Le potentiel de l’IA en tant que menace pour la cybersécurité est négligé dans le cadre des débats réglementaires et du battage médiatique autour de l’innovation. À mesure que l’IA s’intègre davantage dans les opérations commerciales, elle crée également de nouvelles vulnérabilités que les mesures de sécurité existantes ne sont peut-être pas en mesure de gérer.
Le récent sommet sur l’intelligence artificielle à Paris a mis en avant une vision optimiste du potentiel de cette technologie, en mettant l’accent sur la manière dont l’IA peut résoudre de grands problèmes dans les domaines de la médecine, de la climatologie et au-delà, au lieu de donner la priorité à la sécurité. Mais le monde ne peut pas se contenter de se réjouir. Il est essentiel de se rappeler que l’IA est également un outil puissant pour les acteurs malveillants – un outil qui est déjà utilisé dans les cyberattaques et qui pourrait devenir une menace bien plus importante.
Aujourd’hui, l’IA est utilisée pour amplifier les cyberattaques de diverses manières. Une étude de l’Université de Cambridge a montré que les cyberattaques basées sur l’IA sont de plus en plus sophistiquées. Les attaquants utilisent de plus en plus d’algorithmes d’apprentissage automatique pour automatiser les attaques de phishing, ciblant les individus et les organisations avec un contenu hautement personnalisé. Ces systèmes basés sur l’IA peuvent analyser de vastes quantités de données – sur les profils de réseaux sociaux, l’historique de navigation et même les modèles de courrier électronique – pour créer des attaques convaincantes, plus difficiles à détecter que les attaques traditionnelles.
Les outils d’IA réduisent les barrières à l’entrée de la cybercriminalité en permettant aux attaquants moins expérimentés de lancer des attaques qu’ils n’auraient pas les compétences ou les connaissances nécessaires autrement. Par exemple, les personnes qui manquent de compétences en programmation peuvent désormais simplement demander à des outils d’IA comme ChatGPT d’écrire des robots qui automatisent le processus de piratage des serveurs. Bien que ces attaques ne soient pas nouvelles, elles augmentent néanmoins le volume des menaces potentielles contre lesquelles les entreprises doivent se défendre, épuisant les ressources d’équipes de sécurité déjà sous-financées.
Trouver le juste équilibre entre innovation et sécurité
À mesure que les outils d’IA s’intègrent de plus en plus dans les opérations commerciales, les enjeux sont encore plus importants. Par exemple, une récente enquête de KPMG auprès des dirigeants financiers révèle que 84 % d’entre eux prévoient d’accroître leurs investissements dans l’IA générative (GenAI).
Alors que ces entreprises, comme d’autres sans doute, accélèrent l’adoption des outils d’IA, le Forum économique mondial indique que près de 47 % des organisations interrogées ont déjà constaté que les avancées adverses générées par GenAI constituent leur principale préoccupation, permettant des attaques plus sophistiquées et évolutives. De plus, le même rapport indique que seulement 37 % des organisations ont mis en place des processus pour évaluer la sécurité des outils d’IA avant leur déploiement.
Parallèlement, la loi européenne sur l’intelligence artificielle (AI Act ), qui vise à réglementer les systèmes d’IA à haut risque, est mise en œuvre progressivement sur plusieurs années, sa mise en œuvre complète n’étant pas attendue avant 2027. Cependant, un débat croissant se déroule en Europe sur la manière de concilier réglementation et promotion de l’innovation. Lors du sommet de Paris sur l’IA, le président français Emmanuel Macron a fait remarquer que l’Europe pourrait réduire les contraintes réglementaires pour permettre à l’IA de prospérer dans la région.
Cela représente un défi potentiel : alors que l’Europe se débat avec des problèmes de sur réglementation, son attitude attentiste pourrait lui faire rater le bateau tandis que la technologie de l’IA évolue à une vitesse incroyable. D’ici à ce que la loi sur l’IA soit pleinement en vigueur, nous pourrions être confrontés à une toute nouvelle vague de cyberattaques alimentées par l’IA, dont beaucoup dépassent le cadre des réglementations actuelles.
