L’IA permet désormais aux pirates informatiques de créer des profils approfondis sur les dirigeants en quelques minutes, ce qui rend essentiel pour les équipes de sécurité de nettoyer et de protéger leurs empreintes numériques.
Il y a quelques années, j’ai été retenu pour mener une évaluation des risques numériques pour le directeur général d’une société de services financiers de taille moyenne. Le brief était standard. Évaluez ce qui était publiquement disponible sur l’exécutif, identifiez les risques et donnez des conseils sur les mesures correctives. Les outils d’IA que j’ai utilisés ont réalisé une reconnaissance approfondie en moins de dix minutes.
Ce qui est revenu était un profil synthétisé. Compositions du conseil d’administration et dates de début. Une série de commentaires publics qui ont révélé quelles positions politiques l’exécutif défendait fermement et sur lesquelles il se plierait probablement sous la pression. Un intérêt philanthropique qui expliquait à quelles causes il répondrait si quelqu’un formulait une demande autour d’eux. Aucune de ces informations n’était sensible isolément. Mais assemblé en un récit unique et discutable, c’était quelque chose qu’un attaquant pouvait utiliser immédiatement.
Ce que je regardais était une requête accessible au public adressée à un outil d’IA à usage général. Et c’est le problème auquel la plupart des programmes de protection des dirigeants n’ont pas encore été confrontés. La phase de reconnaissance d’une attaque d’ingénierie sociale ciblée prend désormais quelques minutes, et non plus plusieurs jours, et les apports requis sont insignifiants.
Les données des dirigeants agrégées par l’IA sont devenues une surface d’attaque. La plupart des programmes de sécurité ne s’y sont pas encore adaptés.
La phase de reconnaissance s’est effectivement effondrée
Le travail OSINT traditionnel contre un objectif exécutif exigeait des compétences et de la patience. Un analyste compétent pourrait créer un profil utile sur plusieurs jours en travaillant sur les moteurs de recherche, les documents d’entreprise, les plateformes sociales et les médias archivés. Ce travail constituait un obstacle important. Cela a pris du temps et a nécessité du jugement pour savoir à quelles sources faire confiance. Cela laissait également des traces si l’attaquant était imprudent.
L’agrégation d’IA supprime les trois contraintes.
L’avantage en termes de vitesse est évident mais ce n’est pas le changement le plus important. Le changement le plus significatif est la synthèse. Un moteur de recherche renvoie des documents. Un outil d’IA renvoie un récit cohérent avec des relations déduites et une signification interprétée. Lorsque j’interroge nommément un cadre supérieur sur une plateforme d’IA majeure, j’obtiens un compte rendu structuré de son parcours professionnel, de ses relations professionnelles, de ses zones d’influence visible et souvent de ses intérêts personnels, de ses relations et de ses affiliations publiques.
L’incident de MGM Resorts signalé en 2023 a illustré le principe à grande échelle. Les attaquants auraient identifié un cadre de MGM sur LinkedIn, utilisé ces informations de profil public pour usurper son identité lors d’un appel au service d’assistance informatique et obtenu des informations d’identification en quelques minutes. L’OSINT requis était minime et la manipulation était simple. Depuis, les outils d’IA ont rendu ce type de reconnaissance plus rapide, plus complet et accessible aux acteurs qui ne disposent pas des compétences manuelles nécessaires pour l’exécuter eux-mêmes.
Comme le documente systématiquement le rapport Verizon Data Breach Investigations, l’élément humain est présent dans la majorité des violations confirmées, et l’ingénierie sociale reste l’un des vecteurs d’accès initial les plus fiables.
Le caractère accessible des outils d’IA accroît également la population des menaces. Les attaques qui nécessitaient auparavant un analyste qualifié pour être conçues ne nécessitent désormais plus qu’un acteur motivé ayant accès à Internet. Cela change le calcul du volume et du ciblage. Les dirigeants qui étaient auparavant trop obscurs pour justifier une attaque manuelle sophistiquée sont désormais des cibles viables pour toute personne ayant un grief ou une question à poser.
Que doivent faire les DSI et les RSSI ?
L’instinct de nombreuses organisations est d’acheminer tout ce qui concerne le profil public d’un dirigeant vers la fonction de communication ou de relations publiques. Cet instinct était logique lorsque le risque concernait la réputation. Il ne couvre plus l’exposition.
Ce qui suit est la façon dont je conseille aux clients de structurer ce travail.
Surveiller régulièrement
Le point de départ consiste à établir une visibilité sur ce que les outils d’IA rapportent réellement à votre population de cadres. Pas un audit ponctuel mené lors d’une réunion du conseil d’administration et oublié. Les profils changent continuellement à mesure que le nouveau contenu est indexé, l’ancien contenu est repondéré et les modèles sont mis à jour.
Attribuez la propriété pour exécuter des requêtes structurées sur les principales plates-formes, notamment ChatGPT, Gemini, Perplexity et la pile Microsoft Copilot, à une cadence régulière. Documentez ce que vous trouvez et suivez les modifications. Traitez le résultat de la même manière que vous traiteriez une analyse de vulnérabilité comme quelque chose à prioriser et à prendre en compte.
