IA et cyber-résilience : nouveaux champs d’expression de l’imagination
Suite à l’incendie qui a causé la mort de l’équipage d’Apollo 1 en 1967, une commission d’enquête du Congrès américain a été réunie pour discuter des causes de cette tragédie et des mesures à prendre pour éviter qu’elle se reproduise. Appelé à témoigner, Frank Borman, un astronaute très respecté à l’époque, s’est vu poser la question suivante : « Qu’est-ce qui a provoqué l’incendie ? »
Au lieu d’entrer dans des détails techniques nébuleux, il s’est contenté de répondre laconiquement : « Une panne d’imagination. »
Le message que je souhaite adresser à tous mes homologues du monde de la cybersécurité, et à leur hiérarchie, est donc le suivant : notre cyber-résilience, à savoir notre capacité à nous remettre immédiatement et complètement d’une cyberattaque avec un minimum d’impact sur nos opérations, n’a jamais semblé aussi fragile qu’aujourd’hui. Pour la préserver, nous allons donc devoir repousser les limites de l’imagination En nous inspirant de ce qui est à la fois un risque et une opportunité pour nous tous : l’intelligence artificielle (IA).
Un risque, car l’IA est devenue une composante intégrale de la force offensive de cybercriminels en tout genre – des groupes étatiques aux acteurs internes, en passant par les hackers solitaires. Hormis leur propre détermination, cette technologie est sans doute l’arme la plus puissante de leur arsenal. Une opportunité, car l’IA est également notre plus grande chance de garder une longueur d’avance sur ces attaquants, à condition de faire preuve d’imagination.
Les menaces pour notre résilience
Il y a deux ans, j’ai écrit un article sur la cybersécurité dans l’ère de l’après-Covid. À l’époque, nous n’étions pas encore officiellement sortis de la pandémie, mais je soulignais déjà la nécessité pour les RSSI et les DSI de mettre en place certaines stratégies pour renforcer leur cybersécurité et leur cyber-résilience sans plus attendre. Pourquoi ? Parce que nous ne sommes pas à l’abri d’une autre pandémie. Et cette fois-ci, nous devrons être prêts. Car si nous avons fait preuve d’une excellente capacité d’adaptation au moment des confinements, les cybercriminels aussi.
Puis ce fut au tour de l’IA générative d’entrer en scène.
Il y a quelques années à peine, les cybercriminels recouraient à des e-mails de phishing relativement simplistes pour déclencher des rootkits dénichés le plus souvent sur le dark web. Aujourd’hui, ils ont à leur disposition des outils d’IA générative autrement plus sophistiqués et accessibles, notamment ChatGPT. Finis les e-mails bourrés de fautes d’orthographe, de grammaire et de syntaxe. Grâce à ChatGPT, n’importe qui peut désormais rédiger très facilement des e-mails on ne peut plus crédibles.
La résilience de nos démocraties a été régulièrement mise à l’épreuve ces dernières années. Et elles le seront encore en 2024, mais à la puissance dix. Je veux bien-sûr parler des échéances électorales, et pas uniquement de la présidentielle aux États-Unis. En 2024, les citoyens de plus de 60 pays à travers le monde seront appelés aux urnes. De quoi aiguiser l’appétit des organes d’influence et de leurs bataillons de soldats du Net qui n’attendent qu’une chose : semer la discorde au sein des populations par la désinformation, les deepfakes et les messages jouant sur les peurs et les préjugés des électeurs.
Enfin, que dire des ransomwares pilotés par IA qui visent les acteurs des services financiers ? Malgré un impressionnant arsenal défensif, les banques et autres dépositaires de fonds et de données sensibles restent confrontés à des attaquants passés maîtres dans l’art de manier les algorithmes IA et ML.
Les mesures à prendre
En tant que RSSI, dirigeants d’entreprise et leaders du secteur de la cybersécurité, c’est à nous qu’il incombe de veiller au bon fonctionnement de nos systèmes et à la sécurité de nos données. Pour ce faire, nous devons définir une base de référence en matière de cyber-résilience.
