Comment les RSSI peuvent défendre leur identité lorsque les preuves échouent.
Dans mon rôle, je passe beaucoup de temps à réfléchir à ce que signifie la « confiance » lorsque l’argent, le chagrin et l’identité se heurtent. D’ici 2026, la véritable concurrence dans notre espace ne sera pas celle qui automatisera le plus rapidement ou offrira le plus de fonctionnalités d’IA. Il s’agira de savoir qui pourra encore distinguer un exécuteur légitime, un bénéficiaire ou un représentant de la famille d’un personnage fabriqué.
Nous construisons avec l’IA parce que les avantages sont indéniables. Mais nous observons également que cette même technologie change l’économie de l’usurpation d’identité. Les identités synthétiques et les escroqueries basées sur les deepfakes sont passées de cas extrêmes à une pression constante qui épuise lentement les contrôles auxquels nous avions confiance. Sur le papier, les programmes identitaires semblent encore solides. Dans des conditions d’attaque réelles, un trop grand nombre d’attaques devient un mince périmètre qui s’effondre une fois qu’un adversaire applique le réalisme à grande échelle.
Dans le domaine successoral et identitaire, cette érosion de la confiance a un poids supplémentaire. Une identité synthétique peut facilement détourner les distributions, retarder les réclamations légitimes et entraîner les familles dans des conflits parce que la piste des preuves semble « complète », même lorsque la personne n’est pas réelle.
La montée du fantôme numérique
La fraude à l’identité synthétique consiste à fabriquer des « personnes » entières qui n’ont jamais existé : les fantômes numériques. Les modèles génératifs peuvent produire des documents de type gouvernemental, des historiques plausibles et des supports médiatiques qui effacent les contrôles de routine, permettant ainsi à une fausse identité de paraître cohérente à travers les systèmes, les canaux et le temps.
C’est pourquoi le coût peut être bien plus élevé qu’un simple sinistre. Une identité synthétique peut entrer dans un écosystème, se comporter normalement suffisamment longtemps pour s’y fondre et faire surface plus tard au moment précis où une réclamation, un changement de profil ou un paiement est nécessaire. Lorsqu’elle réussit, elle pollue les références sur lesquelles nous dépendions auparavant : les modèles de risque, le triage des cas et les modèles auxquels les analystes apprennent à faire confiance.
Les deepfakes augmentent encore les enjeux en effaçant la frontière entre « numérique » et « humain ». Les appels vidéo, la vérification vocale et les interactions en direct semblaient autrefois être une preuve plus solide. Désormais, un adversaire peut se présenter avec un visage, une voix et une histoire cohérente suffisamment longtemps pour passer un examen précipité.
Si l’identité est usurpable, chaque contrôle en aval s’appuie sur une vérité contaminée, même lorsque le processus est conforme et bien documenté.
Exploiter les défunts et les dormants
Les attaquants suivent l’effet de levier. Les identités dormantes, héritées et décédées créent un effet de levier car elles sont déjà accompagnées d’une histoire, qui sert d’échafaudage sur lequel un personnage synthétique peut grimper.
J’ai vu avec quelle rapidité un disque discret peut devenir un point d’entrée. Un adversaire associe un ancien compte ou une empreinte d’identité à des documents nouvellement générés et à une interaction d’assistance raffinée. Ils demandent un changement de profil, une mise à jour de contact ou une redirection de paiement. Ils réclament un nouvel identifiant, un nouvel appareil ou un nouveau canal. Chacun ressemble à un infime détail isolé. En séquence, c’est une reprise qui semble méritée car l’activité ressemble à la vraie vie.
Les signaux de confiance traditionnels peinent ici. Les empreintes digitales des appareils, l’analyse comportementale et la biométrie statique peuvent aider, mais l’IA cible désormais directement ces signaux. Le rythme de frappe peut être imité. Le mouvement de la souris peut être simulé. Les voix peuvent être suffisamment bien clonées pour tromper les humains fatigués ou pressés. Même les évaluateurs expérimentés perdent leur avantage car les coutures évidentes apparaissent moins souvent.
