Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
IA générative : ce que chaque RSSI doit savoir
Gestion des risques
Les nouvelles technologies changent toujours le paysage de la sécurité, mais peu sont susceptibles d'avoir le pouvoir de transformation de l'IA générative. Alors que des plateformes comme ChatGPT continuent de se développer, les RSSI doivent comprendre les risques de cybersécurité sans précédent qu'ils présentent et ce qu'il faut faire à leur sujet.
Par : Greg Young 01 juin 2023 Temps de lecture : (mots)
Enregistrer dans Folio
La partie « disruptive » des innovations disruptives provient souvent des conséquences inattendues qu'elles entraînent. L'imprimerie a facilité la copie de texte, mais ce faisant, elle a reconstitué le tissu social, politique, économique et religieux de l'Europe. En révolutionnant la mobilité humaine, la voiture a refaçonné le design communautaire, engendrant des banlieues et une culture de la conduite du XXe siècle. Plus récemment, le World Wide Web a complètement transformé la façon dont les gens se connectent les uns aux autres et accèdent à l'information, recadrant les questions de confidentialité, de frontières géopolitiques et de liberté d'expression dans le processus.
L'IA générative semble sur le point d'être tout aussi transformatrice que tout cela, avec de grands modèles de langage comme ChatGPT et Google Bard et des générateurs d'images comme DALL-E capturant un intérêt démesuré en l'espace de quelques mois seulement.
Compte tenu de l'adoption rapide de ces outils, les RSSI doivent de toute urgence comprendre les risques de cybersécurité associés et en quoi ces risques sont radicalement différents de tous ceux qui les ont précédés.
Absorption débridée
Dire que les entreprises sont enthousiasmées par les possibilités de l'IA générative est un énorme euphémisme. Selon une enquête, six mois seulement après le lancement public de ChatGPT, 49 % des entreprises ont déclaré l'utiliser déjà, 30 % ont déclaré qu'elles prévoyaient de l'utiliser et 93 % des premiers utilisateurs avaient l'intention de l'utiliser davantage.
Pourquoi? Tout, de la rédaction de documents et de la génération de code informatique à la réalisation d'interactions avec le service client. Et cela ne fait qu'effleurer la surface de ce qui est à venir. Les partisans affirment que l'IA aidera à résoudre des problèmes complexes tels que le changement climatique et à améliorer la santé humaine, par exemple en accélérant les flux de travail de radiologie et en rendant les résultats des rayons X, de la tomodensitométrie et de l'IRM plus précis, tout en améliorant les résultats avec moins de faux positifs.
Pourtant, toute nouvelle technologie comporte des risques, notamment de nouvelles vulnérabilités et modalités d'attaque. Au milieu de tout le bruit et de la confusion entourant l'IA aujourd'hui, ces risques ne sont pas encore bien compris.
En quoi l'IA générative est-elle différente ?
L'apprentissage automatique (ML) et les premières formes d'IA sont avec nous depuis un certain temps. Les voitures autonomes, les systèmes de négociation d'actions, les solutions logistiques, etc., sont aujourd'hui alimentés par une combinaison de ML et d'IA. Dans les solutions de sécurité comme XDR, ML identifie des modèles et des comportements de référence, rendant les anomalies plus détectables. L'IA agit comme un chien de garde, surveillant l'activité et détectant les menaces potentielles en fonction de cette analyse ML de ce à quoi ressemble une activité normale ou non menaçante, déclenchant des réponses automatisées en cas de besoin.
Mais le ML et les formes plus simples d'IA se limitent finalement à travailler avec les données qui y ont été introduites. L'IA générative est différente car ses algorithmes ne sont pas nécessairement fixes ou statiques comme ils le sont généralement en ML : ils évoluent souvent en permanence, s'appuyant sur les « expériences » passées du système dans le cadre de son apprentissage et lui permettant de créer des informations complètement nouvelles.
Jusqu'à présent, les acteurs malveillants ont largement évité le ML et des formes plus limitées d'IA, car leurs résultats ne sont pas particulièrement utiles pour l'exploitation. Mais la capacité de traitement de données de ML avec la créativité de l'IA générative en fait un outil d'attaque beaucoup plus convaincant.
Risques de sécurité : questions clés
A qui parlez-vous vraiment ?
Le mathématicien et informaticien britannique Alan Turing a conçu un test dans les années 1950 pour voir si un ordinateur suffisamment avancé pouvait être pris pour un humain dans une conversation en langage naturel. Le système d'IA LaMDA de Google a réussi ce test en 2022, soulignant l'un des principaux problèmes de sécurité concernant l'IA générative, à savoir sa capacité à imiter la communication humaine.
Cette capacité en fait un outil puissant pour les stratagèmes de phishing, qui jusqu'à présent reposaient sur de faux messages souvent truffés de fautes d'orthographe. Les textes et les e-mails de phishing créés par l'IA, en revanche, sont polis et sans erreur et peuvent même imiter un expéditeur connu, tel qu'un PDG d'entreprise donnant des instructions à son équipe. Les technologies Deep Fake iront encore plus loin avec leur capacité à imiter les visages et les voix des gens et à créer des «scènes» entières qui ne se sont jamais produites.
