« Il va falloir des spécialistes cyber dans les équipes d’IA et des spécialistes IA au sein des équipes cyber »
Au sein d’une palette de préoccupations impressionnante, l’IA va être pour les RSSI à la fois une opportunité et une source de nouveaux problèmes de fuite de données. Alain Bouillé, Délégué général du Cesin (Club des Experts de la Sécurité de l’Information & du Numérique), nous partage son regard sur la technologie et, notamment, vis-à-vis de l’engouement généré par Chat GPT.
Peut-on vraiment parler d’“intelligence” artificielle ?
Je dirais que c’est très mal nommé. On parle d’automatisation, de gestion massive de données, mais, pour moi, il vaut mieux parler de machine learning plutôt que d’intelligence artificielle. D’un côté, nous avions les plus sceptiques qui nous disaient que cela fait cinquante ans qu’on nous parle d’intelligence artificielle et qu’il ne lui manquait que la puissance machine pour activer le dispositif. D’un autre, nous avons Luc Julia, grand spécialiste de l’IA devant l’éternel et créateur de Siri, qui nous assène à longueur de livres que l’IA n’existe pas et que ça n’existera jamais. Ce qui n’est pas faux ! On le voit bien au niveau des voitures autonomes où il est quasi acté qu’elles ne pourront jamais exister faute de pouvoir se passer de réaction humaine face à l’imprévu. Pour répondre à votre question, on nous a vendu l’intelligence il y a pas mal d’années, notamment autour des SOC et des outils de détection, qui sont d’ailleurs essentiellement du machine learning, mais rien ne nous prouvait qu’il y en avait dedans.
Quelle est la place de l’IA en termes de cyberdéfense ?
Au niveau de la cyberdéfense, on va s’intéresser à ce sujet pour les questions de détection. Il y aura probablement un grand nombre de développements dans le futur, par exemple autour de tout ce qui touche à la gestion des habilitations qui brasse un grand nombre de données et est extrêmement complexe à gérer. Son corollaire, c’est l’IA au service des attaquants qui ne sont pas en reste sur son usage. On ne voit pas très bien encore les effets concrets, parce qu’il y a aussi chez eux une phase d’apprentissage et de construction d’outils malveillants. Il y en a peut-être déjà, mais il est difficile de faire le distinguo entre les attaques classiques et celles qui seraient à base d’IA. Mais on sait qu’il y a tout intérêt à déployer le parapluie parce que ça va nous tomber dessus sans aucun doute.
Quelles problématiques cela fait-il émerger ?
La première pour moi est une problématique RH. Je m’explique. Pour les entreprises qui se lancent dans des développements autour de ces technologies, on retombe dans des considérations similaires à ce que nous avons vécu avec le DevOps où, à l’époque, on avait en effet laissé les développeurs faire tout et n’importe quoi avant de se décider à injecter de la sécurité et voir apparaître le DevSecOps. Pour l’IA, il faudra des spécialistes férus de sécurité au service du développement autour de l’IA, et des spécialistes de l’IA dans les équipes de sécurité, que ce soit quant à la défense ou vis-à-vis des attaques, il y aura besoin de compétences. Il y a un fort impact RH, sans parler du grand sujet de l’usage par tout un chacun de ces outils. Aujourd’hui, personne n’empêche personne d’utiliser chatGPT pour rédiger sa note de service avec le risque de divulguer des informations qui ne sont pas destinées à être publiques. Il doit y avoir une régulation qui doit se mettre en marche des usages des IA génératives qui font fureur en ce moment. Aujourd’hui, après le RGPD, les avocats vendent des chartes sur l’usage d’IA génératives. Je ne sais pas si c’est la meilleure solution, mais cela permet d’avoir un recours juridique en cas d’incident. Ce qui ne l’empêche pas de survenir.
Sur l’aspect juridique, justement, que diriez-vous ?
Aujourd’hui on a déjà des “actes” en tous sens autour de ces sujets, sans rentrer dans des considérations trop philosophiques, mais tout ce qui touche à la protection des individus, des données personnelles, il y a un certain nombre de sujet qu’il va falloir réguler. Comme toute nouveauté, il va falloir se poser les bonnes questions d’un point de vue législatif pour savoir jusqu’où on va. Pour nous RSSI, derrière, il faut réfléchir à l’impact d’une régulation supplémentaire. Ce qui m’amène à un point important : le rôle du RSSI. Comment garder le lead ? Comment gouverner avec de l’IA à tous les étages ? Et à la place de l’humain dans tout ça ? Etc. Son rôle va évoluer drastiquement avec le devoir de gérer des choses aujourd’hui sur lesquelles on n’a pas été formés, on n’a pas nécessairement les bons outils, les bons talents dans l’équipe. C’est un peu la promesse de la conclusion de notre congrès à savoir que l’IA est un triptyque : éthique, explicabilité et confiance. Il faut pouvoir expliquer le résultat d’une IA, être irréprochable d’un point de vue éthique et que l’utilisateur final, en bout de chaîne, ait confiance.