AVIS D’EXPERT – L’an dernier, la société Gartner prévoyait une hausse des dépenses des entreprises en produits et services liés à la cybersécurité de 11 %, soit 188,3 milliards de dollars. Cette tendance à la hausse semble poursuivre sa progression. Cependant, même après avoir investi dans ces solutions de cybersécurité, des atteintes à la sécurité sont apparues en un temps record avec les rançongiciels et les attaques de logiciels malveillants. Une tribune de Kevin Bocek, vice-président en charge de l’écosystème et de la communauté chez Venafi.
Les dépenses actuelles ne tiennent pas totalement en compte l’impact de l’IA sur la cybersécurité. En 2023, plus de la moitié des entreprises envisageaient de recourir à l’IA et aux technologies d’automatisation. En l’absence d’outils de sécurité appropriés et de points de contrôle, elles seront confrontées à des difficultés majeures en raison de la présence de code malveillant développé par les outils d’intelligence artificielle. Alors que l’IA annonce des résultats prometteurs en termes d’efficacité et d’automatisation, cela n’est pas sans risque pour la sécurité. C’est ce que nous allons voir dans cet article.
Sécuriser le réseau dans un contexte de démocratisation du code
L’ascension fulgurante de l’intelligence artificielle change la donne avec l’apparition du phénomène de démocratisation du code. Cela offre des possibilités sans précédent en termes d’innovation, mais cela s’accompagne également d’un grand nombre de risques. Alors que de plus en plus de personnes, y compris les « citizen developers », c’est-à-dire des développeurs non professionnels capables de générer du code à partir de sources telles que ChatGPT ou Bard, font partie intégrante des entreprises, la démocratisation du code crée aussi bien des opportunités que des difficultés. La création de code devient alors accessible à tous et n’est plus exclusivement réservée aux développeurs professionnels. Désormais, les systèmes sophistiqués offrent la possibilité de créer des scripts en un claquement de doigt, que vous travailliez dans le domaine de la finance, à l’usine ou sur plusieurs sites. À chaque évolution, son lot de difficultés : le potentiel de l’IA générative ne se résume pas uniquement à l’autoréplication.
Une IA dotée d’une intelligence humaine d’ici dix ans ?
Elle permet également de créer de nombreuses données. Que ce soit de manière spontanée ou par le biais d’activités malveillantes, cette ouverture multiplie les risques face auxquels les entreprises sont confrontées. La prédiction de Demis Hassibas, PDG de Google DeepMind, en mai dernier, selon laquelle une intelligence artificielle générale, ou une IA dotée d’une intelligence humaine, pourrait voir le jour d’ici dix ans, mettait en exergue l’exposition croissante de l’IA générative, où les machines prennent des décisions et génèrent du code de manière autonome. Le réseau complexe de menaces interconnectées se renforce à mesure que les machines communiquent entre elles, prennent des décisions en matière d’infrastructure, rédigent du code et génèrent du contenu. Ces facteurs soulèvent de nouvelles questions qui dépassent le cadre des développeurs professionnels ou des concurrents. Afin de préserver leur avenir numérique, les entreprises doivent gérer ces subtilités, tout en mettant l’accent sur la nécessité d’authentifier tous les codes pour une gouvernance efficace.
Empêcher l’exécution de code non autorisé sur votre réseau
Dans ce nouveau paysage d’orchestration logicielle, la responsabilité est principalement entre les mains des responsables de la sécurité des systèmes d’information (CISO) et des responsables des systèmes d’information (CIO). Elle ne se limite pas à la gestion traditionnelle des logiciels. Elle couvre l’ensemble du spectre, du code conventionnel aux technologies d’IA générative de pointe utilisées dans les activités commerciales. Conscients qu’il s’agit d’une lourde responsabilité, les conseils d’administration sont disposés à demander des comptes aux responsables de la sécurité des systèmes d’information (CISO) et aux responsables des systèmes d’information (CIO) pour la mise en place des mesures de protection efficaces, consolidant ainsi leur rôle central dans l’accompagnement des entreprises à travers les subtilités de l’ère de la démocratisation. Pour relever ces défis, les entreprises doivent définir en priorité une stratégie de défense globale.
Se pencher sur l’authentification, l’autorisation et la réglementation
Chaque élément de code doit désormais posséder une identité de charge de travail qui lui est propre pour des raisons d’authentification et de responsabilité, en particulier dans un monde où les développeurs et les systèmes d’intelligence artificielle interagissent très facilement. Les entreprises doivent également se pencher sur l’authentification, l’autorisation et la réglementation du comportement de l’IA et des modèles d’apprentissage automatique. Cela implique d’abord une bonne compréhension des outils utilisés et des données consultables. Les modèles doivent ensuite être attribués et les identités des appareils approuvées de manière à ce que ces derniers puissent être surveillés et contrôlés. Par ailleurs, l’intégration d’un bouton d’arrêt d’urgence (que j’ai déjà évoqué dans un autre article) est primordiale pour apporter des réponses rapides et efficaces face aux imprévus, tout en garantissant une approche globale de la sécurité du paysage de la création de code qui est en constante évolution. Grâce à la mise en place de dispositifs de protection, à l’identification des appareils et à l’installation d’un bouton d’arrêt d’urgence, les entreprises devraient être plus à même d’exploiter le pouvoir transformateur de ces technologies tout en préservant leur avenir numérique.