Étant donné que les escroqueries créées par l’IA trompent facilement l’attention humaine, les entreprises doivent cesser de former leurs employés à détecter les contrefaçons et commencer à corriger leurs voies rapides opérationnelles à risque.
La formation de sensibilisation à la sécurité comme moyen de défense contre le phishing est morte. Il est mort depuis un moment. L’industrie n’a jamais organisé d’enterrement parce que le budget de formation est confortable, la case conformité est cochée et aucun RSSI ne veut dire au conseil d’administration que le programme que tout le monde finance ne fonctionne pas.
Le principe était simple. Avec suffisamment d’éducation, les utilisateurs apprendraient à repérer les indices. Mots mal orthographiés. Phrase maladroite. Domaines d’expéditeur qui semblaient presque corrects. URL qui ont révélé quelque chose de suspect au survol. Nous avons formé une génération d’employés à jouer à Où est Waldo avec leur boîte de réception, en recherchant le seul artefact visible qui marquerait un message comme malveillant.
Ces artefacts ont disparu. Les attaques générées par l’IA sont courantes. L’infrastructure derrière eux semble légitime. Les signaux de surface sur lesquels nous avons formé les utilisateurs n’existent plus. Même s’ils le faisaient, le modèle dépendrait toujours de quelque chose que les humains ne peuvent pas offrir. Vigilance soutenue sur des centaines de messages par jour, chaque jour, un seul manquement conduisant à un compromis. Aucun système d’attention humaine ne fonctionne de cette façon.
Si l’attention de l’utilisateur n’est pas la réponse, quelle est la solution ?
Kahneman s’est adressé aux organisations, pas aux individus
La plupart des discussions sur le phishing s’appuient sur le Système 1 et le Système 2 de l’auteur Daniel Kahneman. La réflexion rapide est automatique et facile à tromper. La réflexion lente est délibérée et plus précise. La conclusion est toujours la même. Entraînez les gens à ralentir.
Le cadre est vrai en matière de cognition et incomplet en tant que stratégie de sécurité. Il demande aux individus de maintenir un comportement qui ne fonctionne pas dans des conditions réelles.
L’application la plus utile se situe au niveau organisationnel.
Chaque entreprise a des processus qui s’exécutent rapidement et des processus qui s’exécutent lentement. La différence n’est pas fortuite. Les processus rapides sont ceux dans lesquels la confiance a déjà été accordée et les frictions supprimées. Virements électroniques entre parties connues. Mises à jour des services bancaires des fournisseurs. Invitations de calendrier acceptées sans inspection. Vérification du service d’assistance par téléphone.
Les processus lents sont le contraire. La confiance s’établit en temps réel. Connexions des employés avec accès conditionnel. Intégration de nouveaux fournisseurs. Toute interaction avec une personne extérieure à l’organisation.
La plupart des entreprises n’ont pas délibérément conçu cette répartition. Cela est apparu au fil du temps. Quelqu’un a supprimé les frictions parce que cela a aidé l’entreprise à avancer plus rapidement. Souvent, cette décision était logique à l’époque. Le paysage de menaces qui le justifiait n’existe plus.
Les attaquants le comprennent mieux que nous. Ils cartographient les voies rapides. Ils attendent des moments où l’examen est minime. Ensuite, ils entrent directement dans ces voies.
Le pass Nexus comme primitive de sécurité
Le contrôle des frontières a résolu un problème avec lequel la sécurité reste toujours aux prises. Un examen uniforme ne fonctionne pas. Vérifiez tout le monde de la même manière et le mouvement s’arrête. Ne vérifiez personne et la frontière disparaît.
La solution était la hiérarchisation des risques. Les voyageurs pré-vérifiés bénéficient d’une voie rapide sur la base de preuves. Tout le monde passe par une inspection complète. La confiance est vérifiée en permanence et peut être révoquée dès que de nouvelles informations apparaissent.
La voie rapide n’est pas un défaut. La vérification complète n’est pas exagérée. Les deux existent parce que le système pose la bonne question. Il ne s’agit pas de savoir s’il faut faire confiance ou vérifier, mais quelles interactions méritent d’être rapides et quelles preuves soutiennent cette décision.
Appliquez cette optique à une entreprise et les lacunes deviennent évidentes.
