Comment protéger votre entreprise dans le monde de ChatGPT
L'intelligence artificielle (IA) pourrait changer la donne autant que l'ont fait Internet, les smartphones et l'informatique cloud. Il ne fait aucun doute que l'émergence d'outils tels que ChatGPT et GitHub CoPilot ouvrira la voie à de nouvelles possibilités autant qu'à de nouvelles difficultés pour les entreprises. Le développement rapide et lourd de conséquences de l'intelligence artificielle soulève des enjeux pour ceux qui cherchent à exploiter cette technologie de manière responsable tout en se préparant à l'incidence que pourrait supposer l'adoption de l'IA par des cybercriminels. Avec l'arrivée d'une technologie capable d'écrire du code permettant d'identifier et d'exploiter des systèmes vulnérables, de générer des e-mails de phishing très personnalisés ou encore d'imiter les voix des cadres responsables dans le but d'autoriser des transactions frauduleuses, il est impératif que les organisations procèdent à une nouvelle évaluation du risque auquel elles sont exposées concernant l'IA et qu'elles envisagent des stratégies défensives et offensives contre piratage.
Voici trois stratégies de premier plan que nous conseillons aux responsables de l'IT et de la sécurité qui cherchent à évaluer leur posture de cybersécurité à l'ère de l'IA :
1. Combattre l'IA par l'IA
Certaines personnes craignent le pire avec l'IA et imaginent un avenir dans lequel une machine dotée de la somme de toutes les connaissances deviendrait une super-arme menaçant l'humanité dans le cadre d'une « course aux armes à intelligence artificielle ». Cette description est assez exagérée et la réalité de l'IA est beaucoup moins redoutable.
Il ne fait aucun doute que des acteurs malveillants auront recours à des outils d'IA à des fins préjudiciables. Toutefois, les outils d'intelligence artificielle sont généralement limités à du code basique et des protections sont prévues pour empêcher la rédaction d'un code véritablement malveillant.
D'un point de vue positif, l'IA apporte avec elle le potentiel de renforcer les compétences des équipes de sécurité et d'augmenter leurs capacités, notamment dans le domaine de la cybersécurité qui souffre actuellement d'un manque de professionnels qualifiés. L'utilisation d'outils IA peut permettre aux analystes débutants de bénéficier d'une assistance dans leurs tâches quotidiennes. De même, les techniciens de sécurité peuvent enrichir leurs capacités de codage et de rédaction de scripts.
C'est par l'investissement dans les outils d'intelligence artificielle et la formation d'experts de haut niveau que s'obtiendra la réussite, plutôt qu'en se contentant d'opposer une contremesure par IA à chaque menace offensive par IA.
2. Protection des e-mails
C'est dans nos boîtes de réception que commencent la plupart des cyberattaques. Des acteurs malveillants envoient des e-mails frauduleux et appliquent des stratégies de phishing et d'ingénierie sociale pour récupérer des données d'identification qui leur permettront de s'introduire dans l'organisation. Grâce aux récents progrès permis par l'IA, ces e-mails vont devenir de plus en plus sophistiqués et réalistes, et l'intégration de chatbots alimentés par l'IA dans les boîtes à outils d'ingénierie sociale va amplifier l'étendue et la portée de ces attaques.
Les professionnels de la cybersécurité doivent prendre conscience du potentiel des attaques de phishing et des attaques d'ingénierie sociale soutenues par IA afin d'habituer les utilisateurs à les détecter et à y répondre. Il est impératif de continuer à former les utilisateurs à l'identification des attaques de phishing, de leur proposer une plateforme permettant le signalement rapide des activités suspectes et d'intégrer leur participation à la stratégie globale de cyberdéfense.
Cependant, l'erreur humaine est inévitable et pour protéger les utilisateurs du piratage, nous devons pouvoir compter sur des défenses techniques également. Malheureusement, les outils de filtrage basique des principaux services de courrier électronique suffisent rarement. Les entreprises doivent chercher des outils de sécurité des e-mails avancés pour bloquer de manière plus exhaustive les attaques émanant de différents vecteurs, même lorsque les messages proviennent d'expéditeurs ou de domaines « de confiance ».
3. Protection des données
Le phishing et la récupération des données d'identification ne sont souvent que les premières étapes d'une attaque, ils ne représentent pas le tableau dans son ensemble. Lors d'une réflexion sur les risques posés par l'IA pour les données et les applications d'une entreprise, il est important d'avoir conscience de la nature multiple des attaques potentielles.
Les entreprises doivent aller au-delà de la protection des réseaux à l'aide du modèle périmétrique traditionnel du « château entouré de douves » et s'intéresser plutôt à l'endroit où résident les données, ainsi qu'à la manière dont les utilisateurs et les applications y accèdent. Pour de nombreuses entreprises, cette migration passe par l'adoption d'une architecture Zero Trust accompagnée d'une solution SASE (Secure Access Service Edge, service d'accès sécurisé en périphérie) renforcée par un processus d'authentification multifacteur (Multi-Factor Authentication, MFA) résistant au phishing.
Les applications et API en contact avec Internet sont vulnérables à différents types d'attaques, y compris celles menées par des bots ou d'autres attaques dirigées par l'IA. Ces applications doivent être protégées selon des méthodes appropriées telles que le chiffrement, un pare-feu applicatif web (WAF), la validation des entrées et la limitation du débit dans le but d'atténuer les attaques des bots ou les futures attaques par l'IA.
Lorsque les entreprises s'équipent d'outils d'IA, elles doivent veiller à ce que leurs utilisateurs en fassent usage correctement, sans provoquer de fuite des données de l'entreprise. Certaines entreprises telles que JPMorgan Chase ont fait le choix de restreindre l'usage de ChapGPT par les collaborateurs. Sans aller si loin, les entreprises doivent a minima mettre en place des politiques d'usage acceptable, des contrôles techniques et des mesures de prévention des pertes de données afin d'atténuer les risques.
La voie à suivre
Il est primordial que les professionnels de la cybersécurité conservent toute leur curiosité et se livrent à des expériences autour des outils IA afin de mieux comprendre leurs usages potentiels, que ce soit à des fins honnêtes ou malveillantes. Afin de se protéger contre les attaques, les entreprises doivent chercher des moyens d'enrichir leurs propres capacités, que ce soit en faisant appel à ChatGPT ou en s'intéressant aux outils et aux plateformes de cybersécurité qui ont accès à de grands volumes de données d'entraînement et qui tirent parti d'ensembles d'informations sur les menaces issus de diverses dimensions de la défense.
En conclusion, les entreprises doivent mettre en œuvre des mesures de sécurité complètes qui évoluent au même rythme que le monde. Si l'IA émerge aujourd'hui comme une menace potentielle, la technologie peut également en tirer des bénéfices considérables, à condition de la mettre à profit en toute sécurité.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Points clés
Cet article vous permettra de comprendre les points suivants :
Les conséquences potentielles de l'adoption de l'IA par les cybercriminels
Comment évaluer le risque lié à l'IA sous l'angle de stratégies défensives et offensives.
3 éléments clés à prendre en compte pour l'évaluation du niveau de sécurité à l'heure de l'intelligence artificielle