L'IA est ici : comment les entreprises peuvent-elles préserver leur sécurité ?
Les outils d'IA générative tels que ChatGPT (et ses homologues, Bing AI et Google Bard, parmi d'innombrables autres) se sont récemment généralisés, à un rythme incroyable et sans précédent. Pratiquement du jour au lendemain, ces outils et la myriade de scénarios d'utilisation associés ont fait les gros titres de l'actualité mondiale.
Compte tenu des possibilités et des opportunités infinies qu'offre l'IA, il ne fait aucun doute qu'elle révolutionnera l'activité des entreprises dans notre monde numérique hyperconnecté. À eux seuls, les États-Unis ont annoncé avoir l'intention d'investir 140 millions de dollars pour fonder sept centres de recherche dédiés à l'intelligence artificielle.
Nous ne voyons actuellement que la pointe de l'iceberg en ce qui concerne la révolution de l'IA, dont l'influence est comparable à l'invention de l'Internet, des smartphones et du cloud.
Cela dit, les progrès rapides accomplis par cette nouvelle technologie ont élevé les enjeux pour les entreprises qui aspirent à battre le fer tant qu'il est chaud et à tirer parti de ces innovations pour soutenir leur développement. Au-delà de ses avantages, l'IA comporte également des défis et des risques, car des acteurs malintentionnés utilisent également l'IA pour accomplir des tâches malveillantes. L'IA ne connaît aucune limite, notamment au regard d'utilisations douteuses telles que l'écriture de code permettant d'identifier et d'exploiter les systèmes vulnérables, la génération d'e-mails de phishing adaptés aux victimes et même la mise en scène de « deepfakes » de dirigeants dans des scénarios trompeurs.
Dans ce contexte, les entreprises doivent rester vigilantes et renforcer leurs cyberdéfenses à mesure qu'elles adoptent l'IA dans le cadre de leurs activités. Si de nombreux gouvernements ont mis en place des garanties et des infrastructures visant à réguler l'adoption de l'IA, les entreprises doivent se montrer proactives en se préparant à d'éventuelles cyberattaques exécutées par une IA.
Préserver la sécurité des systèmes, des données et des réseaux
Voici trois moyens pour les entreprises de sécuriser leur infrastructure et leurs ressources:
1. Améliorer les compétences grâce à l'IA
Plutôt que de craindre l'IA ou de s'efforcer de répondre à chaque menace offensive basée sur l'IA par une contre-mesure utilisant également l'IA, les entreprises peuvent au contraire employer l'IA pour améliorer les compétences et les capacités de leurs équipes de cybersécurité.
Cette démarche est particulièrement importante dans le domaine de la cybersécurité, encore confronté à des pénuries de talents qualifiés. Au niveau mondial, le déficit de main-d'œuvre dans le domaine de la cybersécurité s'élève à 3,4 millions de personnes, et tandis que les entreprises poursuivent leur numérisation, la demande de rôles spécialisés dans la cybersécurité ne cessera d'augmenter. Grâce à l'IA, les entreprises débutant dans ce domaine peuvent bénéficier d'une aide à l'automatisation des tâches manuelles et routinières, tandis que les ingénieurs en sécurité de haut niveau peuvent bénéficier de fonctionnalités de codage et de création de scripts plus puissantes.
2. Configurer des couches supplémentaires de protection des e-mails
Les e-mails restent le premier point d'entrée des cyberattaques. L'IA permet aux acteurs malveillants d'affiner encore leurs tactiques d'ingénierie sociale et de phishing, en rendant ces e-mails hyperréalistes et extrêmement crédibles.
Il est impératif que les équipes de sécurité apprennent à leurs collaborateurs à mieux identifier ces attaques par phishing, afin qu'ils n'en soient pas eux-mêmes victimes en permettant à un acteur malveillant de pénétrer le réseau de l'entreprise. Cette approche nécessite des formations régulières, des sessions de remise à niveau et la mise à disposition d'une plateforme permettant au personnel de signaler toute activité suspecte dans le cadre de ses activités quotidiennes.
Même dans ce cas, toutefois, l'erreur humaine reste inévitable.Sur le plan technique, les entreprises peuvent protéger leur personnel en déployant des outils avancés de sécurité des e-mails. Ces outils vont au-delà des fonctionnalités de filtrage mises en œuvre par les services de messagerie et peuvent bloquer de manière plus exhaustive les attaques émanant de différents vecteurs, même lorsque les messages proviennent d'expéditeurs ou de domaines « de confiance ».
3. Évoluer vers une stratégie de cybersécurité solide et complète
Au-delà des e-mails de phishing, l'IA présente des risques potentiels pour les données et les applications des entreprises, d'autant plus que son utilisation toujours plus répandue entraîne une plus grande exposition aux attaques comportant plusieurs facettes. Par exemple, les applications accessibles depuis Internet et utilisées par le personnel sont particulièrement vulnérables aux attaques lancées par des bots et par l'IA.
Les entreprises doivent aller au-delà de la protection des réseaux reposant sur un modèle périmétrique traditionnel, semblable à un château entouré de douves, et doivent plutôt s'intéresser à l'endroit où résident les données et à la façon dont les utilisateurs et les applications accèdent à celles-ci. Cela exige que les entreprises adoptent une stratégie de cybersécurité plus robuste et plus complète, ce qu'elles peuvent faire en adoptant une architecture Zero Trust. Avec un modèle de sécurité Zero Trust, les entreprises appliquent des contrôles d'accès stricts et ne font confiance à aucun utilisateur, même ceux qui se trouvent déjà à l'intérieur du périmètre du réseau. Cette politique évite ainsi que des acteurs malveillants ne puissent accéder librement aux données et aux applications d'une entreprise, même s'ils parviennent à pénétrer la couche réseau initiale.
À mesure que l'utilisation de l'IA par le personnel devient plus fréquente, les entreprises seraient également bien inspirées de mettre en œuvre des politiques d'utilisation acceptable, des contrôles techniques et des mesures de prévention des pertes de données. Ces dispositions contribueront fortement à la protection du personnel et de l'entreprise.
Bien qu'elle n'en soit qu'à ses balbutiements, l'IA générative a le potentiel de se développer à pas de géant au cours des années à venir. Les professionnels de la cybersécurité doivent conserver un esprit de curiosité et expérimenter avec ces outils afin de mieux comprendre les scénarios d'utilisation correspondants et d'être en mesure de réagir à d'éventuelles utilisations malveillantes.
L'adoption de l'IA ne fait que débuter, et ses avantages infinis l'emportent sur les menaces potentielles qu'elle comporte. Toutefois, il est important que les entreprises sachent comment utiliser ces technologies en toute sécurité.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Cet article a été initialement rédigé pour The Edge
Auteur
John Engates – @jengates
Technology Officer, Cloudflare
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
Les nouveaux défis de sécurité que présentent les outils basés sur l'IA
3 façons de sécuriser votre entreprise tout en autorisant l'utilisation de l'IA