Quels processus s’exécutent à grande vitesse et n’ont plus de sens ? Un fournisseur dont les coordonnées bancaires changent par courrier électronique. Un fournisseur utilisant un domaine typosquatté qui passe inaperçu. Une invitation d’agenda provenant d’un nom qui vous semble assez familier. Un identifiant API lié à un fournisseur qui n’a pas été actif depuis des années.
Chacun d’eux est un chemin rapide. Chacune d’elles a été exploitée à grande échelle par des attaquants sachant que la mission n’a jamais été revisitée.
La réponse n’est pas de tout ralentir. C’est la même erreur que la formation de sensibilisation, appliquée uniquement aux processus plutôt qu’aux personnes. Cela détruirait la productivité et ne parviendrait toujours pas à arrêter les attaques.
Le vrai travail est ciblé. Identifiez les voies rapides qui ont été construites sur des hypothèses dépassées. Re-classez-les. Éloignez-vous des processus qui ne le méritent plus. Laissez-le là où il tient encore.
L’inversion de confiance que personne ne veut admettre
Cela conduit à une question plus difficile sur l’architecture.
Au cours de la dernière décennie, nous avons appliqué la confiance zéro aux employés et une confiance permanente aux fournisseurs. Les employés s’authentifient constamment. Ils traitent des vérifications des appareils, des limites de session et de l’accès conditionnel. Les fournisseurs envoient un rapport SOC 2 une seule fois et bénéficient d’un accès à long terme aux systèmes critiques.
Cette asymétrie mérite un examen minutieux.
Les fournisseurs constituent souvent la voie de moindre résistance pour les attaquants. Ils détiennent des informations d’identification légitimes. Ils ont accès à tous les systèmes. De nombreuses violations majeures au cours des cinq dernières années ont commencé avec un compte fournisseur compromis et déjà fiable.
SOC 2 ne résout pas ce problème. Il mesure la discipline du contrôle interne. Il indique si une entreprise suit ses processus. Cela ne vous dit pas si cette entreprise est actuellement en sécurité.
Pourtant, de nombreuses organisations traitent cette situation comme si c’était le cas. Ils prennent des décisions d’accès à enjeux élevés sur la base d’un document qui n’a jamais été conçu pour répondre à cette question.
L’automatisation de la conformité a aggravé la situation. Cela a transformé un exercice annuel en un exercice continu sans changer ce qui est mesuré. Le bar est resté le même. Nous avons simplement réussi à produire plus rapidement la preuve que ces exigences ont été respectées.
Un rapport vierge à côté d’un fournisseur avec un ancien identifiant compromis toujours actif en production n’est pas un cas limite. C’est un état commun.
À quoi ressemble réellement une conception délibérée
Le travail à venir n’est pas glamour. Il n’apparaîtra pas clairement sur un tableau de bord.
Commencez par cartographier les processus dans toute l’organisation. Identifiez ceux qui fonctionnent vite et ceux qui fonctionnent lentement. Pour chaque chemin rapide, posez trois questions.
Quelles preuves justifiaient à l’origine la vitesse ? Cette preuve est-elle toujours valable compte tenu des capacités actuelles des attaquants ? Si vous supprimez la voie rapide, le coût est-il inférieur ou supérieur à l’impact attendu d’une violation liée à ce processus ?
Lorsque les preuves ne tiennent plus et que le coût du changement est inférieur à la perte potentielle, la mission doit changer.
Ce changement aura un coût. Les mises à jour des fournisseurs qui prenaient quelques secondes peuvent prendre quelques minutes. Les interactions avec le service d’assistance peuvent nécessiter une vérification secondaire. L’intégration de nouveaux fournisseurs pourrait ralentir.
L’argument en faveur de l’acceptation de ce coût n’est pas que la prudence soit bonne en théorie. C’est que la vitesse initiale était basée sur des hypothèses qui ne s’appliquent plus. L’efficacité a été empruntée à un échec futur.
Si vous ne parvenez pas à expliquer pourquoi un processus mérite quand même d’être accéléré, vous ne prenez pas de décision commerciale. Vous acceptez le risque sans le reconnaître.
C’est ce que signifie concevoir délibérément. Il ne s’agit pas d’obliger tout le monde à ralentir, mais de prendre des décisions conscientes quant à la place de la vitesse et aux domaines dans lesquels un examen minutieux est nécessaire. Revoir ces décisions à mesure que les conditions changent. Supprimer le statut de voie rapide, dès lors qu’il n’est plus justifié.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
