L’intelligence artificielle montre déjà son potentiel pour transformer pratiquement tous les aspects de la sécurité… pour le meilleur comme pour le pire.

L’IA illustre parfaitement la proverbiale épée à double tranchant : un outil formidable pour créer de robustes cyberdéfenses, mais aussi une arme redoutable pour mettre celles-ci à bas.

Pourquoi la sécurité basée sur l’IA ou cyber IA est-elle importante ?

Les entreprises doivent à la fois comprendre les promesses de l’IA en cybersécurité et les problèmes sous-jacents. L’omniprésence de toutes les formes d’IA dans les entreprises du monde entier les force à s’interroger. Le sujet inquiète, car les acteurs malveillants s’en sont déjà saisis.

D'après McKinsey, un peu partout dans le monde et dans presque tous les secteurs, les entreprises ont massivement adopté l'IA – jusqu’ à 72 % s’en servent en 2024, contre environ 50 % les années précédentes. Mais leur complexité et leur énorme consommation font des systèmes IA une cible de choix pour les cyberattaques. Par exemple, des pirates peuvent discrètement manipuler les données d’entrée des systèmes IA afin de produire des résultats faux ou préjudiciables.

Une IA compromise peut avoir des conséquences catastrophiques : fuites de données, pertes financières, atteinte à la réputation et même blessures corporelles. Les possibilités d’utilisation abusive sont immenses, ce qui souligne l’impérieuse nécessité de mettre en place de robustes mesures de sécurité. 

Selon une étude du World Economic Forum près de la moitié des dirigeants s'inquiète surtout de l’augmentation du niveau de risque des menaces comme l’hameçonnage qu’amène l’IA.
Le rapport d’Ivanti « Rapport 2024 sur la cybersecurité » confirme ces inquiétudes.

Malgré ces risques, le même rapport d’Ivanti montre que les professionnels IT et de sécurité sont majoritairement optimistes quant à l’impact de la cybersécurité basée sur l’IA. Près de la moitié (46 %) pensent que c’est un net avantage, tandis que 44 % pensent que son impact ne sera ni positif ni négatif.

En savoir plus : « État de la cybersécurité en 2024 : Points d'inflexion »

Cybermenaces IA potentielles

L’IA introduit de nouveaux vecteurs d’attaque qui exigent des défenses spécifiques. Citons-en quelques-uns :

  • Piratage de sites : les travaux de recherche montrent que le grand modèle de langage (LLM) OpenAI peut être utilisé comme agent de piratage pour attaquer des sites Web en autonomie. Les cyberescrocs n’ont besoin d’aucune compétence technique, il leur suffit de savoir écrire des instructions à l’IA pour qu’elle se charge « du sale travail ».
  • Empoisonnement de données : les pirates peuvent manipuler les données d’entraînement des modèles d’IA pour fausser leur fonctionnement. Ils peuvent ainsi injecter de faux points de données qui guident le modèle dans l’apprentissage de schémas incorrects ou qui donnent la priorité à des menaces inexistantes, ou encore qui modifient subtilement les points de données existants pour orienter le modèle d’IA vers des résultats favorables à l’attaquant.
  • Techniques d’évitement : l’IA peut servir à développer des techniques pour passer sous le radar des systèmes de sécurité, par exemple en créant des e-mails ou des malwares perçus comme inoffensifs par les humains, mais qui exploitent des vulnérabilités ou contournent les filtres de sécurité.
  • Ingénierie sociale sophistiquée : comme elle sait analyser de gros volumes de données, l’IA peut définir des cibles selon des critères, comme un historique de comportements vulnérables ou une tendance à tomber dans certains pièges. Elle peut alors automatiser et personnaliser une attaque grâce à des informations grappillées sur les réseaux sociaux ou des interactions précédentes, qui lui feront gagner en crédibilité et aideront à mieux tromper le destinataire. En outre, l’IA générative peut rédiger des messages d’hameçonnage sans faute de grammaire ni d’usage, d’apparence légitime.
  • Attaques par déni de service (DDoS) : l’IA peut servir à orchestrer des attaques DDoS à grande échelle, plus difficiles à parer. En analysant les configurations réseau, elle peut en détecter les vulnérabilités et gérer plus efficacement les botnets pour noyer un système sous le trafic.
  • Deepfakes : l’IA peut imiter de manière très convaincante l’apparence ou la voix de quelqu’un, ce qui ouvre la voie à des attaques par usurpation d’identité. Elle peut par exemple prendre la voix d’un haut dirigeant pour piéger ses collaborateurs et leur faire virer de l’argent sur des comptes frauduleux, partager des informations sensibles comme des mots de passe ou des codes d’accès, ou approuver des factures ou des transactions non autorisées. Si une entreprise utilise la reconnaissance vocale dans ses systèmes de sécurité, un deepfake bien conçu peut tromper ces garde-fous et ouvrir l’accès à des zones ou des données sécurisées. Une entreprise de Hong Kong s’est fait voler 26 millions de dollars par ce moyen.

