Surpartage en ligne : l’IA réduit le risque cyber

En décembre, c’est la saison des bilans, des “wrap-up”, des photos d’équipe au marché de Noël… et des posts LinkedIn qui racontent un peu trop ce qui se passe en interne. Le problème, c’est que ce qui ressemble à de la fierté légitime (un nouveau projet, une arrivée, un partenariat, une migration cloud) peut aussi devenir une matière première pour des attaques très concrètes : spearphishing ciblé, fraude au président (BEC) et, de plus en plus, deepfakes.

La réalité ? Le surpartage des employés est un accélérateur d’OSINT (open source intelligence), donc un accélérateur d’attaques. Et en 2025, avec des outils d’IA capables de collecter, résumer et “industrialiser” la reconnaissance, les cybercriminels passent moins de temps à chercher… et plus de temps à frapper.

Dans cette série “Intelligence artificielle dans la cybersécurité”, on parle souvent de détection de menaces et de prévention de la fraude. Ici, le terrain est différent : la menace commence parfois par un post parfaitement bien intentionné. Bonne nouvelle : l’IA peut aussi aider côté défense, en repérant les signaux de risque avant qu’ils ne deviennent des incidents.

Le surpartage : une mine d’or pour l’OSINT (et pour le spearphishing)

Réponse directe : un post public peut donner à un attaquant le contexte qui manque pour rendre un message frauduleux crédible. Les attaques les plus coûteuses ne reposent pas sur une vulnérabilité exotique, mais sur une histoire plausible : “je suis le bon fournisseur”, “je connais votre projet”, “je sais que votre DG est en déplacement”.

Pourquoi quelques détails suffisent

Les attaquants n’ont pas besoin d’un secret classifié. Ils cherchent des éléments qui augmentent le taux de clic ou le taux d’obéissance :

• le nom d’un projet ou d’un programme interne
• l’outil de ticketing ou de CI/CD utilisé
• l’organigramme informel (“je travaille avec l’équipe finance de…”)
• un changement récent (nouvelle recrue, fusion-acquisition, nouveau prestataire)
• une présence à un événement (conférence, salon, déplacement)

Un seul détail isolé semble banal. Cinq détails dispersés sur plusieurs plateformes deviennent un scénario d’attaque.

Trois attaques typiques nourries par le surpartage

1. Spearphishing “contexte métier” : email ou message ultra ciblé, calé sur le rôle exact de la personne.
2. BEC / fraude au virement : usurpation d’un dirigeant, d’un fournisseur ou d’un partenaire, avec urgence et plausibilité.
3. Deepfake opérationnel : voix ou vidéo imitant un cadre, utilisé au “bon moment” (déplacement, événement, indisponibilité).

Phrase à retenir : “Si c’est public, un cybercriminel le sait déjà — et il l’utilisera quand ce sera rentable.”

Où vos équipes divulguent sans s’en rendre compte

Réponse directe : LinkedIn, GitHub et les réseaux grand public sont les trois points chauds, mais votre site corporate et vos offres d’emploi comptent aussi. Une stratégie de réduction du risque commence par une cartographie des lieux où l’information sort.

LinkedIn : l’annuaire le plus pratique du monde (aussi pour les attaquants)

LinkedIn agrège des données précieuses : titres, périmètres, relations, mobilités. Ajoutez à cela les annonces d’embauche et les posts “heureux d’annoncer que…”. Pour un attaquant, c’est idéal pour :

• identifier qui valide les paiements ou qui administre les systèmes
• comprendre la chaîne hiérarchique (“reporting à…”, “partenaire de…”)
• trouver le bon moment (nouvelle prise de poste, période d’onboarding)

GitHub : quand l’innocent devient exploitable

On pense souvent aux secrets “hardcodés”. Mais les fuites utiles sont parfois plus subtiles :

• noms de dépôts et de projets
• noms d’environnements (prod, preprod), de pipelines, d’outils internes
• indices sur le stack (frameworks, librairies, cloud, EDR)
• emails d’entreprise dans les configurations git

Même sans secret exposé, le contexte technique aide à écrire un phishing crédible (“mise à jour critique de votre pipeline”, “alerting sur votre cluster”).

