Comment les entreprises peuvent-elles concilier l'innovation en matière d'IA et la cybersécurité ?
1er avril 2024
1er avril 2024
Par John Knechtel
L'essor de l'intelligence artificielle générative (genAI) crée de nouveaux défis en matière de cybersécurité qui nécessitent une réponse stratifiée reposant sur les défenses existantes, ont conclu des experts en cybersécurité et des dirigeants lors d'une récente table ronde du Vector Institute sur les risques de cybersécurité et l'IA. Cette session avait pour but d'aider les entreprises à trouver un équilibre entre la nécessité d'innover grâce à l'IA et des stratégies de cyberdéfense solides.
L'innovation et la croissance rapides des technologies de l'IA générique représentent un défi fondamental, les attaquants ayant accès à de nouveaux outils et fabriquant chaque jour de nouvelles menaces. Pourtant, les mêmes facteurs qui augmentent le volume et l'ampleur des menaces de cybersécurité permettent également aux entreprises de déployer des défenses plus solides.
La technologie élargit simultanément les surfaces d'attaque - la somme des différents points où un acteur malveillant peut essayer de pénétrer dans un système numérique - tout en permettant aux acteurs malveillants de développer des attaques plus sophistiquées, ce qui augmente les enjeux pour la sécurité des entreprises. "Si l'IA est le prochain internet, la cybersécurité sera primordiale", a déclaré l'un des participants à l'atelier.
L'ampleur des dommages potentiels ne cesse de croître. Cybersecurity Ventures, une société de recherche et d'intelligence économique, estime que les cyberdommages dépasseront les 10 000 milliards de dollars d'ici à 2025. "Vous verrez davantage d'attaques avec des enjeux plus importants, une plus grande pénétration et une plus grande facilité", a prédit un participant. "Certaines brèches importantes ont coûté des centaines de millions de dollars. Dans le même temps, les coûts pour les acteurs malveillants diminuent. "L'accès est très peu coûteux et, lorsqu'il est combiné à la ML et à l'IA, le type d'attaque qui peut être construit me fait peur", a avoué un participant.
La GenAI élargit la surface des cyberattaques tout en permettant aux acteurs malveillants de mettre au point des attaques plus sophistiquées, ce qui accroît les enjeux en matière de sécurité des entreprises.
Compte tenu de cette dynamique, les entreprises vont devoir évaluer où elles sont le plus vulnérables et établir des priorités. "Les entreprises ne disposent pas de la bande passante nécessaire pour s'occuper de tout. Elles devront se poser la question suivante : quelle est la chose la plus importante à protéger ? Le risque est qu'elles s'abstiennent de chercher des solutions parce qu'elles sont trop coûteuses à mettre en œuvre.
Grâce à son interface en langage naturel, l'IA générative n'est plus l'apanage des experts techniques : chaque employé peut l'utiliser directement. Cette nouvelle réalité - l'accès universel grâce à l'IA générative - obligera les employés de l'ensemble de l'organisation à mettre en œuvre pour la première fois des considérations liées à la cybersécurité, à la protection de la vie privée et à l'éthique. Si l'on considère que souvent les employés ne respectent pas les politiques de cybersécurité existantes, cela pose un défi.
"Les gens ne respectent même pas les règles de base de la cybersécurité", a déclaré un participant. Si l'on considère les violations récentes, par exemple, "quand on voit comment ils sont entrés, on voit que nous avons encore des problèmes avec des éléments fondamentaux comme les mots de passe". Il est tout aussi inquiétant de constater que certains employés contournent tout simplement les politiques et les systèmes de leur entreprise. Dans un cas, une entreprise a trouvé son code affiché publiquement - les développeurs avaient utilisé leurs ordinateurs personnels et des services en nuage pour contourner les canaux officiels.
