Les RSSI doivent miser sur la montée en puissance de l'IA
Face à l'utilisation croissante de l'intelligence artificielle (IA), les responsables de la sécurité des systèmes d'information (RSSI) jouent un rôle essentiel dans sa mise en oeuvre et son adoption.
Pour cela, ils doivent anticiper les risques liés à la création de contenu par l'IA et les menaces de sécurité que les attaquants font peser sur l'IA.
En suivant quelques bonnes pratiques, nous serons mieux préparés à accueillir en toute sécurité les nouveaux maîtres des lieux que sont les robots dans l'entreprise !
L'IA avance à toute vitesse !
La popularité de ChatGPT a suscité un intérêt massif quant au potentiel de l'IA générative. De nombreuses entreprises la testent à l'échelle de leur organisation. Actuellement, l'IA connaît une croissance exponentielle et son évolution dépasse de loin celle de toutes les autres technologies que j'ai pu observer.
L'intégration de l'intelligence artificielle générative au sein de l'entreprise offre plusieurs cas d'utilisation convaincants :
? La création de contenu : des outils tels que ChatGPT offrent aux créateurs de contenu la possibilité de générer des idées et de permettre aux personnes et aux équipes de gagner du temps et de réduire leurs efforts.
? L'apprentissage et l'éducation : avec une configuration appropriée, les outils d'IA peuvent être utilisés pour mieux comprendre des sujets nouveaux et complexes. Ils sont capables de résumer de vastes quantités d'informations, de répondre à des questions et d'expliquer des concepts compliqués de manière simple et accessible.
? L'aide au codage : des outils tels que GitHub Copilot et API Service de OpenAI peuvent aider les développeurs à améliorer l'efficacité de leur code et à identifier les erreurs dans les requêtes.
? Le soutien aux produits et aux opérations : les outils de l'IA peuvent être utilisés pour préparer de manière plus efficace des rapports et des messages courants tels que les résolutions de bogues.
Lire aussi : L'IA et l'IA générative devraient transformer la cybersécurité de la plupart des organisations
Problèmes et défis
Il reste cependant des défis à relever, notamment celui de savoir si recourir à l'IA est susceptible d'enfreindre les lois et les réglementations en vigueur sur les marchés internationaux.
Au début de l'année, OpenAI a temporairement limité l'accès à ChatGPT en Italie en réponse à des allégations de collecte illégale de données d'utilisateurs émanant de l'autorité italienne de protection des données. Parallèlement, les autorités de régulation allemandes étudient la conformité de ChatGPT avec le Règlement général sur la protection des données (RGPD) européen.
En mai dernier, le Parlement européen a accompli une étape significative en vue de l'établissement des premières règles concernant l'utilisation de l'intelligence artificielle. Autre défi important: les problèmes liés à la collecte de données et à la divulgation accidentelle d'informations personnelles ou confidentielles. Les entreprises doivent protéger leurs informations confidentielles et s'assurer de ne pas plagier d'autres entreprises ou individus qui utilisent les mêmes outils qu'elles.
Nous avons déjà vu des rapports faisant état de propriété intellectuelle introduite dans des systèmes publics d'IA générative, lesquels pourraient avoir un impact sur la capacité d'une entreprise à défendre ses brevets. Un service de transcription et de prise de notes alimenté par l'IA fait des copies de tous les documents présentés lors des appels Zoom qu'il surveille.
Troisième défi majeur : les logiciels de cyberattaque alimentés par l'IA pourraient tenter plusieurs approches possibles, tirer des leçons de la façon dont nous réagissons à chacune d'entre elles et ajuster rapidement leurs tactiques pour élaborer une stratégie optimale, le tout à une vitesse bien supérieure à celle de n'importe quel humain.
Nous avons observé l'émergence de nouvelles attaques de phishing sophistiquées, exploitant l'IA pour usurper l'identité d'individus, que ce soit à l'écrit ou à l'oral. Par exemple, un outil d'IA appelé PassGAN, abréviation de Password Generative Adversarial Network, s'est avéré capable de déchiffrer les mots de passe plus rapidement et plus efficacement que les méthodes traditionnelles.
Les RSSI et l'IA
Les responsables de la sécurité des systèmes d'information (RSSI) jouent un rôle essentiel car ils aident les dirigeants à élaborer une stratégie organisationnelle globale qui propose des recommandations d'utilisation de la technologie, tout en prenant en compte les aspects juridiques, éthiques et opérationnels.