Réduire la surface d’attaque disponible
Travaillez avec chaque dirigeant pour identifier le contenu qui élargit son profil indexé par l’IA sans servir aucun objectif commercial légitime. Cela inclut les biographies de conférences héritées qui contiennent des détails personnels, les publications sociales qui révèlent les schémas d’emploi du temps ou le contexte familial et les annonces du conseil d’administration qui, dans l’ensemble, cartographient l’ensemble du réseau professionnel d’un cadre. Pour certains de ces contenus, la suppression est possible et mérite d’être poursuivie avec un effort ciblé.
La conversation la plus importante concerne le comportement futur. Les dirigeants qui ont l’habitude de partager excessivement sur LinkedIn ou dans des panels de conférence doivent comprendre concrètement ce que ce partage permet.
L’exposition des membres de la famille constitue un angle mort constant. Un attaquant qui ne peut pas faire pression directement sur un dirigeant peut rechercher un moyen de pression par l’intermédiaire d’un conjoint, d’un frère ou d’une sœur ou d’un enfant. Les dirigeants considèrent rarement l’empreinte numérique publique des membres de leur famille comme faisant partie de leur propre posture de sécurité. C’est.
Façonner le récit là où la réduction n’est pas possible
Les dirigeants de sociétés ouvertes, les membres de conseils d’administration soumis à des obligations de divulgation obligatoires et les individus dont le profil public est essentiel à la crédibilité de leur organisation ne peuvent tout simplement pas sombrer dans l’obscurité.
Dans ces cas-là, l’objectif passe de la réduction à la mise en forme. L’objectif est de garantir que ce que les outils d’IA synthétisent à partir du contenu indexé est professionnellement lié et ne fait pas apparaître par inadvertance un prétexte de grande valeur. Il s’agit d’un exercice conjoint entre la sécurité et les communications, la sécurité définissant les limites des risques et les communications exécutant la stratégie.
Former les dirigeants sur ce à quoi ressemble leur propre profil
L’intervention la plus efficace que j’ai vue lors des briefings de direction est également la plus simple. Ouvrez un navigateur et interrogez une plateforme d’IA sur le cadre présent dans la salle. Laissez-les voir le résultat. La réaction est cohérente. Ils sont surpris par la synthèse, mal à l’aise avec les détails spécifiques qui font surface et immédiatement plus engagés dans le reste de la conversation qu’ils ne l’étaient auparavant.
Les briefings abstraits sur les risques d’ingénierie sociale aboutissent rarement à des dirigeants de haut niveau qui ont le sentiment de comprendre leur propre position en matière de sécurité. Des preuves démontrées de leur profil médié par l’IA arrivent à chaque fois. Comme cela est évoqué dans le contexte des attaques ciblant les dirigeants, la sensibilisation est une condition préalable au changement de comportement qui rend les programmes de protection efficaces.
Intégrez cela dans le programme de protection des dirigeants
Ce travail s’inscrit aux côtés de la sécurité des points finaux, de la gestion des informations d’identification et de la protection physique dans un programme unifié de protection des dirigeants. Lorsqu’il s’agit d’une fonction de communication, il lui manque la structure hiérarchique, l’autorité budgétaire et la discipline opérationnelle qu’exige le travail de sécurité.
Attribuez un propriétaire avec un mandat de sécurité. Inclure l’exposition à l’IA dans le registre des risques. Faites-en rapport à la même cadence que les autres mesures de protection des dirigeants. Les organisations qui ont bien fait cela n’ont pas créé de programme distinct à cet effet. Ils ont prolongé un existant.
Ce que comprennent désormais les programmes efficaces de protection des dirigeants
Les organisations qui ont intégré l’exposition à l’IA dans leur travail de protection des dirigeants partagent quelques caractéristiques qui les distinguent de celles qui la traitent encore comme un cas limite en matière de communication.
- Ils traitent l’empreinte de l’information publique de l’exécutif comme une surface d’attaque gérée par une partie responsable désignée. Quelqu’un en est responsable, de la même manière que quelqu’un est responsable de l’application des correctifs aux points finaux ou de la gouvernance des identités.
- Ils incluent la reconnaissance assistée par l’IA comme condition de départ des exercices de l’équipe rouge. Avant le début de toute simulation d’ingénierie sociale, l’équipe rouge exécute les mêmes requêtes qu’un attaquant exécuterait. Le prétexte qu’ils conçoivent est basé sur ce que renvoient ces requêtes.
- Leurs briefings sur la protection des dirigeants incluent un examen du profil de l’IA comme point permanent à l’ordre du jour. Les considérations liées à la sécurité physique, à l’exposition des informations d’identification et au risque lié à l’information publique sont examinées ensemble car elles sont liées. Un attaquant qui connaît le planning d’un cadre grâce à son contenu public peut chronométrer une tentative de réinitialisation des informations d’identification ou un appel de vishing avec la même précision.
Le cadre que j’ai examiné il y a plusieurs années n’avait aucune idée de ce que contenait son profil indexé sur l’IA ni de ce qu’il permettait. La plupart des cadres avec lesquels je travaille aujourd’hui occupent le même poste. Au moment où vous aurez fini de lire ceci, il est probable que ces requêtes aient déjà été exécutées sur une personne de votre organisation. La question est de savoir si votre programme est en mesure de le détecter et de répondre à temps.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?



