Comment protéger votre entreprise dans le monde de ChatGPT
L'intelligence artificielle (IA) pourrait changer la donne autant que l'ont fait Internet, les smartphones et l'informatique cloud. Il ne fait aucun doute que l'émergence d'outils tels que ChatGPT et GitHub CoPilot ouvrira la voie à de nouvelles possibilités autant qu'à de nouvelles difficultés pour les entreprises. Le développement rapide et lourd de conséquences de l'intelligence artificielle soulève des enjeux pour ceux qui cherchent à exploiter cette technologie de manière responsable tout en se préparant à l'incidence que pourrait supposer l'adoption de l'IA par des cybercriminels. Avec l'arrivée d'une technologie capable d'écrire du code permettant d'identifier et d'exploiter des systèmes vulnérables, de générer des e-mails de phishing très personnalisés ou encore d'imiter les voix des cadres responsables dans le but d'autoriser des transactions frauduleuses, il est impératif que les organisations procèdent à une nouvelle évaluation du risque auquel elles sont exposées concernant l'IA et qu'elles envisagent des stratégies défensives et offensives contre piratage.
Voici trois stratégies de premier plan conseillées aux responsables de l'informatique et de la sécurité lors de l'évaluation de leur niveau de cybersécurité à l'heure de l'IA :
1. Combattre l'IA par l'IA
Certaines personnes craignent le pire avec l'IA et imaginent un avenir dans lequel une machine dotée de la somme de toutes les connaissances deviendrait une super-arme menaçant l'humanité dans le cadre d'une « course aux armes à intelligence artificielle ». Cette description est assez exagérée et la réalité de l'IA est beaucoup moins redoutable.
Il ne fait aucun doute que des acteurs malveillants auront recours à des outils d'IA à des fins préjudiciables. Toutefois, les outils d'intelligence artificielle sont généralement limités à du code basique et des protections sont prévues pour empêcher la rédaction d'un code véritablement malveillant.
Soulignons le côté positif de l'IA, elle apporte de quoi renforcer les compétences des équipes de sécurité et augmenter leurs capacités, notamment dans le domaine de la cybersécurité qui souffre actuellement d'un manque de professionnels qualifiés. Avec les outils de l'IA, les analystes débutants peuvent être accompagnés dans leurs tâches quotidiennes et les ingénieurs en sécurité verront leurs capacités en codage et en rédaction de script s'enrichir.
C'est par l'investissement dans les outils d'intelligence artificielle et la formation d'experts de haut niveau que s'obtiendra la réussite, plutôt qu'en se contentant d'opposer une contremesure par IA à chaque menace offensive par IA.
2. Protection des e-mails
C'est dans nos boîtes de réception que commencent la plupart des cyberattaques. Des acteurs malveillants envoient des e-mails frauduleux et appliquent des stratégies de phishing et d'ingénierie sociale pour récupérer des données d'identification qui leur permettront de s'introduire dans l'organisation. Grâce aux récents progrès permis par l'IA, ces e-mails vont devenir de plus en plus sophistiqués et réalistes, et l'intégration de chatbots alimentés par l'IA dans les boîtes à outils d'ingénierie sociale va amplifier l'étendue et la portée de ces attaques.
Les professionnels de la cybersécurité doivent prendre conscience du potentiel des attaques par ingénierie sociale et phishing alimentées par l'IA afin d'habituer les utilisateurs à les détecter et à y répondre. Il est impératif de continuer à former les utilisateurs à l'identification des attaques par phishing, de leur fournir une plateforme pour le signalement rapide des activités suspectes et d'intégrer leur participation à la stratégie globale de cyberdéfense.
Cependant, l'erreur humaine est inévitable et pour protéger les utilisateurs du piratage, nous devons pouvoir compter sur des défenses techniques également. Malheureusement, les outils de filtrage basique des principaux services de courrier électronique suffisent rarement. Les entreprises doivent chercher des outils de sécurité des e-mails avancés pour bloquer de manière plus exhaustive les attaques émanant de différents vecteurs, même lorsque les messages proviennent d'expéditeurs ou de domaines « de confiance ».
3. Protection des données
Le phishing et la récupération des données d'identification ne sont souvent que les premières étapes d'une attaque, ils ne représentent pas le tableau dans son ensemble. Lors d'une réflexion sur les risques posés par l'IA pour les données et les applications d'une entreprise, il est important d'avoir conscience de la nature multiple des attaques potentielles.
Les organisations doivent aller plus loin que la protection des réseaux avec un périmètre traditionnel du style « château entouré de douves » et doivent plutôt s'intéresser à l'emplacement des données et à la façon dont les utilisateurs et les applications y accèdent. Pour de nombreuses entreprises, cela passe par l'adoption d'une architecture Zero Trust avec une solution SASE (Secure Access Service Edge) étayée par une authentification multifacteur (MFA) résistant au phishing.
Les applications et API en contact avec Internet sont vulnérables à différents types d'attaques, y compris celles menées par des bots ou d'autres attaques dirigées par l'IA. Ces applications doivent être protégées selon des méthodes appropriées telles que le chiffrement, un pare-feu applicatif web (WAF), la validation des entrées et la limitation du débit dans le but d'atténuer les attaques des bots ou les futures attaques par l'IA.
Lorsque les entreprises s'équipent d'outils d'IA, elles doivent veiller à ce que leurs utilisateurs en fassent usage correctement, sans provoquer de fuite des données de l'entreprise. Certaines entreprises telles que JPMorgan Chase ont fait le choix de restreindre l'usage de ChapGPT par les collaborateurs. Sans aller si loin, les entreprises doivent a minima mettre en place des politiques d'usage acceptable, des contrôles techniques et des mesures de prévention des pertes de données afin d'atténuer les risques.
La voie à suivre
Il est primordial que les professionnels de la cybersécurité conservent un esprit de curiosité et qu'ils fassent l'expérience des outils d'IA afin d'en comprendre mieux les utilisations potentielles, que ce soit à des fins honnêtes ou malveillantes. Pour garantir une protection contre les attaques, les organisations doivent chercher des façons d'enrichir leurs propres capacités ; que ce soit à l'aide de ChatGPT ou en explorant les outils et plateformes de cybersécurité qui ont accès à de grands volumes de données et qui exploitent les informations sur les menaces dans des axes de défense variés.
En conclusion, les entreprises doivent mettre en œuvre des mesures de sécurité complètes qui évoluent à mesure que le monde change. Si l'IA est apparue comme une menace potentielle, la technologie peut également en tirer des bénéfices considérables, à condition de savoir s'en servir en toute sécurité.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Cet article a été initialement rédigé pour Security Boulevard
Points clés
Cet article vous permettra de comprendre les points suivants :
Les conséquences potentielles de l'adoption de l'IA par les cybercriminels
Comment évaluer le risque lié à l'IA sous l'angle de stratégies défensives et offensives.
3 éléments clés à prendre en compte pour l'évaluation du niveau de sécurité à l'heure de l'intelligence artificielle