L’une des menaces à bas bruit de l’IA est la complaisance. La dépendance excessive aux systèmes d’IA peut conduire à un relâchement dans leur surveillance et leur mise à jour. Pour protéger une entreprise des problèmes d’IA, la surveillance continue et la formation comptent parmi les mesures clés, et ce, que l’IA soit déployée pour la cybersécurité ou d’autres opérations. S’assurer que l’IA fonctionne au mieux des intérêts de l’entreprise exige une vigilance constante.

Voir : L'IA générative pour les équipes InfoSec et les pirates : ce que les équipes de sécurité doivent savoir.

Avantages de la cyber IA

Les solutions de cybersécurité intégrant l’IA bénéficient surtout aux entreprises sur les points suivants :

Une meilleure détection des menaces

L’IA excelle à identifier les schémas au sein d’énormes volumes de données afin d’y détecter les anomalies symptomatiques d’une attaque, avec une précision inédite. Là où des analystes humains seraient dépassés par le volume des données ou des alertes, l’IA détecte et répond en amont.

Meilleure réponse aux incidents

L’IA est capable d’automatiser les tâches de réponse aux incidents de routine. Elle réduit ainsi les délais de réponse et évite l’erreur humaine. En analysant l’historique, l’IA peut aussi prédire les vecteurs d’attaque potentiels pour que l’entreprise puisse renforcer ses défenses.

Évaluation et hiérarchisation des risques

L’IA peut évaluer le niveau de sécurité d’une entreprise, en identifiant les vulnérabilités et en priorisant les efforts de remédiation en fonction du niveau de risque. Cela permet d’optimiser l’allocation des ressources et de se concentrer sur les points critiques. 

Remarques sur la sécurité des différents types d'IA

Les problèmes de sécurité associés à la CyberIA varient en fonction du type d'IA déployée.

En cas de déploiement d’une IA générative, il faut protéger en priorité les données d’entraînement, afin d’empêcher l’empoisonnement du modèle et de protéger les secrets commerciaux et industriels.

Dans le cas d’une IA faible, au périmètre limité comme les chatbots de support client, les systèmes de recommandation (comme celui de Netflix), les logiciels de reconnaissance d’images, et les robots de chaîne de montage ou chirurgicaux, l’entreprise doit donner la priorité à la sécurité des données, à la robustesse aux attaques adverses ou par exemples contradictoires et à l’explicabilité.

Une IA autonome forte, aussi appelée « AGI » ou « intelligence artificielle générale », est une projection et n’existe pas encore. Mais si elle se concrétise un jour, les entreprises devront se concentrer sur la protection des mécanismes de contrôle et la gestion des risques existentiels et éthiques.

