Cependant, depuis 2015, les technologies d’IA utilisées pour créer les deepfakes se sont non seulement améliorées de façon considérable, mais elles sont également devenues largement disponibles, note le consultant. Selon lui, le principal obstacle à l’utilisation généralisée des deepfakes par les cybercriminels reste l’absence d’un outil complet et facile à utiliser pour créer des sons et des vidéos truqués.Les deepfakes, un risque pour le créditMais une telle usine à deepfakes ne devrait pas tarder à voir le jour, prédit-il. Et il est probable qu’elle commencera à circuler dans le milieu criminel avant les élections américaines de novembre, les campagnes politiques étant les premières visées par ce type d’attaques. « Toutes les pièces du puzzle sont déjà là, affirme Michael Hasse. La seule chose qui nous a empêchés de voir ce phénomène inonder tout le monde, c’est qu’il faut du temps aux malfaiteurs pour intégrer tous ces composants. »Les experts en cybersécurité ne sont pas les seuls à mettre en garde contre le risque que représentent les deepfakes pour les entreprises. En mai, l’agence de notation Moody’s a lancé un avertissement à ce sujet, affirmant que les deepfake créaient de nouveaux risques de crédit. Le rapport de Moody’s détaille une poignée de tentatives d’escroquerie exploitant cette technique, y compris de faux appels vidéo ciblant le secteur financier au cours des deux dernières années.« Les pertes financières attribuées aux fraudes de type deepfake sont en train de devenir une menace importante, indique le rapport. Les deepfakes peuvent être utilisés pour créer des vidéos frauduleuses de responsables de banques, de dirigeants d’entreprises ou de fonctionnaires afin de susciter des transactions financières ou des paiements frauduleux. »« Nous n’avons pas d’outils de détection efficaces et nous n’en aurons pas »Les escroqueries de type deepfake existent déjà, mais l’ampleur du problème est difficile à évaluer, explique Jake Williams, membre de l’université d’IANS Research, une société de recherche et de conseil en cybersécurité. Dans certains cas, les escroqueries ne sont pas signalées afin de préserver la réputation de la victime, et dans d’autres cas, les victimes d’autres types d’escroqueries peuvent blâmer les deepfakes qui deviennent une couverture pratique pour leurs erreurs, dit-il. En même temps, toute défense contre les deepfakes via la technologie s’annonce inévitablement fastidieuse – imaginez un outil de détection écoutant tous les appels téléphoniques des employés – et elle pourrait avoir une durée de vie limitée, les technologies d’IA progressant rapidement. « Le phénomène est difficile à mesurer parce que nous n’avons pas d’outils de détection efficaces et que nous n’en aurons pas », juge Jake Williams, un ancien hacker de la NSA américaine. « Suivre l’évolution de la situation s’annonce donc difficile », pronostique-t-il.Si certains pirates n’ont peut-être pas encore accès à une technologie de deepfake de haute qualité, simuler des voix et des images lors d’appels vidéo à faible bande passante est devenu trivial, observe Jake Williams. À moins que votre réunion Zoom ne soit de qualité HD ou supérieure, un échange de visages peut suffire à tromper la plupart des gens.Fausse campagne de phishing et vrai deepfakeKevin Surace, président de Token, spécialisée dans l’authentification multifactorielle, peut apporter un témoignage de première main sur le potentiel des imitations vocales. Il a récemment reçu un courriel de l’assistante de l’un des investisseurs de Token, mais il a immédiatement identifié le courriel comme étant une escroquerie par hameçonnage. Kevin Surace a alors appelé l’assistante pour l’avertir que des courriels de phishing étaient envoyés à partir de son compte, et la voix à l’autre bout du fil ressemblait exactement à celle de l’employée, dit-il. Lorsque la voix à l’autre bout du fil a commencé à répondre bizarrement au cours de la conversation, il lui a demandé de lui parler de ses collègues, et la voix n’a pas reconnu leurs noms.Il s’est avéré que le numéro de téléphone figurant dans l’e-mail de phishing était différent d’un chiffre du véritable numéro de l’assistante. Le faux numéro de téléphone a cessé de fonctionner quelques heures après que le dirigeant de Token a détecté le problème.Les criminels qui veulent simuler une voix n’ont désormais besoin que de quelques secondes d’enregistrement, et la technologie permettant de créer des simulations vidéo réalistes en direct s’améliore de plus en plus, souligne Kevin Surace, connu comme le père de l’assistant virtuel pour son travail sur Portico chez General Magic dans les années 1990. Les gens vont dire : « Ce n’est pas possible, dit-il. Pourtant, c’est arrivé à quelques personnes, et si c’est arrivé à trois personnes, ce sera bientôt 300, puis 3 000, et ainsi de suite. »Extension du domaine du fauxJusqu’à présent, les deepfakes visant le monde de l’entreprise se sont concentrés sur l’incitation à transférer de l’argent aux criminels. Mais Kevin Surace pense qu’ils peuvent également être utilisés à des fins de