L’IA générative et la cybersécurité : entre risques et opportunités

L’IA générative et la cybersécurité : entre risques et opportunités

L'IA générative a donné naissance à une nouvelle génération de cybermenaces. Les pirates ont plus de possibilités d'exploiter les vulnérabilités et plus de moyens d'exécuter leurs campagnes malveillantes.

Heureusement, l'inverse est également vrai : L'IA générative peut renforcer la défense des entreprises. À court terme, l'IA générative accélérera les processus de sécurité qui étaient autrefois très lourds. En analysant de grandes quantités de données et en reconnaissant les schémas et les anomalies, l'IA générative peut repérer les menaces dès qu'elles se matérialisent.

Les acteurs malveillants ajoutant de nouvelles astuces à leur répertoire, les équipes de cybersécurité devront agir rapidement pour ne pas se laisser distancer. Dans ce jeu du chat et de la souris, la vigilance sera la clé pour gérer les vulnérabilités et garder une longueur d'avance.

I. L'IA générative ouvre la voie à un monde de nouveaux risques et de nouvelles menaces

A. L'IA générative a doté les cyberattaquants d'un tout nouvel arsenal.

Les pirates ne se contentent plus d'usurper des courriels : aujourd'hui, ils peuvent imiter des voix, des visages et même des personnalités pour inciter leurs victimes à tomber dans leurs pièges. Et ce n'est que le début…

Avec la prolifération de l'IA générative au cours des six à douze prochains mois, les experts s'attendent à ce que les nouvelles attaques d'intrusion exploitent l'échelle, la vitesse, la sophistication et la précision, avec de nouvelles menaces constantes à l'horizon. Si l'on considère à la fois la probabilité et l'impact potentiel, les attaques autonomes lancées en masse représentent le risque le plus important. Toutefois, les dirigeants s'attendent à ce que les pirates qui se font passer pour des utilisateurs de confiance aient le plus grand impact sur l'entreprise, suivis de près par la création de codes malveillants.

La manière dont les organisations mettent en œuvre l'IA générative pourrait également introduire de nouveaux risques. En fait, 47 % des dirigeants craignent que l'adoption de l'IA générative dans les opérations ne conduise à de nouveaux types d'attaques ciblant leurs propres modèles, données ou services d'IA. Et presque tous les dirigeants (96 %) affirment que l'adoption de l'IA générative rend probable une atteinte à la sécurité dans leur organisation au cours des trois prochaines années.

Le coût moyen d'une violation de données atteignant 4,45 millions de dollars dans le monde - 9,48 millions de dollars aux États-Unis - les entreprises investissent massivement dans la gestion des nouveaux risques de cybersécurité. Les dirigeants déclarent que leurs budgets de cybersécurité liés à l'IA pour 2023 sont supérieurs de 51 % à ce qu'ils étaient en 2021. Et ils s'attendent à ce que ces budgets augmentent encore de 43 % d'ici 2025.

B. Traiter l'IA générative comme une plateforme critique et la sécuriser dès maintenant

Faire pression sur les responsables de la cybersécurité pour qu'ils agissent de toute urgence, en réagissant aux risques de l'IA générative comme s'il s'agissait d'un risque immédiat et non progressif.

  • Comprendre votre exposition à l'IA. Réunissez les responsables de la cybersécurité, de la technologie, des données et des opérations pour une discussion au niveau du conseil d'administration sur l'évolution des risques, y compris la façon dont l'IA générative peut être exploitée pour exposer des données sensibles et permettre un accès non autorisé aux systèmes. Mettez tout le monde au courant de l'émergence de l'IA "adverse" - des changements presque imperceptibles introduits dans un ensemble de données de base qui provoquent des résultats malveillants.
  • Sécuriser l'ensemble du pipeline de l'IA. Concentrez-vous sur la sécurisation et le chiffrement des données utilisées pour former et ajuster les modèles d'IA. Recherchez en permanence les vulnérabilités, les logiciels malveillants et la corruption pendant le développement du modèle, et surveillez les attaques spécifiques à l'IA (par exemple, l'empoisonnement des données et le vol de modèle) après le déploiement du modèle.
  • Investir dans de nouvelles défenses spécialement conçues pour sécuriser l'IA. Si les contrôles de sécurité et l'expertise existants peuvent être étendus pour sécuriser l'infrastructure et les données qui soutiennent les systèmes d'IA, la détection et l'arrêt des attaques adverses contre les modèles d'IA requièrent de nouvelles méthodes.