Voir : Comment transformer l'ITSM avec l'IA générative

Derniers développements en cyber IA

L’évolution rapide de l’IA entraîne des progrès correspondants dans ses applications en cybersécurité, notamment ::

  • Modélisation des menaces de l'IA générative : les outils de cybersécurité intégrant l’IA peuvent simuler des scénarios d’attaque qui aident les entreprises à repérer et à corriger en amont les vulnérabilités.
  • Chasse aux menaces assistée par IA : l’IA peut analyser le trafic réseau et les journaux système pour y détecter les activités malveillantes et les menaces potentielles.
  • Réponse automatique aux incidents : les solutions de cybersécurité avec IA peuvent automatiser les tâches de routine de réponse aux incidents, comme l’isolement des systèmes infectés et la contention des menaces.
  • IA pour l'évaluation des vulnérabilités : l’IA peut analyser le code logiciel pour y détecter d’éventuelles vulnérabilités et permettre aux développeurs de créer des applications plus sécurisées.

Formation à la cyber IA

Investir dans la formation à la cybersécurité intégrant l’IA est indispensable pour apprendre à vos équipes à utiliser ces outils. De nombreuses plateformes en ligne et universités proposent des cours sur les différents aspects de la sécurité IA, des connaissances de base aux sujets les plus avancés.

Les grands fournisseurs en cybersécurité proposent un large éventail de cours et de formations pour faire monter votre équipe en compétences afin qu’elle tire le meilleur parti de votre plateforme.

Meilleures pratiques de cyber IA

Mettre l’IA en action pour la cybersécurité passe par une stratégie globale.

1. Définir des stratégies de gouvernance et de confidentialité des données

Dès le tout début du processus d’adoption, mettez en place des stratégies robustes de gouvernance des données couvrant l’anonymisation des données, le chiffrement, etc. Impliquez toutes les parties prenantes.

2. Imposer la transparence de l’IA

Développez ou utilisez sous licence des modèles d’IA capables d’expliquer clairement leurs décisions, au lieu d’utiliser des boîtes noires. Ainsi, les professionnels de la sécurité pourront comprendre comment l’IA arrive à ses conclusions et identifier les biais ou erreurs potentiels. Ces modèles transparents sont issus d’outils Fiddler AI, DarwinAI, H2O.ai et IBM Watson comme AI Fairness 360 et AI Explainability 360.

3. Insister sur une gestion rigoureuse des données

  • Les modèles d’IA dépendent de la qualité des données qui servent à leur entraînement. Veillez à utiliser des données diverses, exactes et à jour pour que votre IA puisse apprendre et identifier les menaces efficacement.
  • Imposez des mesures de sécurité robustes pour protéger les données d’entraînement et de fonctionnement du modèle d’IA, car certaines informations sont sensibles. Une faille pourrait exposer celles-ci, compromettre l’efficacité de l’IA ou introduire des vulnérabilités.
  • Prêtez attention aux biais possibles dans vos données d’entraînement. Un préjugé peut conduire l’IA à prioriser certains types de menaces ou à en ignorer d’autres. Surveillez et corrigez régulièrement les biais pour garantir que votre IA prend des décisions objectives.

En savoir plus : De l'importance d'avoir des données exactes pour tirer le meilleur parti de l'IA

4. Fournir aux modèles d'IA un entraînement par exemples contradictoires

Au cours de la phase d’entraînement, exposez vos modèles d’IA à des entrées malveillantes pour qu’ils reconnaissent et contrent les attaques contradictoires comme l’empoisonnement des données.

5. Implémenter une surveillance en continu

  • Mettez en place des systèmes de surveillance constante et de détection permanente des menaces pour identifier les biais et la dégradation des performances.
  • Utilisez des systèmes de détection des anomalies pour identifier tout comportement inhabituel dans vos modèles d’IA ou dans les flux de trafic réseau, afin de repérer les attaques potentielles par IA, notamment les tentatives de manipulation des données ou d’exploitation des vulnérabilités.
  • Actualisez régulièrement l’entraînement de vos modèles de cybersécurité IA avec de nouvelles données, et mettez les algorithmes à jour pour assurer leur efficacité contre les menaces qui ne cessent d’évoluer.

