Alain Bouillé, Délégué Général du CESIN
Texte garanti écrit par un être humain sans aide de ChatGPT
Depuis maintenant quelques années l’Intelligence Artificielle est redevenue un sujet prometteur pour notre monde de plus en plus digitalisé. Atteindre une intelligence de niveau humain n’est plus tout à fait une utopie.
Les blasés nous disaient que ce sujet n’était pas nouveau et, à juste titre, faisaient remonter les origines de l’IA aux années 50 voire aux années 40 pour les plus avisés avec l’apparition des premiers ordinateurs programmables. Cà n’est qu’à partir de 2010 et l’arrivée des données massives que les choses ont vraiment démarré. On se souvient de Watson d’IBM en 2011 et de Google X en 2012, tant moqués à l’époque car il fallait faire ingurgiter à la machine des millions de photos de chats pour lui apprendre à reconnaitre l’animal alors qu’il suffit à ma petite-fille de 18 mois d’en voir un seul pour savoir ce qu’est un chat pour toujours ! tout cela a ronronné (!) tranquillement pendant encore une décennie avec des annonces plus ou moins fracassantes tandis que détracteurs et transhumanistes s’affrontaient : on était pour ou on était contre, les courants de pensée ont tantôt aidé tantôt ralenti le développement d’une telle technologie à travers le temps.
Les fabricants de solutions et de services cyber n’ont pas été en reste : depuis plusieurs années, on annonce de l’IA partout : dans les SOC, dans les SIEMs, la CTI, etc… qui n’avait pas son offre boostée par l’IA ? Le problème, à l’instar d’une réplique de Michel Audiard à propos d’une publicité pour une liqueur célèbre apposée sur les vespasiennes parisiennes : « çà n’est pas parce que c’est écrit dessus qu’il y en a dedans !!! » Difficile en effet de savoir si, dans ces promesses, « il y avait bien de l’IA à l’intérieur ».
Comment faire face à l’irruption de ChatGPT
Mais c’était sans compter l’arrivée en trombe de ChatGPT fin 2022 avec la même vigueur et le même emballement que le métaverse quelque temps plus tôt. Devant le pschitt retentissant de cette dernière innovation où les projets se sont aussi vite arrêtés qu’ils avaient commencé, les plus prudents se sont dit qu’il était urgent d’attendre que l’effet ChatGPT retombe ! Mais devant ses performances souvent impressionnantes, l’IA est remontée au-dessus de la pile des préoccupations de beaucoup de monde et singulièrement des RSSI et des spécialistes cyber en général.
« L’IA est utilisée en mode shadow IT en entreprise depuis belle lurette »
Qu’elle soit utilisée au service de la défense ou par les attaquants, qu’elle fasse désormais partie des nouvelles stratégies de l’entreprise, le RSSI doit désormais composer avec ce nouveau paradigme. Comment faire face ? Faut-il modifier sa politique sécurité ? Quelles nouvelles compétences sont nécessaires au sein de l’équipe cyber ? Comment mieux l’utiliser au service de la cyber défense ? Quelles évolutions pour nos SOC, pour nos analyses de risques ? Telles sont les questions que peuvent légitimement se poser les spécialistes de la cyber.
Passons en revue les nouvelles problématiques
- L’IA au service de la défense : c’est probablement le secteur le plus avancé dans le domaine de la cyber. Nous savons que les cybermenaces sont de plus en plus sophistiquées et mettent en péril les données sensibles et les infrastructures critiques. Face à cette réalité, l’intelligence artificielle a émergé comme un allié indispensable. L’IA, avec sa capacité à analyser des données en temps réel et à identifier des schémas complexes, révolutionne le domaine de la cybersécurité. Les méthodes traditionnelles de défense basées sur des règles statiques ne suffisent plus à contrer les attaques de plus en plus dynamiques et élaborées. C’est ici que l’IA brille en offrant des capacités d’apprentissage automatique et de traitement du langage naturel, permettant aux systèmes de sécurité de s’adapter rapidement aux nouvelles menaces. L’un des domaines où l’IA se démarque depuis un moment déjà, est la détection des anomalies. Les algorithmes d’apprentissage automatique peuvent identifier des comportements anormaux sur les réseaux, signalant ainsi des activités potentiellement malveillantes avant qu’elles ne causent des dommages parfois importants. L’IA permet d’analyser d’énormes quantités de données provenant de multiples sources, ce qui facilite la détection de schémas d’attaques complexes et émergentes. Outre la détection, l’IA joue un rôle essentiel dans la prévention des cyberattaques. Les systèmes basés sur l’IA peuvent être utilisés pour renforcer les pare-feux, les antivirus et les systèmes de détection d’intrusion. Grâce à leur capacité à apprendre des comportements normaux des utilisateurs et du réseau, ces systèmes peuvent bloquer automatiquement les activités suspectes. Une autre utilisation précieuse de l’IA en cybersécurité réside dans la gestion des vulnérabilités. Les entreprises sont confrontées à un grand nombre de vulnérabilités potentielles dans leurs systèmes, ce qui rend difficile la priorisation des correctifs. L’IA peut analyser les risques et les impacts potentiels de chaque vulnérabilité pour aider les équipes de sécurité à prendre des décisions éclairées sur la manière d’appliquer les correctifs. En outre, l’IA améliore considérablement la capacité de réponse aux incidents de sécurité. Elle peut fournir une analyse rapide des incidents, pour permettre aux équipes de cybersécurité de prendre des mesures appropriées plus rapidement, minimisant ainsi les dégâts potentiels.