II. L'IA générative fiable n'est pas possible sans données sécurisées

A. Les données sont l'élément vital de l'IA générative.

Tous les modèles s'appuient sur des données pour répondre aux requêtes et fournir des informations, ce qui explique pourquoi les données d'entraînement sont devenues une cible pour les cyberattaques. Si les pirates veulent toujours voler des données pour les vendre au plus offrant, l'infiltration des données offre une nouvelle voie pour les gains mal acquis. S'ils peuvent modifier les données qui alimentent le modèle d'IA générative d'une organisation, ils peuvent influencer les décisions de l'entreprise par une manipulation ciblée ou une désinformation. Cette menace évolutive introduit toute une série de nouvelles préoccupations en matière de droit, de sécurité et de confidentialité que les PDG devront gérer à l'échelle de l'entreprise.

Les dirigeants voient clair dans leur jeu. En adoptant l'IA générative, ils s'attendent à ce qu'une grande variété de risques se matérialise, 84 % d'entre eux s'inquiétant d'attaques généralisées ou catastrophiques en matière de cybersécurité qui pourraient introduire de nouvelles vulnérabilités. Un dirigeant sur trois affirme que ces risques ne peuvent être gérés sans des formes de gouvernance fondamentalement nouvelles, telles que des cadres réglementaires complets et des audits par des tiers indépendants.

Dans l'ensemble, 94 % des dirigeants affirment qu'il est important de sécuriser les solutions d'IA avant leur déploiement. Pourtant, seuls 24 % de leurs projets d'IA générative incluront une composante de cybersécurité au cours des six prochains mois, et 69 % affirment que l'innovation prime sur la cybersécurité pour l'IA générative.

Cela montre un décalage flagrant entre la compréhension des besoins en cybersécurité de l'IA générative et la mise en œuvre de mesures de cybersécurité. Pour éviter des conséquences coûteuses - et inutiles -, les PDG doivent s'attaquer de front aux problèmes de cybersécurité et de provenance des données en investissant dans des mesures de protection des données, telles que le chiffrement et l'anonymisation, ainsi que dans des systèmes de suivi et de provenance des données qui peuvent mieux protéger l'intégrité des données utilisées dans les modèles d'IA générative.

B. Faire des données fiables l'épine dorsale de votre organisation.

Faites évoluer vos pratiques de cybersécurité pour prendre en compte les exigences de multiples modèles d'IA générative et services de données.

  • Intégrer la confiance et la sécurité dans l'utilisation de l'IA. Donnez la priorité aux politiques et contrôles de données axés sur la sécurité, la confidentialité, la gouvernance et la conformité. Expliquez que la transparence et la responsabilité sont essentielles pour éviter les préjugés, les hallucinations et d'autres problèmes tout en gérant les risques.
  • Protéger les données qui alimentent l'IA. Chargez votre RSSI de découvrir et de classer les données sensibles utilisées pour l'entraînement ou le réglage fin et mettez en œuvre des techniques de prévention des pertes de données pour empêcher les fuites de données par le biais de messages-guides. Appliquez des politiques et des contrôles d'accès aux ensembles de données d'apprentissage automatique. Étendre la modélisation des menaces pour couvrir les menaces spécifiques à l'IA générative, comme l'empoisonnement des données et les sorties contenant des données sensibles ou un contenu inapproprié.
  • Traiter la cybersécurité comme un produit. Et les parties prenantes comme des clients. La cybersécurité a un rôle essentiel à jouer dans la sécurisation des initiatives d'IA qui généreront des revenus. Pour sécuriser l'IA que vous utilisez dans vos produits, informez vos équipes sur les menaces de cybersécurité qui accompagnent l'IA générative. Soulignez l'intérêt de modifier les comportements pour améliorer l'hygiène des données et de la sécurité. Encouragez l'adoption en alignant les résultats de la cybersécurité sur les résultats de l'entreprise.