6. Garder l’humain dans la boucle

L’IA n’est pas infaillible. Maintenez une supervision humaine, avec des professionnels de la sécurité qui vérifient et valident les résultats de l’IA pour repérer ses éventuels biais, les faux positifs ou les résultats manipulés que l’IA pourrait générer.

7. Organiser des tests et des audits réguliers

  • Contrôlez régulièrement vos modèles d’IA à la recherche de vulnérabilités. Comme n’importe quel logiciel, les produits de cybersécurité intégrant l’IA peuvent comporter des faiblesses, que les pirates pourraient exploiter. Il est indispensable de leur appliquer rapidement des correctifs.
  • Les modèles d’IA peuvent produire de faux positifs et signaler des menaces inexistantes. Adoptez des stratégies pour limiter les faux positifs et éviter de submerger les équipes de sécurité d’alertes inutiles.
  • Testez fréquemment vos modèles d’IA pour identifier les éventuelles faiblesses exploitables. Les tests d’intrusion spécialement conçus pour les systèmes intégrant l’IA sont précieux.

8. Établir un plan de réponse aux incidents

Créez un plan complet de réponse aux incidents pour gérer efficacement les incidents de sécurité liés à l’IA.

9. Insister sur la formation et la sensibilisation des collaborateurs

  • Informez vos collaborateurs des risques associés à l’IA, et des ressorts de l’ingénierie sociale utilisés pour les manipuler et leur faire compromettre les systèmes IA ou la sécurité des données.
  • Organisez des exercices de Red Team (équipe d’attaque) qui simulent des offensives basées sur l’IA afin de tester votre niveau de sécurité et de détecter les points faibles que des pirates pourraient exploiter.
  • Collaborez avec des experts du secteur et des chercheurs en sécurité pour garder un temps d’avance sur les dernières menaces à base d’IA et les meilleures pratiques permettant de les contrer.

10. Mettre en place une gestion des risques liés à l’IA chez les tiers

Évaluez soigneusement les pratiques de sécurité des tiers fournisseurs d’IA. Est-ce qu’ils partagent les données avec d’autres parties ou utilisent des jeux de données publics ? Est-ce qu’ils appliquent les principes de sécurité dès la conception Secure by Design ?

11. Autres meilleures pratiques

  • Intégrez votre solution d’IA dans des flux de renseignement sur les menaces pour qu’elle incorpore ces données en temps réel et garde un temps d’avance sur les nouveaux vecteurs d’attaque.
  • Vérifiez que votre solution d’IA est conforme aux normes et réglementations en vigueur dans votre domaine. Certains secteurs ont des obligations strictes. Par exemple, dans les secteurs de l’automobile ou de la fabrication, l’IA doit respecter les normes ISO 26262 de sécurité fonctionnelle automobile, le RGPD (Règlement général de protection des données) pour la confidentialité des données, et les consignes du NIST (National Institute of Standards and Technology). Dans le secteur de la santé, l’IA doit respecter les normes HIPAA (Health Insurance Portability and Accountability Act) aux États-Unis, le RGPD en Europe, et les réglementations de la FDA pour les dispositifs médicaux basés sur l’IA.
  • Suivez des mesures comme le taux de détection de menaces, les faux positifs et les délais de réponse. Vous connaîtrez ainsi l’efficacité de votre IA et les points à améliorer.

Trouver le bon équilibre pour réussir

Pour toutes les entreprises qui se lancent dans ces nouveaux territoires de la cybersécurité intégrant l’IA, la voie à suivre est une approche équilibrée. Exploitez les nombreux atouts de l’IA, mais restez vigilant quant à ses limitations et ses vulnérabilités potentielles.

Comme toute technologie, l’IA n’est ni bonne ni mauvaise par nature, mais elle est utilisée aussi bien par des acteurs honnêtes que d’autres, malhonnêtes. Considérez l’IA comme tout autre outil : sachez apprécier son aide, mais méfiez-vous de son potentiel de nuisance.

Lire : Position d'Ivanti concernant l'intelligence artificielle