1er avril 2024
Par John Knechtel
L’essor de l’intelligence artificielle générative (genIA) crée de nouveaux défis en cybersécurité qui exigent une réponse en couches fondée sur les défenses existantes, ont conclu des experts en cybersécurité et des cadres lors d’une récente table ronde sur les risques en cybersécurité et l’IA du Vector Institute. La session visait à aider les entreprises à équilibrer le besoin d’innovation axée sur l’IA avec des stratégies solides de défense cybernétique.
L’innovation rapide et la croissance des technologies d’IA génétique représentent un défi fondamental, les attaquants accédant à de nouveaux outils et fabriquant de nouvelles menaces chaque jour. Pourtant, les mêmes facteurs qui augmentent le volume et l’ampleur des menaces en cybersécurité permettent aussi aux entreprises de déployer des défenses renforcées.
La technologie élargit simultanément les surfaces d’attaque – la somme des différents points où un acteur malveillant peut tenter de pénétrer un système numérique – tout en permettant aux acteurs malveillants de développer des attaques plus sophistiquées, augmentant ainsi les enjeux pour la sécurité des entreprises. « Si l’IA est le prochain Internet, la cybersécurité sera primordiale », c’est ainsi qu’un participant à l’atelier l’a formulé.
L’ampleur des dommages potentiels augmente. Cybersecurity Ventures, une société de recherche et d’intelligence de marché, estime que les dommages cybernétiques à l’échelle mondiale dépasseront 10 000 milliards de dollars d’ici 2025. « Vous allez voir plus d’attaques avec des enjeux plus élevés, une plus grande pénétration et une plus grande facilité », prédit un invité. « Certaines des grosses brèches ont coûté des centaines de millions de dollars. Pendant ce temps, les coûts pour les acteurs malveillants diminuent. « L’accès est très peu coûteux, et combiné avec le ML et l’IA, le type d’attaque qui peut être construite me fait une peur bleue », a avoué un participant.
GenAI élargit les surfaces des cyberattaques tout en permettant aux acteurs malveillants de développer des attaques plus sophistiquées, augmentant ainsi les enjeux pour la sécurité des entreprises.
Compte tenu de cette dynamique, les entreprises devront évaluer où elles sont les plus vulnérables et établir leurs priorités. « Les compagnies n’ont pas la capacité de tout gérer. Ils devront se demander : quelle est la chose la plus importante à protéger? Le risque, c’est qu’ils évitent de regarder parce que c’est trop coûteux à réparer. »
Grâce à l’interface en langage naturel de l’IA générative, ce n’est plus le domaine des experts techniques : chaque employé peut l’utiliser directement. Cette nouvelle réalité – l’accès universel via l’IA générative – exigera que les employés de toute l’organisation mettent en œuvre pour la première fois des considérations connexes en cybersécurité, vie privée et éthique. Étant donné que souvent, les employés ne respectent pas actuellement les politiques de cybersécurité déjà existantes, cela pose un défi.
« Les gens ne suivent même pas les bases des règles de cybersécurité », a déclaré un participant. En regardant les violations récentes, par exemple, « quand on voit comment ils sont entrés, on voit qu’on a encore des problèmes de base comme les mots de passe. » Tout aussi inquiétant, certains employés contournent simplement les politiques et systèmes de leur entreprise. Dans un cas, une entreprise a trouvé son code publié publiquement – les développeurs avaient utilisé leurs ordinateurs personnels et leurs services infonuagiques pour contourner les canaux officiels.
Pour développer la sensibilisation et la conformité des employés, un programme de tests et d’adaptation est nécessaire. Comme l’a décrit un participant : « Dans notre propre expérience en banque, nous nous sommes beaucoup concentrés sur la formation, avec des entraînements annuels rigoureux et des tests. La banque envoie des courriels tests, etc., pour voir si les employés ont la bonne conscience pour cliquer sur les liens ou non. Ensuite, nous agrégeons les résultats pour évaluer le niveau de conscience. Si le niveau de sensibilisation est faible, nous faisons de la formation supplémentaire. Pour les organisations qui travaillent sur les comportements, en mettant en place des protocoles de formation pour les équipes travaillant sur des données sensibles, c’est très concret. »
Beaucoup d’entreprises se sentent vulnérables. Ils voient l’IA « intégrée dans chaque processus d’affaires, mais personne ne sait si leur IA est sécurisée. » Un participant à l’atelier a rapporté que, selon KPMG, seulement 56% des PDG canadiens pensent être préparés aux cyberattaques et 93% craignent que l’IA générative les rende plus vulnérables aux brèches. Nous abordons l’IA avec très, très attention », a déclaré un autre participant. « Chaque cas d’utilisation est soigneusement évalué, testé [et] soumis à un examen de sécurité avant d’être accepté. »
Seulement 56% des PDG canadiens pensent être prêts aux cyberattaques et 93% craignent que l’IA générative les rende plus vulnérables aux brèches.
KPMG
Les fonctions de contrôle d’entreprise et les équipes d’audit devront comprendre et atténuer les risques liés à l’IA, donc l’expertise en IA doit être intégrée à ces équipes. « Quand je regarde l’ensemble de l’écosystème de l’entreprise qui change chaque jambe sur la table », a déclaré un participant, « il est clair que la direction a besoin d’expertise en IA. »
Pour être efficaces, les entreprises doivent « s’assurer que le conseil d’administration et la haute direction créent l’oxygène nécessaire au travail en IA », a déclaré un participant. Cet engagement de leadership sera nécessaire « pour obtenir l’adhésion de toute l’organisation afin d’avancer dans une direction à laquelle vous n’êtes pas habitué auparavant. »
L’extension de l’infrastructure de cybersécurité nécessitera des ressources importantes (les besoins en calcul en cybersécurité augmentent de 4,2 fois par an, a rapporté un participant) et des efforts soutenus.
Les grands modèles de langage sont difficiles à évaluer et complexes à gérer, donc les surveiller pose un défi ardu. Comme l’a dit un participant : « Tous les fournisseurs intègrent l’IA dans leurs produits, donc l’invisibilité est énorme. Il y a encore beaucoup de risques qui en découlent. »
La tâche de vérifier et de réglementer les modèles dépasse ce que n’importe quelle entreprise peut gérer seule. Les participants ont proposé un organisme indépendant pour effectuer ce travail. « Nous avons besoin de plus de standardisation, de plus d’application des normes, de plus de certification indépendante de la qualité. Dans notre cas, déployer de l’IA sans certification dans des systèmes en ligne est hors de question », a commenté l’un d’eux.
Le potentiel de systèmes d’IA améliorés pour soutenir les défenses en cybersécurité et atténuer les risques est évident. « Avec une connexion en langage naturel à un système en direct, les modèles d’IA peuvent observer à travers la surface d’attaque globale, qui est assez large, apprendre les corrélations des attaques réussies, isoler les attaques les plus probables et corriger le système pour les prévenir. Il y a beaucoup de valeur là-dedans. »
Mais les modèles d’IA doivent fonctionner à partir de données riches, comme des exemples d’attaques réussies. « Il y a juste une rareté de bons exemples pour s’entraîner », a déclaré un participant. Les attaques simulées de bots peuvent être moins coûteuses à tester et ces données peuvent ensuite être utilisées pour entraîner la prochaine génération de systèmes de cybersécurité.
Bien que l’émergence de l’IA générative pose clairement des défis importants, les participants à l’atelier ont suggéré qu’avec les approches décrites ci-dessus, les entreprises pourront mettre en place une défense efficace et en plusieurs niveaux.