III. L'utilisation de l'IA générative pour la cybersécurité est un multiplicateur de force

A. Appliquée à la cybersécurité, l'IA générative peut être un accélérateur de business.

Elle peut automatiser les tâches répétitives et chronophages, libérant ainsi les équipes pour qu'elles se concentrent sur les aspects plus complexes et stratégiques de la sécurité. Elle peut également détecter et étudier les menaces et tirer des enseignements des incidents passés pour adapter les stratégies de réponse de l'organisation en temps réel.

Avec autant d'avantages, les PDG sont poussés à introduire l'IA générative rapidement et à grande échelle. Mais pour éviter l'effondrement d'un château de cartes alimenté par la croissance, il est impératif que les chefs d'entreprise utilisent également la technologie pour renforcer la résilience. De cette manière, les dirigeants ne se contentent pas d'éviter les risques de l'IA générative, ils l'utilisent également pour rendre leur organisation plus forte.

Plus de la moitié des dirigeants (52 %) affirment qu'elle les aidera à mieux répartir les ressources, les capacités, les talents ou les compétences, et 92 % disent qu'ils sont plus susceptibles d'augmenter ou d'élever que de remplacer leur personnel de cybersécurité à mesure qu'ils adoptent l'IA générative.

Ces nouveaux outils technologiques peuvent aider les équipes à réduire la complexité et à se concentrer sur ce qui compte le plus, ce qui explique peut-être pourquoi 84 % des dirigeants prévoient de donner la priorité aux solutions de cybersécurité par IA générative plutôt qu'aux solutions de cybersécurité conventionnelles.

Et l'utilisation de l'IA générative dans la cybersécurité peut étendre l'effet multiplicateur à l'ensemble de l'écosystème de votre entreprise. 84 % des dirigeants déclarent que l'innovation ouverte et les écosystèmes sont importants pour leur stratégie de croissance future. Alors que ces dirigeants cherchent à établir des relations qui soutiennent l'innovation et la croissance, la plupart d'entre eux s'attendent à ce que les capacités de l'IA générative influencent leur sélection de partenaires d'écosystème dans le cloud (59 %) et dans l'ensemble de l'entreprise (62 %) au cours des deux prochaines années.

À mesure que l'IA générative continue de mûrir, son potentiel pour apporter de la valeur tout en atténuant les risques ne fera que croître. Les entreprises qui ont développé des capacités étendues en matière de risque et de résilience seront en mesure d'aller plus loin et plus rapidement avec cette nouvelle technologie - et seront mieux positionnées pour défendre la croissance future.

B. Réorienter les investissements en cybersécurité autour de la vitesse et de l'échelle.

  • Faire de l'IA un outil essentiel pour renforcer les défenses de sécurité. Encouragez les responsables de la cybersécurité à intégrer l'IA générative et l'automatisation dans leurs boîtes à outils afin de résoudre les risques et les incidents de sécurité rapidement et à grande échelle. Cela permettra de réaliser d'importants gains de productivité et de faire de la cybersécurité un catalyseur de la croissance de l'entreprise.
  • Utiliser l'IA pour accélérer les résultats en matière de sécurité. Automatisez les tâches de routine qui ne requièrent pas d'expertise ou de jugement humain. Utilisez l'IA générative pour rationaliser les tâches qui reposent sur la collaboration entre l'homme et la technologie, telles que l'élaboration de politiques de sécurité, la recherche de menaces et la réponse aux incidents.
  • Déployez l'IA pour détecter les nouvelles menaces. Mettez à jour les outils et les techniques pour doter vos équipes de la même vitesse, de la même échelle, de la même précision et de la même sophistication que vos attaquants. Utilisez l'IA générative pour identifier plus rapidement les modèles et les anomalies, ce qui permet aux équipes de reconnaître les nouveaux vecteurs de menace avant qu'ils ne perturbent l'activité.

L'union fait la force. Travaillez avec des partenaires de confiance pour vous aider à définir votre maturité en matière de sécurité de l'IA et à mettre en œuvre une stratégie d'IA générative complète qui génère de la valeur dans l'ensemble de votre organisation.


Luc Marta de Andrade

Président chez NXU Think Tank

1 ans

Très bel article qui positionne bien la problématique Cyber / IA Générative. Bravo

Identifiez-vous pour afficher ou ajouter un commentaire

Autres pages consultées

Explorer les sujets