Lorsqu'elle est utilisée de manière responsable et qu'elle est encadrée par des dispositifs de gouvernance adéquats, l'intelligence artificielle générative offre aux entreprises divers avantages, allant de l'automatisation des processus aux solutions d'optimisation.
Créer une stratégie complète d'IA
De nouvelles technologies, telles que l'IA générative, sont synonymes d'opportunités. Mais elles ne sont pas sans risques. Une stratégie globale d'IA protège la vie privée, la sécurité et la conformité, et doit prendre en compte les éléments suivants :
? Les cas d'utilisation où l'IA peut être la plus bénéfique.
? Les ressources nécessaires pour appliquer l'IA avec succès.
? Un cadre de gouvernance pour gérer la sécurité des données des clients et garantir la conformité avec les réglementations et les lois sur les droits d'auteur dans tous les pays où vous exercez vos activités.
? Évaluer les répercussions de la mise en oeuvre de l'IA sur les employés et les clients.
Une fois que l'entreprise a évalué et priorisé les cas d'utilisation de l'IA générative, il convient d'établir un cadre de gouvernance pour les services d'IA tels que ChatGPT. Les éléments de ce cadre incluent la mise en place de règles pour la collecte et la conservation des données.
Des politiques doivent être créées pour atténuer le risque de partialité, anticiper les façons dont les systèmes peuvent être utilisés de manière abusive et atténuer les dommages qu'ils peuvent causer s'ils sont utilisés de manière inappropriée.
Dans sa stratégie en matière d'IA, l'entreprise doit aussi prévoir la façon dont les changements induits par l'automatisation de l'IA affecteront les employés et les clients. Grâce à des formations destinées aux employés, tout le monde peut comprendre comment ces nouvelles technologies modifient les processus quotidiens et comment les acteurs de la menace peuvent commencer à les utiliser pour accroître l'efficacité de leurs attaques d'ingénierie sociale.
Les équipes responsables de l'expérience client devraient examiner attentivement l'impact potentiel des changements liés à la mise en oeuvre de l'IA sur la prestation des services à la clientèle, afin de pouvoir s'ajuster en conséquence.
IA et sécurité
Il est indispensable de mettre en place un processus pour établir et maintenir des normes de sécurité rigoureuses en matière d'IA. Vous avez besoin de garde-fous spécifiques au fonctionnement de l'IA, par exemple le service d'IA dont elle extrait le contenu et ce qu'elle fait des informations que vous lui transmettez.
Les outils d'intelligence artificielle doivent être développés en tenant compte de la résistance aux attaques adverses. C'est ce que l'on observe actuellement en laboratoire pour améliorer la formation, mais le faire dans le monde « réel », contre un ennemi inconnu, doit être une priorité, en particulier dans les scénarios militaires et d'infrastructures essentielles.
Avec des attaquants qui lorgnent sur l'IA, tout entreprise doit dès à présent organiser et préparer sa défense. Voici quelques pratiques à respecter :
1 > Veiller à analyser le code des logiciels pour détecter les bogues, les malwares et les comportements anormaux. Les scans de signature se limitent à détecter ce qui est déjà connu, tandis que ces nouvelles attaques exploiteront des techniques et des outils inconnus.
2 > Pour surveiller les journaux, il convient d'utiliser l'IA pour lutter contre l'IA. L'analyse des journaux de sécurité par apprentissage automatique (ML) est un excellent moyen de rechercher des modèles et des anomalies. Il peut intégrer un nombre infini de variables pour rechercher et produire des données prédictives qui, à leur tour, permettent de prendre des mesures adaptées.
3 > Veiller à actualiser la formation en cybersécurité afin d'intégrer les nouvelles menaces, notamment le phishing basé sur l'IA, et adapter les politiques de cybersécurité pour contrer les nouveaux outils de déchiffrement de mots de passe qui se servent de l'IA.
4 > Rester vigilant quant aux nouvelles utilisations de l'IA, notamment l'IA générative, afin de prendre de l'avance sur les risques émergents.
Ces mesures sont essentielles pour gagner la confiance des employés, partenaires et clients et leur permettre d'avoir l'assurance que leurs données sont correctement protégées. Pour maintenir leur compétitivité, les entreprises doivent ainsi absolument intégrer la technologie de l'IA, à condition de se prémunir contre les risques éventuels. En instaurant ces mesures, elles peuvent exploiter pleinement les avantages de l'IA tout en minimisant leur vulnérabilité face aux risques potentiels.
Arnaud Lemaire, Expert en cybersécurité - F5.
Sur le même thème
Voir tous les articles Cybersécurité