Alors, que signifie pour la cybersécurité un cadre réglementaire souple pour l’IA ? Si l’innovation est essentielle, l’absence de réglementation axée sur la sécurité signifie que les outils d’IA sont déjà entre les mains de cybercriminels qui peuvent les utiliser comme armes avec une surveillance minimale.
À l’heure actuelle, la capacité des systèmes d’IA à automatiser et à optimiser les cyberattaques va bien au-delà du phishing. Les outils basés sur l’IA peuvent être utilisés pour exploiter les vulnérabilités des systèmes d’infrastructures critiques, lancer des attaques par déni de service distribué (DDoS) de plus grande ampleur ou même manipuler les marchés financiers. En 2023, le ministère américain de la Sécurité intérieure a émis un avertissement selon lequel les systèmes basés sur l’IA pourraient bientôt être capables de lancer des cyberattaques autonomes difficiles à contrer à l’aide de mécanismes de défense conventionnels. De telles menaces représentent un cauchemar en matière de sécurité que les décideurs politiques ne peuvent se permettre d’ignorer.
Si les systèmes d’IA évoluent au point de pouvoir compromettre de manière autonome l’infrastructure numérique, nous pourrions assister à une escalade de la fréquence et de la gravité des cyberattaques, paralysant potentiellement les systèmes mondiaux.
La cybersécurité doit évoluer – maintenant
Que l’IA soit ou non strictement réglementée, les entreprises doivent faire plus que le strict minimum en matière de cybersécurité. Tout d’abord, il est essentiel d’investir dans des outils de sécurité supplémentaires basés sur l’IA plutôt que de remplacer les outils existants par des solutions basées sur l’IA. Si l’IA et l’apprentissage automatique peuvent être incroyablement utiles pour détecter et prévenir les attaques en temps réel, ils peuvent également prendre des décisions erronées. L’IA doit servir de ressource supplémentaire pour améliorer les efforts de cybersécurité et non de remplacement des outils traditionnels. En analysant les schémas du trafic réseau, l’IA peut identifier les anomalies qui peuvent signaler une violation. À mesure que les cyberattaques deviennent plus automatisées, l’IA peut aider les équipes de sécurité à identifier les menaces plus rapidement et plus efficacement, leur permettant ainsi d’en faire plus avec la même quantité de ressources.
Une autre étape consiste à commencer à intégrer la modélisation des menaces par l’IA dans les protocoles de sécurité. L’IA peut être utilisée pour prédire et prévenir les attaques. Les équipes de sécurité doivent penser comme des attaquants, utiliser l’IA pour simuler la manière dont leurs systèmes pourraient être compromis et corriger proactivement ces vulnérabilités avant qu’elles ne puissent être exploitées.
Enfin, les entreprises doivent investir dans la formation continue de leurs équipes de sécurité. À mesure que les attaques basées sur l’IA évoluent, il ne suffit plus de se fier simplement aux pare-feu et aux logiciels antivirus. Les professionnels de la sécurité doivent être prêts à faire face à des menaces plus sophistiquées, alimentées par l’IA. Cela implique de rester en avance sur les tendances, de comprendre comment les outils d’IA sont utilisés contre elles et de développer des stratégies qui vont au-delà des défenses traditionnelles.
L’IA a sans aucun doute le potentiel de révolutionner la cybersécurité et tous les autres secteurs, mais elle introduit également une nouvelle vague de risques. Si les décideurs politiques sont peut-être pris dans la course à l’IA, les professionnels de la cybersécurité doivent agir dès maintenant. L’IA peut être une alliée dans la lutte contre la cybercriminalité et dans la facilitation des opérations commerciales, mais elle peut aussi devenir un adversaire si elle n’est pas maîtrisée. Alors que nous nous précipitons vers un avenir façonné par l’IA, sécuriser nos systèmes contre son côté obscur devrait être une priorité absolue.
Aras Nazarovas, chercheur en sécurité de l’information chez Cybernews
Aras Nazarovas est spécialisé dans la cybersécurité et l’analyse des menaces. Il enquête sur les services en ligne, les campagnes malveillantes et la sécurité du matériel tout en compilant des données sur les menaces de cybersécurité les plus répandues. Aras et l’équipe de recherche de Cybernews ont découvert d’importants problèmes de confidentialité et de sécurité en ligne qui ont un impact sur des organisations et des plateformes telles que la NASA, Google Play et PayPal.