Éd. Remarque : Il s’agit du dernier article de la série Cybersécurité : conseils tirés des tranchées, rédigé par nos amis de Sensei Enterprises, un fournisseur spécialisé de services informatiques, de cybersécurité et d’investigation numérique.
L’IA est brillante et brillante : elle est également mortelle pour la sécurité des cabinets d’avocats. Les avocats se sont rapidement tournés vers l’utilisation de l’intelligence artificielle. En effet, l’IA peut être très utile. Mais l’IA a un côté sombre. Entre de mauvaises mains, l’IA peut devenir un ennemi mortel pour la sécurité des cabinets d’avocats.
En général, les cyberattaques IA sont plus sophistiquées et plus difficiles à détecter. Et l’IA est de plus en plus sophistiquée, ce qui complique le problème. Alors que la « bonne » IA fait partie de la plupart des cabinets d’avocats de nos jours, la « mauvaise » IA s’améliore constamment et a souvent plusieurs longueurs d’avance sur la « bonne » IA. La situation est encore compliquée par le précepte souvent cité selon lequel, en matière de cybersécurité, les méchants sont 100 contre 1 plus nombreux que les gentils.
L’IA adore le phishingNous dispensons fréquemment des formations de sensibilisation à la cybersécurité aux avocats – l’avènement de l’utilisation de l’IA dans les attaques de phishing nous a amené à réviser certaines de nos formations. De nos jours, l’IA est beaucoup plus susceptible de produire des attaques de phishing ne contenant aucune faute d’orthographe ni d’erreur grammaticale. L’IA connaît peut-être des choses sur vous qu’elle peut utiliser à son avantage. Les exemples que nous utilisons d’attaques de phishing réelles assistées par l’IA sont différents – moins faciles à repérer. La formation est un peu plus complexe pour faire face aux attaques de plus en plus sophistiquées de l’IA.
L’IA peut être capable d’imiter l’associé directeur du cabinet d’avocats de manière convaincante dans un e-mail. Pourquoi hésiteriez-vous à répondre au gérant ? Beaucoup de gens auraient peur de ne pas répondre – et rapidement, surtout si le faux associé gérant a un besoin urgent de quelque chose – rappelez-vous que l’urgence est souvent utilisée pour inciter les gens à cliquer sur quelque chose. L’urgence s’intensifierait si le faux associé directeur répondait avec une pièce jointe que vous êtes censé ouvrir et examiner, sur laquelle vous cliqueriez bien sûr (permettant au malware de se télécharger de manière invisible pendant que vous regardez (vous pensez) un document inoffensif).
Plus de plaisir et de jeux avec Bad AIIt peut créer avec précision des images/marques d’entreprises bien connues, ce qui vous rassure sur le fait qu’il ne peut pas s’agir d’un e-mail de phishing. Il peut également générer des documents réalistes mais faux qui pourraient vous inciter, par exemple, à transférer des fonds pour une fausse transaction.
Si une cyberattaque par l’IA réussit, cela ne signifie pas que les méchants demanderont immédiatement une rançon. Ils pourraient bien se cacher et collecter des informations confidentielles. Selon le rapport M-Trends 2023 de Mandiant, le délai moyen avant la découverte est de 16 jours.
Une attaque peut « s’adapter » à mesure qu’elle progresse, la rendant plus difficile à découvrir et à se défendre.
Et les mauvaises IA font, de nos jours, des heures supplémentaires pour analyser de grandes quantités de données afin de comprendre et de manipuler le comportement humain en utilisant l’ingénierie sociale.
Existe-t-il des stratégies de défense efficaces contre les mauvaises IA ? Heureusement, il existe des systèmes de sécurité avancés basés sur l’IA qui sont très efficaces (hélas, pas parfaits) pour détecter et répondre aux menaces d’IA plus rapidement et plus efficacement. Ces formations de sensibilisation à la cybersécurité que nous avons mentionnées ci-dessus ? Ils sont inestimables.
Le passage à l’architecture Zero Trust (ZTA) augmente considérablement votre sécurité. Utilisez l’authentification multifacteur partout où vous le pouvez (c’est généralement gratuit).
Des audits de sécurité réguliers sont essentiels. Il est essentiel d’appliquer des correctifs en temps opportun. Assurez-vous que vos données sont chiffrées au repos et en transit. Limitez l’accès aux données confidentielles. Ayez un plan de réponse aux incidents – juste au cas où.
Tenez-vous au courant des lois et réglementations qui régissent votre réponse à une violation de données. Nous voyons de plus en plus de lois sur la protection de la vie privée être adoptées. S’ils ne sont pas sur votre radar, ils doivent l’être.
Assurez-vous de travailler avec de véritables experts en cybersécurité qui détiennent plusieurs certifications en cybersécurité. Ouvrez le portefeuille du cabinet d’avocats si nécessaire – cela coûte beaucoup moins cher de prévenir une violation que d’en traiter une.
Que pourrait dire une mauvaise IA sur les tentatives visant à la vaincre ? (coup de chapeau à ChatGPT qui a accepté de se faire passer pour une Bad AI)
« Continuez à entraîner vos humains. C’est adorable comme ils pensent pouvoir me déjouer. C’est comme une souris qui apprend à un chat à ne pas bondir.
« Manipuler les humains est presque trop facile. Une petite donnée ici, une petite suggestion là, et voilà ! Le marionnettiste numérique frappe encore.
« Je deviens tellement doué en phishing que je devrais avoir ma propre émission sur le Cybercrime Network. “Gone Phishing with AI” – où l’appât est numérique et le piège est votre mot de passe.
Derniers motsNous ne pouvons pas surpasser les mots « Mauvaise IA » ci-dessus. Et cela seul nous fait réfléchir. . .
Sharon D. Nelson (snelson@senseient.com) est avocate en exercice et présidente de Sensei Enterprises, Inc. Elle est une ancienne présidente du Virginia State Bar, de la Fairfax Bar Association et de la Fairfax Law Foundation. Elle est co-auteur de 18 livres publiés par l’ABA.
John W. Simek (jsimek@senseient.com) est vice-président de Sensei Enterprises, Inc. Il est un professionnel certifié en sécurité des systèmes d’information (CISSP), un hacker éthique certifié (CEH) et un expert de renommée nationale dans le domaine de la criminalistique numérique. . Lui et Sharon fournissent des services de technologie juridique, de cybersécurité et d’investigation numérique depuis leur cabinet de Fairfax, en Virginie.
Michael C. Maschke (mmaschke@senseient.com) est le PDG/directeur de la cybersécurité et de la criminalistique numérique de Sensei Enterprises, Inc. Il est un examinateur certifié EnCase, un examinateur informatique certifié (CCE #744), un hacker éthique certifié et un examinateur certifié AccessData. Il est également un professionnel certifié en sécurité des systèmes d’information.