Instagram / X : le calendrier social devient un vecteur de fraude

Déplacement annoncé, badge de conférence en photo, selfie devant un stand partenaire… Ces posts servent à :

• confirmer une indisponibilité (“elle est à l’étranger”)
• alimenter une urgence (“on doit régler avant 18h”)
• construire une imitation (voix/vidéo, références à l’événement)

Site corporate et annonces : le “marketing” utile aux fraudeurs

Les pages partenaires, communiqués, et offres d’emploi détaillant les outils internes peuvent fournir un prétexte solide. Une annonce qui liste précisément vos technologies est aussi une aide à l’attaque ciblée.

Ce que l’IA change : reconnaissance plus rapide, fraude plus crédible

Réponse directe : l’IA réduit le coût de préparation d’une attaque et augmente la qualité du message frauduleux. Là où un attaquant devait auparavant “faire ses devoirs” pendant des heures, il peut aujourd’hui automatiser une grande partie de la collecte et de la synthèse.

Accélération de l’OSINT

Les modèles de langage et agents d’automatisation permettent de :

• regrouper des infos éparses (réseaux, sites, dépôts publics)
• créer des profils “rôle + responsabilités + relations”
• générer des scripts d’approche (email, SMS, message LinkedIn)

Ce n’est pas de la magie. C’est juste de l’industrialisation : plus d’itérations, plus de cibles, plus de tests A/B.

Deepfakes : le BEC version 2025

Le BEC classique fonctionnait déjà très bien avec un simple email. Le deepfake ajoute un vernis “preuve” : une voix, une vidéo, une note vocale. La combinaison la plus dangereuse reste :

• urgence (virement “avant la clôture”)
• autorité (dirigeant, directeur financier, avocat)
• contexte (déplacement confirmé publiquement)

Comment l’IA peut protéger : détecter, alerter, prévenir (sans fliquer)

Réponse directe : l’IA défensive est efficace si elle sert à repérer des motifs à risque, à guider les employés, et à renforcer les contrôles de fraude — pas à espionner. J’ai souvent constaté que les programmes qui marchent sont ceux qui combinent technologie, politique claire et pédagogie.

1) Détection de “signaux faibles” dans les contenus publics

Un dispositif de social media risk monitoring basé sur IA peut repérer des catégories de risque, par exemple :

• mentions de projets internes ou noms de code
• exposition de process (workflows de validation, outils, étapes)
• indices de changement organisationnel (restructuration, M&A, nouveaux fournisseurs)
• publications de photos d’écrans (tableaux, tickets, dashboards)
• annonces de déplacement associées à des rôles sensibles (finance, IT, achats)

L’objectif n’est pas d’attraper quelqu’un “en faute”. C’est de réduire la surface d’attaque en temps réel.

2) Assistants de rédaction : corriger avant publication

Un usage pragmatique (et souvent mieux accepté) consiste à proposer un assistant interne :

• l’employé colle son brouillon de post
• l’outil signale les risques (mots, images, métadonnées)
• il propose une version “safe” qui garde l’intention (marque employeur)

Exemples de recommandations automatiques :

• remplacer un nom de projet par une formulation générique
• retirer une photo contenant un badge, un QR code, un écran, un plan
• supprimer une mention de fournisseur avant annonce officielle

C’est exactement le bon compromis : préserver l’advocacy, réduire l’exposition.

3) Corrélation SOC : relier un post à une campagne de phishing

Le vrai gain arrive quand l’IA relie les points : un post public + un pic d’emails entrants + des domaines similaires + un changement de comportement d’authentification.