C’est pourquoi cette menace est différente dans les flux de travail liés au domaine. Une histoire convaincante est généralement jointe à la demande. Il y a souvent urgence. Il y a souvent de l’émotion. Les attaquants comprennent que la pression humaine et la pression procédurale créent des ouvertures que les contrôles techniques ne suffisent pas à fermer.
Établir une nouvelle norme de preuve
Il n’existe pas de solution plug-and-play pour l’identité synthétique. Y remédier signifie dépasser le « Qui est-ce ? » à une question plus médico-légale telle que « Comment cette identité – et son empreinte numérique – a-t-elle pu exister ? »
Ce changement élève le niveau de preuve. Il donne la priorité à la provenance, à la vérification de l’émetteur et à la cohérence cross-canal plutôt qu’à la plausibilité au niveau de la surface. Cela change également la façon dont les équipes fonctionnent. Nous ne pouvons pas garder les signaux d’identité dispersés entre des outils, des files d’attente et des propriétaires distincts. Nous avons besoin d’une vision partagée des risques, construite à partir de signaux indépendants qui soit renforcent la confiance, soit révèlent des contradictions.
En pratique, nous examinons d’où viennent les artefacts, comment ils ont été créés et s’ils ont été modifiés. Nous avons besoin de preuves plus solides lorsque le risque change et est corrélé entre les canaux au lieu de nous fier à un seul point de contrôle.
Nous devons également renforcer l’accès interne et l’auditabilité. Si les attaquants peuvent usurper l’identité de demandeurs externes, ils peuvent également cibler les flux de travail internes. Les actions privilégiées nécessitent le moindre privilège, un accès juste à temps et des pistes de qualité médico-légale.
Ingénierie de la responsabilité dans les flux de travail internes
La vérification continue doit être un choix de conception délibéré. Un programme mature lie le niveau de preuve au risque de ce qui se passe actuellement. Un nouvel appareil ne doit pas être traité comme une connexion de routine. Une demande de modification des instructions de paiement doit être confrontée à un seuil plus élevé qu’une simple consultation d’un enregistrement ou une mise à jour d’une adresse.
Cette même discipline doit s’appliquer en interne. Les rôles et les identités de machines à fort impact nécessitent des propriétaires nommés, des plans de succession d’informations d’identification documentés et des pistes d’accès qui peuvent être reconstruites sans approximations. Quand quelque chose ne va pas, vous ne voulez pas de dispute pour savoir qui l’a fait. Vous voulez des preuves.
Les régulateurs et les conseils d’administration évoluent dans cette direction parce que l’ancien modèle suppose que l’identité reste stable une fois « vérifiée ». L’IA brise cette hypothèse. Les organisations qui considèrent l’assurance de l’identité comme mesurable, avec une nette appétence pour le risque et des tests contradictoires réguliers, seront les mieux placées pour défendre leurs décisions en toute confiance.
Le test de préparation pour 2026
Alors que nous nous tournons vers 2026, je reviens sans cesse à une question. Pouvez-vous prouver, à tout moment, que les identités derrière vos actions à fort impact appartiennent à de vrais humains responsables ?
Si la réponse est vague, alors l’IA accélère les mauvaises choses. Il accélère les décisions basées sur des données polluées. Il accélère les flux de travail qui peuvent être détournés par des contrefaçons crédibles. Il accélère les résultats qui semblent conformes jusqu’au moment où vous devez les défendre.
Dans notre métier, nous ne nous contentons pas de gérer des comptes et des dossiers. Nous protégeons les héritages, résolvons les obligations et servons les personnes qui n’ont souvent qu’une seule chance de bien faire les choses. L’identité synthétique transforme cette responsabilité en un problème de sécurité, un problème de gouvernance et un problème humain à la fois. Traitons-le comme la nouvelle vérité terrain.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
