La cybersécurité à l'épreuve de l'IA générative

Alors que les entreprises commencent à intensifier leur utilisation de l'IA générative pour en tirer des avantages commerciaux, elles doivent être conscientes de la nécessité de se protéger.

En effet, la cybercriminels sont à la pointe en la matière.

En France, 44 % des heures de travail seront potentiellement impactées par l’essor de l’IA générative (1). Ainsi, ChatGPT économiserait d’ores et déjà 37 % du temps consacré à la rédaction de documents professionnels de complexité moyenne (2). Le marché de l'IA générative pourrait atteindre 1 300 milliards de dollars au cours des dix prochaines années, soit une croissance annuelle de 42 % (3). Les chiffres se succèdent et confirment l’inexorable développement de l’IA qui offre des opportunités sans précédent aux entreprises mais aussi d’énormes responsabilités. Des responsabilités relatives à l’éthique de l’IA, à la gouvernance des données, à des questions de confiance et de légalité. La grande majorité des consommateurs pensent en effet que les entreprises doivent être tenues responsables de leur mauvaise utilisation de l’IA.

L’IA générative, une opportunité pour les entreprises… et les cybercriminels

L’enjeu est d’autant plus important que les entreprises investissent massivement dans les technologies d’IA générative depuis 2022. Les innovations commencent à devenir des réalités opérationnelles avec des applications concrètes à tous les niveaux de l’entreprise, en RH (création de descriptions des fiches de poste, analyse des réponses vidéo des candidats…), en finance (détection de la fraude, évaluation du risque de crédit…), en marketing (création de contenu publicitaire personnalisé, recommandation de produits aux utilisateurs…), en informatique (génération de code…), etc…

Mais les cybercriminels sont eux aussi à la pointe dans ce domaine. Ils profitent de ces technologies pour optimiser leurs schémas d’attaques rendant plus efficaces celles liées notamment au social engineering (phishing ciblé, voice cloning, deepfake…). Récemment à Hong Kong, un employé d’une entreprise chinoise a ainsi été piégé lors d’une fausse visioconférence au cours de laquelle il a versé 25 millions de dollars à des escrocs pensant échanger avec son directeur basé au Royaume-Uni.

Compte tenu de ces menaces émergentes, la cybersécurité devient un enjeu vital et l’un des piliers d’une approche « Responsible AI » au même titre que ses dimensions juridiques, éthiques ou environnementales. La cybersécurité commence à exploiter la force de l’IA pour mieux se protéger, détecter et réagir face aux menaces. Des avancées sont à noter notamment au sein des SOC (Security Operation Centers), ces équipes chargées d’assurer la sécurité de l’information d’une entreprise, pour détecter des tentatives d’attaques grâce, entre autres, au machine learning ou à la sensibilisation adaptative basée sur des scénarios construits par l’IA. Mais ces innovations ne sont pas encore tout à fait abouties et trop peu adoptées par les entreprises.

Renforcer son système de cyber-résilience

Des mesures peuvent pourtant être prises pour renforcer la résilience des entreprises. La première d’entre elles porte sur la stratégie de l’entreprise. La priorité est en effet d’intégrer la cyber-résilience dans la stratégie de son organisation en en faisant une partie intégrante des processus décisionnels - de la planification stratégique à la budgétisation - en privilégiant la transparence avec toutes les parties prenantes.

La deuxième mesure à prendre consiste à construire une culture de la cybersécurité au sein de l’entreprise avec une responsabilité partagée qui tire parti de l'IA générative et d'une approche de la cybersécurité en tant que service. Cela nécessite d’investir dans le développement des talents en matière de sécurité.

La troisième mesure indispensable est d’ordre technologique, elle passe par la sécurisation du noyau numérique au cœur de l'organisation. Le principe de la sécurité dès la conception doit être systématiser en instituant le modèle de la confiance zéro, en sécurisant les technologies émergentes et en faisant de la construction de la confiance numérique une priorité.

Une autre mesure ne doit pas être négligée : l’extension de la cyber-résilience au-delà des frontières de l’entreprise, autrement dit au sein même de son écosystème et ce, notamment tout au long de la chaîne d'approvisionnement en misant sur des partenariats.

Enfin, la cyber-résilience ne vaut que si elle est continue, le meilleur moyen en effet de garder une longueur d'avance. Il est nécessaire pour cela de constamment redéfinir le profil de risque, d’améliorer en permanence les programmes de sécurité, de renforcer l'état de préparation au black-out en matière de cybersécurité et de promouvoir l'IA et l'apprentissage automatique pour une protection proactive contre les menaces. L’enjeu est de taille car la cyber-résilience est non seulement un facteur de différenciation mais aussi de croissance.  

(1) Étude Work workforce, workers, mars 2023

(2) Experimental Evidence on the Productivity Effects of Generative Artificial Intelligence, Massachusetts Institute of Technology (MIT), mars 2023

(3) 2023 Generative AI Growth report, Bloomberg Intelligence (BI)