Le profil de dirigeant que votre équipe de sécurité ne défend pas

Lucas Morel

L’IA permet désormais aux pirates informatiques de créer des profils approfondis sur les dirigeants en quelques minutes, ce qui rend essentiel pour les équipes de sécurité de nettoyer et de protéger leurs empreintes numériques.

Il y a quelques années, j’ai été retenu pour mener une évaluation des risques numériques pour le directeur général d’une société de services financiers de taille moyenne. Le brief était standard. Évaluez ce qui était publiquement disponible sur l’exécutif, identifiez les risques et donnez des conseils sur les mesures correctives. Les outils d’IA que j’ai utilisés ont réalisé une reconnaissance approfondie en moins de dix minutes.

Ce qui est revenu était un profil synthétisé. Compositions du conseil d’administration et dates de début. Une série de commentaires publics qui ont révélé quelles positions politiques l’exécutif défendait fermement et sur lesquelles il se plierait probablement sous la pression. Un intérêt philanthropique qui expliquait à quelles causes il répondrait si quelqu’un formulait une demande autour d’eux. Aucune de ces informations n’était sensible isolément. Mais assemblé en un récit unique et discutable, c’était quelque chose qu’un attaquant pouvait utiliser immédiatement.

Ce que je regardais était une requête accessible au public adressée à un outil d’IA à usage général. Et c’est le problème auquel la plupart des programmes de protection des dirigeants n’ont pas encore été confrontés. La phase de reconnaissance d’une attaque d’ingénierie sociale ciblée prend désormais quelques minutes, et non plus plusieurs jours, et les apports requis sont insignifiants.

L’avantage en termes de vitesse est évident mais ce n’est pas le changement le plus important. Le changement le plus significatif est la synthèse. Un moteur de recherche renvoie des documents. Un outil d’IA renvoie un récit cohérent avec des relations déduites et une signification interprétée. Lorsque j’interroge nommément un cadre supérieur sur une plateforme d’IA majeure, j’obtiens un compte rendu structuré de son parcours professionnel, de ses relations professionnelles, de ses zones d’influence visible et souvent de ses intérêts personnels, de ses relations et de ses affiliations publiques.

L’incident de MGM Resorts signalé en 2023 a illustré le principe à grande échelle. Les attaquants auraient identifié un cadre de MGM sur LinkedIn, utilisé ces informations de profil public pour usurper son identité lors d’un appel au service d’assistance informatique et obtenu des informations d’identification en quelques minutes. L’OSINT requis était minime et la manipulation était simple. Depuis, les outils d’IA ont rendu ce type de reconnaissance plus rapide, plus complet et accessible aux acteurs qui ne disposent pas des compétences manuelles nécessaires pour l’exécuter eux-mêmes.

Comme le documente systématiquement le rapport Verizon Data Breach Investigations, l’élément humain est présent dans la majorité des violations confirmées, et l’ingénierie sociale reste l’un des vecteurs d’accès initial les plus fiables.

Surveiller régulièrement

Le point de départ consiste à établir une visibilité sur ce que les outils d’IA rapportent réellement à votre population de cadres. Pas un audit ponctuel mené lors d’une réunion du conseil d’administration et oublié. Les profils changent continuellement à mesure que le nouveau contenu est indexé, l’ancien contenu est repondéré et les modèles sont mis à jour.

Attribuez la propriété pour exécuter des requêtes structurées sur les principales plates-formes, notamment ChatGPT, Gemini, Perplexity et la pile Microsoft Copilot, à une cadence régulière. Documentez ce que vous trouvez et suivez les modifications. Traitez le résultat de la même manière que vous traiteriez une analyse de vulnérabilité comme quelque chose à prioriser et à prendre en compte.

Réduire la surface d’attaque disponible

Travaillez avec chaque dirigeant pour identifier le contenu qui élargit son profil indexé par l’IA sans servir aucun objectif commercial légitime. Cela inclut les biographies de conférences héritées qui contiennent des détails personnels, les publications sociales qui révèlent les schémas d’emploi du temps ou le contexte familial et les annonces du conseil d’administration qui, dans l’ensemble, cartographient l’ensemble du réseau professionnel d’un cadre. Pour certains de ces contenus, la suppression est possible et mérite d’être poursuivie avec un effort ciblé.