- L’IA au service des attaquants : c’est la grande interrogation du moment. Où en sont les cyberattaquants dans l’usage de l’IA ? Comment distinguer une attaque générée par ou à l’aide d’une IA d’une attaque classique ? Ce qui est certain c’est qu’il faut que les entreprises et surtout les fournisseurs de solutions de cyberdéfense se préparent à cette évolution inéluctable des cyberattaques.
- L’IA utilisée par les salariés en entreprise : en vérité il y belle lurette et bien avant ChatGPT que l’IA est utilisée en mode shadow IT en entreprise. N’avez-vous pas remarqué les progrès impressionnants de Google translate qui vous génère maintenant des traductions prêtes à l’emploi sans besoin de retouches « humaines ». N’y aurait-il pas un peu d’IA là-dedans ? En tous cas, vous avez aimé les fuites d’information avec Google Translate, vous allez adorer celles avec ChatGPT ! Du coup si beaucoup de RSSI fermaient les yeux sur la machine Google Translate à faire fuiter de l’information, ils n’échapperont pas à la surveillance des usages de ChatGPT surtout dans les secteurs manipulant de l’information sensible.
- L’IA au service des développeurs : avec le Devops puis le LowCode-NoCode, le RSSI avait déjà son lot de risques « développeurs » à gérer ! Avec ChatGPT et la génération automatique de code, la machine à backdoors introduites à « l’insu du plein gré » du développeur est en marche sans compter que personne ne garantit à date que le code généré par ChatGPT est sans failles ! Des grandes entreprises comme JPMorgan ou encore Apple ont purement et simplement interdit ces usages à leurs développeurs mais pour combien de temps ? Les sempiternelles pressions sur la performance et la productivité des équipes aura raison, il y a fort à parier, de ces interdictions. D’ici là on aura peut-être trouvé une IA pour contrôler la qualité du code généré !
- Les attaques sur l’IA : outre le fait qu’il a déjà été démontré qu’il était assez simple de rendre ChatGPT stupide : quelqu’un a par exemple demandé à ChatGPT la différence entre un œuf de bœuf et un œuf de poule, la réponse a été que les premiers étaient plus lourds et plus gros que les seconds ! Berner une IA semble encore chose aisée et pirater une IA mal conçue au sein d’une entreprise le sera plus encore sans parler des attaques par empoisonnement. Il faut donc s’armer à l’avenir pour protéger « ses » IA.
Il est donc crucial de rester vigilant. Ainsi, un équilibre doit être trouvé entre l’utilisation de l’IA pour renforcer la sécurité et la nécessité de mettre en place des mécanismes pour contrer les cybermenaces émergentes basées sur l’IA.
Soulignons que le recours à l’IA n’est pas la nouvelle solution miracle. L’IA doit être utilisée en complément d’autres mesures de sécurité, elle n’affranchit pas de la sensibilisation continue des employés ou de la définition d’une stratégie de gestion des risques.
L’IA en cybersécurité est un domaine en pleine évolution, il est fondamental que les entreprises restent informées des dernières avancées technologiques et des nouvelles menaces potentielles. L’IA est le thème que nous avons choisi pour le Congrès annuel du CESIN cette année, car elle représente un tournant majeur et devient un élément clé dans les stratégies de cybersécurité des entreprises. Nous suivons de près les investissements liés dans la recherche et le développement, l’idée est de maintenir une longueur d’avance sur les cybercriminels et assurer une cybersécurité solide et résiliente pour l’avenir.
« Avec ChatGPT et la génération automatique de code, la machine à backdoors est en marche »