Dans un SOC, cela se traduit par :

• score de risque par thème (BEC, spearphishing, usurpation)
• alertes contextualisées (“campagne ciblant l’équipe X après annonce Y”)
• priorisation des enquêtes (moins d’alert fatigue)

4) Anti-fraude : l’IA ne remplace pas les contrôles, elle les durcit

Même avec une excellente prévention, il faut supposer qu’un message frauduleux passera. Les mesures qui bloquent réellement la fraude au virement sont très “process” :

• double validation systématique au-delà d’un seuil
• vérification hors bande (appel sur numéro connu, pas celui du mail)
• gestion stricte des changements d’IBAN (délai, workflow, preuve)

L’IA aide en détectant les anomalies (nouveau bénéficiaire, urgence inhabituelle, langage atypique), mais le contrôle opérationnel reste non négociable.

Un plan d’action en 30 jours (réaliste) pour réduire le risque

Réponse directe : vous pouvez baisser fortement le risque en un mois en combinant règles simples, formation ciblée et monitoring. Voilà une feuille de route que je recommanderais à une PME comme à un grand groupe.

Semaine 1 : poser les “lignes rouges” (et les rendre praticables)

• définir ce qui est sensible : noms de projets, outils internes, clients, plannings, fournisseurs
• clarifier la frontière comptes perso / comptes officiels
• créer une règle simple sur les photos : pas d’écran, pas de badge, pas de tableau visible

Semaine 2 : micro-formation orientée scénarios

• 20 minutes sur spearphishing/BEC + exemples adaptés à vos métiers
• focus sur les DMs et comptes compromis (“même si je connais la personne”)
• exercice : “ce post est-il exploitable ?” (avant/après)

Semaine 3 : hygiène des comptes et durcissement

• MFA partout (réseaux sociaux inclus)
• gestionnaire de mots de passe obligatoire
• revue GitHub : emails, paramètres git, dépôts publics, templates

Semaine 4 : activer la détection et tester

• monitoring public sur mots-clés/projets sensibles (avec gouvernance RH/juridique)
• simulation de phishing ciblé (red team / purple team)
• boucle de feedback : ce qui a été détecté, ce qui doit être clarifié

Une règle qui marche : “On peut parler de notre impact, pas de nos coulisses.”

Questions fréquentes (celles qu’on me pose vraiment)

“On doit arrêter l’employee advocacy ?”

Non. Il faut l’encadrer. Une marque employeur forte et une présence professionnelle active sont utiles. Mais sans garde-fous, vous offrez du contexte gratuit à des fraudeurs.

“Surveiller les réseaux, ce n’est pas intrusif ?”

Ça peut l’être si c’est mal fait. La bonne approche :

• se limiter aux contenus publics et aux risques objectivables
• documenter la finalité (réduction du risque cyber)
• privilégier l’assistance à la publication plutôt que la sanction

“Quel est le meilleur indicateur de progrès ?”

Un KPI simple : baisse du taux de clic sur les simulations de spearphishing ciblé, et baisse des demandes de changement d’IBAN non conformes qui arrivent jusqu’à la finance.

La prochaine étape : faire de l’IA une ceinture de sécurité, pas un radar

Le surpartage n’est pas un “problème de réseaux sociaux”. C’est un problème de surface d’attaque. Et comme l’IA rend la reconnaissance et l’usurpation plus rapides, l’écart se creuse entre les organisations qui laissent faire et celles qui instrumentent la prévention.

Si vous travaillez déjà sur l’IA en cybersécurité (détection, SOC augmenté, anti-fraude), ajoutez ce chantier à votre feuille de route : réduire l’OSINT involontaire. C’est l’un des rares domaines où une amélioration de processus et un peu d’automatisation peuvent réduire le risque sans grands projets.

Vous préférez apprendre après un incident… ou fermer la porte maintenant, pendant que l’attaquant est encore dehors ?