En termes de battage médiatique, rien n’est plus chaud que l’IA en ce moment ; la blockchain a quelques faiblesses, le métavers ne chante pas dans cette partie du multivers, et même le big data semble petit. En tant que PDG d’une société de cybersécurité de premier plan, on me pose quotidiennement des questions sur l’IA et sur ce qu’elle signifie pour la sécurité des données.
Comme la plupart des nouvelles technologies, l’IA générative présente à la fois des opportunités et des risques. L’IA stimule déjà la productivité en agissant comme un assistant virtuel pour les employés. Du point de vue des risques, cependant, il y a deux dimensions à prendre en compte : les risques auto-infligés et les risques externes.
Le risque auto-infligé se produira lorsque les employés d’une organisation commenceront à utiliser l’IA pour suggérer du contenu, soit par le biais d’une requête, soit dans le contexte de
ce qu’ils sont en train de créer. À moins que les données ne soient verrouillées, il n’y a pas grand-chose pour empêcher l’IA d’analyser votre patrimoine de données et de révéler votre feuille de route secrète, vos informations financières ou d’autres données précieuses à toutes les mauvaises personnes.
Pour limiter ce risque, Microsoft recommande de sécuriser les données sensibles avant de déployer son assistant d’IA, Copilot. L’une des mesures suggérées est de « s’assurer que votre organisation a mis en place les contrôles et les politiques d’accès à l’information adéquats ».
Malheureusement, la mise en place des bons contrôles d’accès et des bonnes politiques s’avère bien plus difficile que ne le pensent la plupart des organisations. La situation ne fera que s’aggraver à mesure que l’IA augmentera les données que nous créons et que nous devons protéger.
Sans les bons contrôles en place, l’IA ne saura pas qui doit voir quoi. Les organisations seront exposées, tout comme elles le sont lorsqu’elles activent des plateformes de recherche d’entreprise avant de verrouiller les choses – mais en bien pire. Dans ce cas, les employés n’auront même pas besoin de chercher le contenu qu’ils veulent voler ou regarder en cachette ; l’IA se fera un plaisir de l’exposer pour eux.
Comment les attaquants tirent parti de l’IA et de l’aversion pour les métadonnées
Le risque externe continuera d’augmenter à mesure que les attaquants apprendront à utiliser l’IA. Malheureusement, ils ont déjà commencé. WormGPT et FraudGPT utilisent de grands modèles de langage (LLM) pour aider les attaquants à créer des courriels d’hameçonnage convaincants et à les traduire dans d’autres langues.
Ils prétendent avoir volé des données à des entreprises pour renforcer leur réputation d’attaquants compétents ou pour inciter ces entreprises à payer une rançon. L’IA générative pourrait augmenter le volume de données et rendre plus difficile la distinction entre une brèche réelle et une brèche fictive.
Des chercheurs ont déjà utilisé l’IA pour créer des logiciels malveillants à titre de preuve de concept, et nous devrions nous attendre à voir des logiciels malveillants générés par l’IA dans la nature. Malheureusement, l’utilisation de l’IA continuera à abaisser les barrières à l’entrée pour toutes sortes de cyber-vilenies.
Il ne s’agit là que de quelques-uns des risques que présente l’IA et, au rythme où cette technologie progresse, il y en aura encore beaucoup d’autres. Bientôt, l’IA générative pourrait concevoir elle-même de nouvelles cybermenaces.
Les cyberdéfenseurs bénéficieront d’un coup de pouce de l’IA
Heureusement, l’IA offre également d’énormes possibilités en matière de cybersécurité.
‘IA est excellente pour reconnaître les schémas. En analysant les bons éléments, l’IA et l’apprentissage automatique peuvent fournir des informations sur les vulnérabilités et les comportements indésirables. Associée à l’automatisation, l’IA sera en mesure de s’occuper des tâches de routine, ce qui laissera plus de temps aux humains pour s’occuper des tâches qui requièrent leur précieuse attention.
Lorsqu’une intervention humaine est nécessaire, l’IA aidera les cyberdéfenseurs à être plus efficaces en leur fournissant des informations et en accélérant les enquêtes. Ces utilisations de l’IA sont imminentes, et beaucoup d’autres se profilent à l’horizon. Par exemple, l’IA générative pourrait créer des masses de données synthétiques qui serviraient d’appât aux attaquants, ce qui empêcherait les malfaiteurs de savoir s’ils ont volé quelque chose de précieux, tout en donnant aux défenseurs et aux technologies sur lesquelles ils s’appuient davantage d’occasions d’attraper les cyber-escrocs dans leurs filets.
Préparer les organisations à l’IA
1. Effectuer une évaluation des risques liés aux données afin d’identifier les données sensibles et trop accessibles avant qu’elles ne soient mises en évidence par l’IA « amicale » ou par l’IA « inamicale » dirigée par un attaquant. Vos données donnent de la valeur à l’IA, et c’est ce que vous devez protéger. Les entreprises ne savent pas suffisamment où sont stockées leurs données importantes, ni qui peut les utiliser et qui les utilise.
2. Verrouillez vos données, en particulier vos données critiques. Une fois qu’une organisation peut voir les risques liés à ses données au cours d’une évaluation, elle trouve presque toujours des données critiques qui sont beaucoup trop accessibles, au mauvais endroit, et utilisées ou inutilisées de manière surprenante. Vos employés et partenaires ne doivent avoir accès qu’aux informations dont ils ont besoin pour faire leur travail, rien de plus.
3. Surveillez vos données. Nous ne savons pas quelles nouvelles techniques d’IA les attaquants utiliseront, mais nous savons à quoi elles serviront : à voler vos données. Il n’a jamais été aussi important de surveiller la façon dont les humains et les applications utilisent les données afin de détecter toute activité indésirable. Les sociétés de cartes de crédit et les banques surveillent les transactions financières depuis des années pour détecter les délits financiers, et toute personne possédant des données précieuses devrait surveiller ses transactions de données pour détecter les délits liés aux données.
Alors que certaines nouvelles technologies à la mode atteignent leur apogée et tombent en désuétude, il est presque certain que l’IA survivra à l’engouement qu’elle suscite. Si vos données ne sont pas verrouillées, l’IA (amicale ou non) pourrait rendre une violation de données plus probable. Pour autant que nous le sachions, même l’IA ne peut pas réparer une violation de données, alors protégez d’abord vos données pour vous assurer que l’IA travaille pour vous plutôt que contre vous.