La conversation la plus importante concerne le comportement futur. Les dirigeants qui ont l’habitude de partager excessivement sur LinkedIn ou dans des panels de conférence doivent comprendre concrètement ce que ce partage permet.

L’exposition des membres de la famille constitue un angle mort constant. Un attaquant qui ne peut pas faire pression directement sur un dirigeant peut rechercher un moyen de pression par l’intermédiaire d’un conjoint, d’un frère ou d’une sœur ou d’un enfant. Les dirigeants considèrent rarement l’empreinte numérique publique des membres de leur famille comme faisant partie de leur propre posture de sécurité. C’est.

Façonner le récit là où la réduction n’est pas possible

Les dirigeants de sociétés ouvertes, les membres de conseils d’administration soumis à des obligations de divulgation obligatoires et les individus dont le profil public est essentiel à la crédibilité de leur organisation ne peuvent tout simplement pas sombrer dans l’obscurité.

Dans ces cas-là, l’objectif passe de la réduction à la mise en forme. L’objectif est de garantir que ce que les outils d’IA synthétisent à partir du contenu indexé est professionnellement lié et ne fait pas apparaître par inadvertance un prétexte de grande valeur. Il s’agit d’un exercice conjoint entre la sécurité et les communications, la sécurité définissant les limites des risques et les communications exécutant la stratégie.

Former les dirigeants sur ce à quoi ressemble leur propre profil

L’intervention la plus efficace que j’ai vue lors des briefings de direction est également la plus simple. Ouvrez un navigateur et interrogez une plateforme d’IA sur le cadre présent dans la salle. Laissez-les voir le résultat. La réaction est cohérente. Ils sont surpris par la synthèse, mal à l’aise avec les détails spécifiques qui font surface et immédiatement plus engagés dans le reste de la conversation qu’ils ne l’étaient auparavant.

Les briefings abstraits sur les risques d’ingénierie sociale aboutissent rarement à des dirigeants de haut niveau qui ont le sentiment de comprendre leur propre position en matière de sécurité. Des preuves démontrées de leur profil médié par l’IA arrivent à chaque fois. Comme cela est évoqué dans le contexte des attaques ciblant les dirigeants, la sensibilisation est une condition préalable au changement de comportement qui rend les programmes de protection efficaces.

  • Ils traitent l’empreinte de l’information publique de l’exécutif comme une surface d’attaque gérée par une partie responsable désignée. Quelqu’un en est responsable, de la même manière que quelqu’un est responsable de l’application des correctifs aux points finaux ou de la gouvernance des identités.
  • Ils incluent la reconnaissance assistée par l’IA comme condition de départ des exercices de l’équipe rouge. Avant le début de toute simulation d’ingénierie sociale, l’équipe rouge exécute les mêmes requêtes qu’un attaquant exécuterait. Le prétexte qu’ils conçoivent est basé sur ce que renvoient ces requêtes.
  • Leurs briefings sur la protection des dirigeants incluent un examen du profil de l’IA comme point permanent à l’ordre du jour. Les considérations liées à la sécurité physique, à l’exposition des informations d’identification et au risque lié à l’information publique sont examinées ensemble car elles sont liées. Un attaquant qui connaît le planning d’un cadre grâce à son contenu public peut chronométrer une tentative de réinitialisation des informations d’identification ou un appel de vishing avec la même précision.

Le cadre que j’ai examiné il y a plusieurs années n’avait aucune idée de ce que contenait son profil indexé sur l’IA ni de ce qu’il permettait. La plupart des cadres avec lesquels je travaille aujourd’hui occupent le même poste. Au moment où vous aurez fini de lire ceci, il est probable que ces requêtes aient déjà été exécutées sur une personne de votre organisation. La question est de savoir si votre programme est en mesure de le détecter et de répondre à temps.

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?

FraudeCybercriminalitéSécuritéGestion des identités et des accèsSolutions de gestion des identitésIntelligence artificielle