L'IA générative peut le faire non seulement sur une base individuelle, mais également à grande échelle, en interagissant simultanément avec de nombreux utilisateurs différents pour une efficacité et des chances de pénétration maximales. Et derrière ces stratagèmes de phishing, il pourrait y avoir un code malveillant également généré par des programmes d'intelligence artificielle pour être utilisé dans des cyberattaques.
À qui appartiennent vos informations ?
De nombreuses entreprises ont pris le train en marche des chatbots IA sans tenir pleinement compte des implications pour leurs données d'entreprise, en particulier les informations sensibles, les secrets de la concurrence ou les enregistrements régis par la législation sur la protection de la vie privée. En fait, il n'existe actuellement aucune protection claire pour les informations confidentielles qui sont saisies sur les plates-formes publiques d'IA, qu'il s'agisse de détails personnels sur la santé fournis pour planifier un rendez-vous médical ou d'informations exclusives sur l'entreprise transmises par un chatbot pour générer un document marketing.
Les entrées d'un chatbot IA public font partie de l'expérience de la plateforme et pourraient être utilisées dans de futures formations. Même si cette formation est modérée par des humains et protégée par la confidentialité, les conversations ont toujours le potentiel de "vivre" au-delà de l'échange initial, ce qui signifie que les entreprises n'ont pas le contrôle total de leurs données une fois qu'elles ont été partagées.
Pouvez-vous faire confiance à ce que l'IA générative vous dit ?
Les chatbots IA se sont révélés sensibles aux soi-disant hallucinations, générant de fausses informations. Des reporters du New York Times ont demandé à ChatGPT quand leur article avait rendu compte pour la première fois de l'intelligence artificielle et la plate-forme a évoqué un article de 1956 - titre et tout - qui n'a jamais existé. Prendre les résultats de l'IA sur la foi et les partager avec les clients, les partenaires ou le public, ou construire des stratégies commerciales sur eux, est clairement un risque stratégique et de réputation pour l'entreprise.
La sensibilité de l'IA générative à la désinformation est tout aussi préoccupante. Toutes les plates-formes d'IA sont formées sur des ensembles de données, ce qui rend l'intégrité de ces ensembles de données d'une importance vitale. De plus en plus, les développeurs s'orientent vers l'utilisation d'Internet en direct et en temps réel comme un ensemble de données mis à jour en permanence, ce qui expose les programmes d'IA à de mauvaises informations, soit innocemment erronées, soit plantées de manière malveillante pour fausser les résultats de l'IA, créant éventuellement des risques pour la sécurité.
Que peut-on faire contre les risques de sécurité de l'IA générative ?
De nombreuses entreprises de sécurité prévoient d'utiliser l'IA pour lutter contre l'IA, en développant des logiciels pour reconnaître les escroqueries par hameçonnage générées par l'IA, les contrefaçons profondes et d'autres fausses informations. Ces types d'outils deviendront de plus en plus importants à l'avenir.
Même ainsi, les entreprises doivent faire preuve de vigilance, en particulier parce que l'IA générative peut éroder les silos d'informations traditionnels qui protègent passivement les informations. Alors que le cloud a donné aux entreprises une sorte de course à vide face aux responsabilités des responsabilités de données distribuées et des systèmes ouverts, l'IA générative introduit de nouveaux niveaux de complexité qui doivent être traités avec une combinaison d'outils technologiques et de politiques éclairées.
Imaginez, par exemple, une entreprise qui a toujours séparé les informations de carte de paiement (PCI) de ses clients des autres ensembles de données. Si quelqu'un dans l'entreprise utilise une plate-forme d'IA publique pour identifier les opportunités de croissance des ventes en fonction des habitudes de dépenses passées des clients, ces données PCI pourraient faire partie de la base de connaissances de l'IA et apparaître ailleurs.
L'une des mesures les plus importantes qu'une entreprise puisse prendre pour se protéger est d'éviter de penser que parce qu'elle ne possède pas ou ne sanctionne pas l'utilisation d'outils d'IA, elle n'est pas à risque. Les employés, les partenaires et les clients peuvent tous utiliser des plates-formes d'IA publiques et les alimenter, consciemment ou non, en compromettant potentiellement les informations de l'entreprise.
De toute évidence, l'IA générative apporte beaucoup à considérer du point de vue de la cybersécurité, et nous ne sommes qu'au début de l'évolution de cette nouvelle technologie. Dans notre prochain article de blog, nous examinerons de plus près ce que les organisations peuvent faire pour se protéger.
Prochaines étapes
Pour en savoir plus sur le leadership éclairé de Trend Micro en matière d'IA générative, consultez ces ressources :
Greg Jeune
Vice-président de la cybersécurité, Trend Micro