L’IA à l’agenda des RSSI

Les 5 et 6 décembre 2023, le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) a tenu son congrès annuel avec un thème d’actualité : « La cyberdéfense à la vitesse de l’IA ». Aux plénières avec des experts plutôt académiques se sont ajoutés les traditionnels huit ateliers de réflexion pour les 170 membres présents de l’association professionnelle des RSSI. L’intelligence artificielle n’est évidemment pas une nouveauté pour les spécialistes de la cybersécurité : cette technologie est depuis longtemps utilisée, notamment pour toutes les applications de supervision à base de logs pour une automatisation des tâches répétitives. « Dès qu’il y a une grande quantité de données, un système est éligible à utiliser de l’IA » a ainsi rappelé Alain Bouillé, délégué général du CESIN. Ce qui est finalement nouveau et qui inquiète les adhérents du CESIN, c’est l’usage de l’IA par les criminels, comme l’a d’ailleurs craint également le Général Marc Boget dans nos colonnes. 

D’abord, l’IA peut être un facteur de fragilité face aux cybercriminels. En effet, les projets d’IA se multiplient dans de nombreux secteurs. Le but est une autonomie de la machine. Si cette IA est cyber-attaquée, elle peut prendre des décisions erronées très préjudiciables. L’attaque peut prendre la forme d’un empoisonnement de son apprentissage automatique (machine learning poisoning). Mylène Jarossay, présidente du CESIN, a précisé « Nous observons une déferlante de projets métiers s’appuyant sur l’IA et de nouvelles pratiques autour de l’IA générative. Les équipes cyber comptent bien également profiter de l’IA pour affûter leurs capacités de défense. Ce sont de grandes opportunités qui se dessinent dans les entreprises et les équipes cyber doivent très vite construire la gouvernance et le cadre technique nécessaires pour accompagner et sécuriser ces projets tout en s’emparant de cette évolution technologique pour leurs propres performances. »

L’IA, de victime à complice

Mais l’IA peut également être directement mise au service des cyber-attaquants. Alain Bouillé a ainsi craint : « les attaquants ont généralement un train d’avance sur les défenseurs et il faut donc toujours tenter de rattraper ce retard. » L’IAG peut ainsi permettre de construire des mails de phishing mieux conçus, davantage ciblés et personnalisés. Et, comme le Général Marc Boget l’anticipe aussi, les arnaques au président pourront être rendues peu détectable grâce à de la fabrication de messages vocaux voire vidéos en mode deep fake. Finalement, l’IA peut rendre plus efficaces les attaques classiques. Heureusement, pour l’heure, c’est encore un sujet de recherche et aucune évidence d’usage d’IA n’a pu être relevée. Ceci dit, il demeure impossible de savoir si un phishing a été conçu avec ou sans intelligence articificielle. « On peut cependant le supputer » a considéré Alain Bouillé.

Comment les RSSI/CISO doivent-ils réagir face à cette menace renouvelée ? Pour Alain Bouillé, il y a plusieurs familles de mesures à prendre. D’abord, les RSSI doivent s’intéresser au marché afin de connaître les offres des éditeurs pour faire face aux nouvelles menaces. Cela dit, les RSSI vont aussi bénéficier de l’IA pour encore mieux automatiser la cyber-surveillance. L’IA peut aussi être utilisée pour détecter les comportements inhabituels, incohérents (connexion à partir de deux pays différents au même moment par exemple, ce qui est rarement bien fait en entreprises) ou dangereux. L’IA peut être une source de fragilités ou de fuites de données (notamment le Shadow AI mais aussi l’IAG générant un code informatique mal sécurisé). Enfin, les RSSI doivent protéger les IA fonctionnant dans leurs entreprises avec plus encore de soins que les autres applications car elles sont soumises à davantage de risques.