chantage ou de manipulation d’actions. Si le montant du chantage est suffisamment bas, les PDG ou d’autres personnes ciblées peuvent décider de payer au lieu de tenter d’expliquer que la personne sur la vidéo compromettante n’est pas vraiment eux.Comme Michael Hasse, Kevin Surace prévoit pour bientôt une vague de deepfakes. Et s’attend à ce que de nombreuses tentatives d’escroquerie, comme celle dont il a été la cible, soient déjà en cours. « Les gens ne veulent parler à personne de ce qui se passe, explique-t-il. Ils payent 10 000 dollars et passent l’éponge en se disant : ‘c’est la dernière chose dont je veux parler à la presse’ ».Exploiter les informations des réseaux sociauxL’utilisation généralisée des deepfakes est peut-être proche, mais il reste quelques obstacles. L’absence d’un logiciel facile à utiliser pour en créer, donc. Mais aussi, une puissance de calcul que certains cybercriminels ne possèdent pas. En outre, les escroqueries à base de deepfakes ont tendance à fonctionner comme des attaques ciblées, comme le « whale phishing » (technique d’hameçonnage ciblant des décideurs ou reposant sur leur poids dans l’organisation), et il faut du temps pour rechercher la ou les proies.Les victimes potentielles aident toutefois les cybercriminels en fournissant une multitude d’informations sur les réseaux sociaux. « Les malfaiteurs ne disposent pas encore d’un moyen hyper rationalisé de collecter les données des victimes et de générer des fausses informations de manière suffisamment automatisée, mais cela ne saurait tarder », affirme Michael Hasse.Retour aux techniques anciennesAvec l’arrivée probable de nouvelles escroqueries basées sur les deepfakes dans le monde de l’entreprise, la question qui se pose est de savoir comment faire face à cette menace croissante. Et la technologie permettant de générer ces illusions ne cessant de s’améliorer, il n’existe pas de réponse évidente à cette question.Michael Hasse estime que la sensibilisation et la formation des employés seront importantes. Les employés et les cadres doivent être conscients des escroqueries potentielles, et lorsqu’un membre de l’entreprise leur demande de faire quelque chose de suspect, même s’il s’agit d’un appel vidéo, il faut qu’ils aient le réflexe de vérifier sa demande directement auprès de lui. Passer un autre appel téléphonique ou vérifier la demande par une conversation en face à face est une forme d’authentification multifactorielle à l’ancienne, mais elle fonctionne, souligne le consultant.Lorsque le secteur de la gestion d’actifs a commencé à être victime d’escroqueries vocales il y a près de dix ans, les conseillers ont approfondi leur approche de la connaissance du client. Les conversations avec les clients ont alors débuté par des échanges sur leur famille, leurs loisirs et d’autres informations personnelles permettant de vérifier leur identité.Dirigeants, mentez sur les réseaux sociauxUn autre moyen de défense pour les dirigeants d’entreprise et autres employés aux fonctions sensibles consiste à mentir intentionnellement sur les médias sociaux afin de déjouer les attaques. « Je pense qu’à un moment donné, certaines fonctions au sein de l’entreprise nécessiteront une telle démarche », explique Michael Hasse. Selon lui, les entreprises d’une certaine taille doivent intégrer le fait que les comptes de médias sociaux des titulaires de postes sensibles sont surveillés. Les DSI, RSSI et autres dirigeants d’entreprise doivent être conscients de la menace et savoir qu’ils peuvent être ciblés, abonde Kevin Surace.Son entreprise vend un dispositif d’authentification multifactorielle portable basé sur les empreintes digitales, et il pense que les produits MFA de la prochaine génération peuvent aider à se défendre contre les escroqueries basées sur les deepfakes. « La nouvelle génération de MFA doit être capable de vérifier rapidement et en toute sécurité les identités, par exemple chaque fois que les employés se connectent à une réunion Zoom », ajoute-t-il.Jake Williams, de l’IANS, n’est pas sûr que les nouvelles technologies ou la formation des employés soient des solutions efficaces. Certaines personnes résisteront à l’utilisation d’un nouveau dispositif d’authentification, et la formation à la cybersécurité existe depuis longtemps, avec un succès limité, note-t-il. Les entreprises doivent plutôt mettre en place des processus, comme l’utilisation d’une application sécurisée lorsque les employés transfèrent de grosses sommes d’argent. L’utilisation d’un courriel ou d’un appel vocal pour demander un transfert d’argent important n’est pas sécurisée, mais certaines organisations continuent d’y recourir, déplore Jake Williams.Pendant des siècles, les gens ont utilisé des voix et des images pour s’authentifier les uns les autres, mais cette époque est révolue. « La réalité, c’est que l’utilisation de la voix ou de l’image d’une personne pour l’authentifier a toujours été inadéquate du point de vue de la sécurité », juge l’ancien hacker de la NSA. « La technologie est en train de rattraper nos processus inefficaces et nos sous standards ».