Un programme d'essai et d'adaptation est nécessaire pour sensibiliser les employés et les amener à respecter les règles. Comme l'a décrit un participant : "Dans notre propre expérience au sein d'une banque, nous nous sommes fortement concentrés sur la formation, avec une formation annuelle rigoureuse et des tests. La banque envoie des courriels de test, etc., pour voir si les employés sont suffisamment sensibilisés pour cliquer sur les liens ou non. Nous regroupons ensuite les résultats pour évaluer le niveau de sensibilisation. Si le niveau de sensibilisation est faible, nous organisons une formation supplémentaire. Pour les organisations qui travaillent sur les comportements, mettre en place des protocoles de formation pour les équipes qui travaillent sur des données sensibles, c'est très tangible".
De nombreuses entreprises se sentent vulnérables. Elles constatent que l'IA "est intégrée dans tous les processus opérationnels, mais personne ne sait si son IA est sécurisée". Un participant à l'atelier a indiqué que, selon KPMG, seuls 56 % des PDG canadiens pensent être préparés aux cyberattaques et 93 % craignent que l'IA générative ne les rende plus vulnérables aux violations. Nous abordons l'IA avec beaucoup, beaucoup de prudence", a déclaré un autre participant. "Chaque cas d'utilisation est soigneusement évalué, testé et soumis à un examen de sécurité avant d'être accepté.
Seuls 56 % des PDG canadiens pensent être préparés aux cyberattaques et 93 % craignent que l'IA générative ne les rende plus vulnérables aux violations.
KPMG
Les fonctions de contrôle des entreprises et les équipes d'audit devront comprendre et atténuer les risques liés à l'IA, de sorte que l'expertise en matière d'IA doit être intégrée à ces équipes. "Lorsque je considère l'ensemble de l'écosystème de l'entreprise en changeant tous les pieds sur la table", a déclaré un participant, "il est clair que la direction a besoin d'une expertise en matière d'IA."
Pour être efficaces, les entreprises doivent "s'assurer que le conseil d'administration et la direction générale créent l'oxygène nécessaire au travail sur l'IA", a déclaré un participant. Cet engagement des dirigeants sera nécessaire "pour obtenir l'adhésion de l'ensemble de l'organisation afin de s'engager dans une direction d'une manière dont on n'a pas l'habitude de se comporter auparavant".
L'extension de l'infrastructure de cybersécurité nécessitera des ressources importantes (les besoins en calcul pour la cybersécurité augmentent de 4,2 fois par an, a indiqué un participant) et des efforts soutenus.
Les modèles linguistiques de grande taille sont difficiles à évaluer et complexes à gérer, de sorte qu'il est difficile de les surveiller. Comme l'a indiqué un participant : "Tous les fournisseurs intègrent l'IA dans leurs produits, de sorte que l'invisibilité est massive. Il y a encore beaucoup de risques qui découlent de cela".
La tâche de vérification et de réglementation des modèles dépasse les capacités d'une seule entreprise. Les participants ont proposé la création d'un organisme indépendant chargé de cette tâche. "Nous avons besoin de plus de normalisation, de plus d'application des normes, de plus de certification indépendante de la qualité. Dans notre cas, il est hors de question de déployer l'IA sans certification dans des systèmes réels", a commenté l'un d'entre eux.
Le potentiel des systèmes d'IA améliorés pour soutenir les défenses de cybersécurité et atténuer les risques est évident. "Avec une connexion en langage naturel à un système réel, les modèles d'IA peuvent examiner la surface d'attaque globale, qui est assez vaste, apprendre des corrélations à partir d'attaques réussies, isoler les attaques les plus probables et corriger le système pour les empêcher. Cela présente une grande valeur ajoutée".
Mais les modèles d'IA doivent être basés sur des données riches, comme des exemples d'attaques réussies. "Il y a une pénurie de bons exemples à partir desquels s'entraîner", a déclaré un participant. Les simulations d'attaques de robots peuvent être moins coûteuses à tester et ces données peuvent ensuite être utilisées pour former la prochaine génération de systèmes de cybersécurité.
Bien que l'émergence de l'IA générative pose clairement des défis importants, les participants à l'atelier ont suggéré que, grâce aux approches décrites ci-dessus, les entreprises seront en mesure de mettre en place une défense efficace et stratifiée.