Une chose est sûre : nous devons être capables de bloquer les attaques les plus sophistiquées sans qu’un seul être humain n’ait à intervenir. Je ne suis pas en train de vous dire que nous n’aurons plus besoin d’analystes et autres têtes pensantes de la cybersécurité, bien au contraire. Mais nous devons nous défaire de l’idée selon laquelle l’IA n’est digne de confiance que lorsqu’elle fait l’objet d’un contrôle rapproché de l’humain. Nous devons apprendre à faire confiance aux modèles d’intelligence artificielle. Ainsi, si l’IA nous signale un problème au niveau d’un pare-feu, nous devons l’accepter comme tel et chercher à bloquer immédiatement l’attaque en gestation. Pas le temps de trier manuellement les alertes pour savoir s’il s’agit d’une attaque réelle ou d’un faux positif. Chaque seconde perdue peut nous conduire à la catastrophe. Nous pouvons, et nous devons, enrichir et entraîner les modèles IA. Mais en tant qu’humains, nous ne pouvons plus être un frein à son action. Notre objectif doit être de répondre aux menaces en quasi-temps réel. Et sans l’IA, une telle ambition restera lettre morte.
Nous devons également repenser notre approche de la gestion des risques métier. Je ne parle pas uniquement des enjeux actuels : expansion de la surface d’attaque, prolifération des données, généralisation du travail hybride, gestion de supply chains tentaculaires, durcissement des régimes réglementaires, entre autres. Car dans tous ces domaines, l’équation va devenir de plus en plus complexe d’année en année. Et c’est maintenant qu’il faut y penser.
Autre élément à remettre à plat : nos frameworks de sécurité. Pas seulement les technologies et processus, mais bien l’intégralité des stratégies sur lesquelles reposent notre cybersécurité et notre cyber-résilience. À nous de mettre en place des indicateurs innovants pour évaluer l’efficacité des mesures de sécurité déployées. Car comment convaincre notre Comex et notre conseil d’administration de l’efficacité de notre action si nous n’en sommes nous-mêmes pas sûrs ?
Enfin, nous devons accélérer, automatiser, optimiser et contextualiser davantage notre réponse aux menaces. Faut-il considérer chaque attaque potentielle comme une menace directe à la survie de l’entreprise ? Faut-il traiter toutes les alertes sur un pied d’égalité ? À l’évidence, non.
L’IA redéfinit les codes de la sécurité
Le meilleur moyen de comprendre ce que l’IA peut apporter à nos adversaires et à nos clients, c’est de se l’approprier soi-même. Chez Palo Alto Networks, l’IA fait partie intégrante de nos produits depuis plus de dix ans. En tant que partenaire cybersécurité de confiance, mais aussi en tant que cible privilégiée des cybercriminels, nous considérons l’IA comme un atout considérable, et ce pour plusieurs raisons.
Cette technologie nous permet, à nous comme à nos clients, de renforcer l’efficacité de nos équipes de sécurité dans un monde où les menaces évoluent à un rythme effréné. Elle aide également les entreprises à bloquer les attaques les plus sophistiquées sans aucune intervention humaine.
Pour ce faire, les entreprises doivent :
- Collecter et gérer les bonnes données. En matière de données, quantité n’est pas toujours synonyme de qualité. Pour réellement placer l’IA au service de votre cybersécurité, il vous faut des données pertinentes et adaptées au contexte.
- Adopter une approche plateforme. Là encore, multiplier les outils technologiques disparates n’est pas la solution. Ces outils doivent être conçus et déployés pour une parfaite interopérabilité, dans un souci d’efficacité, d’intelligence et de réactivité.
- Libérer la puissance de l’expertise. Cette expertise doit allier intelligence humaine et intelligence artificielle. Si les avantages de l’IA sont de plus en plus évidents aux yeux des RSSI, DSI et autres dirigeants côté métiers, la composante humaine reste essentielle. Grâce à l’automatisation des tâches répétitives et chronophages, nos équipes compétentes et dévouées sont en mesure de se consacrer à des activités qui semblaient jusque-là inimaginables.
Autre élément à remettre à plat : nos frameworks de sécurité. Pas seulement les technologies et processus, mais bien l’intégralité des stratégies sur lesquelles reposent notre cybersécurité et notre cyber-résilience. À nous de mettre en place des indicateurs innovants pour évaluer l’efficacité des mesures de sécurité déployées. Car comment convaincre notre Comex et notre conseil d’administration de l’efficacité de notre action si nous n’en sommes nous-mêmes pas sûrs ?
Enfin, nous devons accélérer, automatiser, optimiser et contextualiser davantage notre réponse aux menaces. Faut-il considérer chaque attaque potentielle comme une menace directe à la survie de l’entreprise ? Faut-il traiter toutes les alertes sur un pied d’égalité ? À l’évidence, non.
Avis à tous les dirigeants : six étapes pour placer l’IA au service de la cyber-résilience
Je m’attache toujours à donner à mes équipes et collaborateurs des moyens concrets de résoudre les problèmes et de saisir toutes les opportunités. En ce sens, j’ai tendance à poser une question qui peut parfois déranger : « D’accord, mais concrètement ? ».
Dans cet article, j’essaie de placer dans son contexte un problème qui nous touche tous, à toute heure du jour et de la nuit, tout en avançant les raisons pour lesquelles nous devons tous agir. Mais si je veux être logique avec moi-même, je vais conclure par la question « D’accord, mais concrètement ? » et avancer une méthode en 6 étapes pour placer l’IA au service de notre cyber-résilience.
Étape 1 : Dressez une liste de tous les risques internes liés à l’IA. C’est probablement dans ce domaine que vous allez devoir déployer des trésors d’imagination, mais c’est aussi là que vous avez le plus à gagner en termes de cyber-résilience. Pour dresser un inventaire complet de tous les risques internes liés à l’IA, il est essentiel d’établir une méthodologie précise et d’obtenir l’adhésion de l’ensemble de votre équipe. En partant du principe que vous tous, chers lecteurs, utilisez déjà les grands modèles de langage (LLM), comment faites-vous pour empêcher l’accès des LLM publics à votre code source ?
Étape 2 : Vous devez connaître les tenants et aboutissants des données liées à l’IA. Savez-vous quels outils ou plugins de navigateurs utilisent l’IA ? Êtes-vous au courant que Grammarly utilise l’IA pour lire les e-mails ? Voilà des questions bien concrètes qui ne doivent pas rester sans réponse.
Étape 3 : Dressez un registre externe des risques liés à l’IA. Demandez-vous notamment où sont enregistrées les synthèses par IA de vos réunions Zoom, ou si votre chatbot RH a accès aux salaires ou aux données de santé de vos collaborateurs. Si vous n’avez pas la réponse à ces questions, je vous conseille de la trouver, et vite.
Étape 4 : Répertoriez tous les services IA que votre entreprise devrait et ne devrait pas utiliser. Créer cette base de données est un bon départ, mais il est essentiel de la tenir à jour. Après tout, il ne s’agit pas d’un inventaire statique, bien au contraire.
Étape 5 : Élaborez une politique IA transverse à toute votre entreprise. Pour tous les bricoleurs du dimanche, considérez l’IA comme une tronçonneuse. C’est un outil très pratique mais qui peut s’avérer particulièrement dangereux si l’on ne s’en sert pas correctement. Chaque collaborateur de votre entreprise doit savoir ce qu’il est autorisé et interdit de faire avec l’IA, et pourquoi.
Étape 6 : Choisissez un partenaire de cybersécurité de confiance. La valeur de vos outils se mesure à celle des partenaires technologiques qui les ont créés. Comme je l’évoquais plus haut, vous avez tout intérêt à déployer une plateforme pilotée par IA dans une triple optique : simplicité, intégration et scalabilité.
Le conseil adressé par Frank Borman à la communauté spatiale américaine il y a plus de 50 ans a fait son chemin. Suite à la catastrophe, la NASA a complètement repensé sa définition et sa stratégie du risque, ainsi que les outils, systèmes et principes sur lesquels elle s’appuyait pour prévenir et éliminer les accidents.
Aujourd’hui, nous pouvons nous inspirer de cet exemple en utilisant l’IA de manière stratégique et innovante afin de gagner en cyber-résilience et de lutter contre des cybercriminels de plus en plus inventifs et organisés, et ce à l’heure même où les enjeux n’ont jamais été aussi élevés.
Espérons simplement qu’il ne faudra pas en arriver à une tragédie de l’ampleur de celle d’Apollo 1 pour nous forcer à repousser les limites de notre imagination.