IA et Cybersécurité : une réalité en constante évolution

Face à l'essor des LLM, la cyber balance entre risques accrus et détection améliorée. Décryptage d'une évolution des moyens des attaquants et des défenseurs.

L'arrivée des LLM (Large Language Models) dans notre quotidien a suscité des réactions contrastées dans le monde de la cyber, entre enthousiasme de perfectionner ses défenses et crainte d'une révolution cybercriminelle. Dans tous les cas, le sujet ne laisse personne indifférent. Il alimente même certains mythes autour d’une véritable guerre des IA. Et pour cause, 64 % des RSSI français estiment que l’IA générative présente un risque de sécurité accru pour leur organisation d’après un rapport récent. Il apparaît donc important de clarifier le rôle de l'IA et des LLM entre les mains des cybercriminels et des experts en cybersécurité, pour lever le voile sur certaines idées préconçues.

LLM : une évolution, pas une révolution des cyberattaques

Car si les LLM présentent une utilité certaine, il ne faut pas s'y méprendre : ils ne révolutionnent pas la cybersécurité. La plupart de leurs fonctionnalités étaient déjà offertes par des outils de Machine Learning existants. Loin d'être une solution miracle, ils ne peuvent résoudre, comme par magie les problèmes des attaquants.

Les recherches récentes démontrent que l'IA contribue à l'augmentation des attaques BEC (Business Email Compromise) à l'échelle mondiale. L'IA facilite la création rapide et en masse de messages de phishing et de BEC d’autant plus convaincants. La barrière de la langue, autrefois un obstacle majeur, est désormais levée grâce aux capacités de traduction des LLM.

Prenons l'exemple du Japon : longtemps protégé des attaques BEC par la barrière linguistique, le pays est désormais confronté à une recrudescence de ce type de fraude. Les LLM permettent aux cybercriminels de contourner cet obstacle, en traduisant leurs messages et en les adaptant aux spécificités culturelles locales. L'IA lève le frein à l'internationalisation des attaques en supprimant la barrière de la langue.

Bien que les messages créés par LLM soient désormais plus vrais que nature, avec des formulations convaincantes, cela ne rend pas les attaques drastiquement plus efficaces. En effet, dans le cadre du phishing par exemple, les cybercriminels misent avant tout sur le volume et ciblent les individus les moins vigilants, les messages parfaitement rédigés ne sont donc pas indispensables. Même constat pour les attaques BEC plus sophistiquées, ou l'information reste la clé d’une bonne attaque. L'accès aux données sensibles, souvent obtenu par le piratage de messageries, est plus important que la qualité rédactionnelle des emails pour que l’attaque aboutisse. Les cybercriminels peuvent simplement modifier des emails légitimes compromis plutôt que d'en générer de nouveaux avec un LLM.

Nous avons aussi pu observer des campagnes d’attaques avec du code malveillant généré par LLM, mais ces dernières restent assez simples dans leur structure. Cependant, les LLM évoluant de jour en jour, nous pouvons nous attendre à ce que la génération ou la réécriture de code malveillant par IA se généralise dans le futur.

La vraie force des LLM en cybersécurité : détecter les menaces

L'apport majeur des LLM réside dans leur capacité à améliorer la détection des menaces. L'analyse sémantique des messages, couplée à d'autres techniques de détection, se révèle particulièrement efficace face aux menaces sans composante logicielle malveillante, comme les fraudes BEC ou initiées depuis des comptes légitimes compromis. En décortiquant les schémas de communication et en construisant des graphiques relationnels, il devient possible d'identifier des anomalies discrètes, souvent invisibles à l'œil nu.

Détecter rapidement les tentatives de modification de coordonnées bancaires, quelle que soit la formulation employée, constitue une avancée majeure. Face à la prédominance de l'email comme vecteur d'attaque, investir dans des solutions de protection renforcées est indispensable. À cet égard, la détection sémantique des menaces, grâce à des LLM entraînés sur un corpus de données d'attaques clairement identifiées, représente une voie prometteuse. Un rapport a d’ailleurs montré que 89% des RSSI français prévoient de déployer l’IA pour mieux se protéger des erreurs humaines et bloquer les cybermenaces avancées qui ciblent les collaborateurs.

Si les LLM offrent aux cybercriminels un avantage certain pour automatiser et affiner leurs attaques, notamment par la rédaction d'emails de phishing plus convaincants, leur contribution à la cybersécurité sera bien plus significative en matière de détection et d'analyse. L'IA devrait avoir davantage de bénéfice du côté des entreprises que des attaquants, qui ne manqueront toutefois pas de trouver d’autres voies pour perfectionner leurs approches et contourner les nouveaux systèmes de défense.

L'avenir de la cybersécurité s'écrit donc bel et bien avec l'intelligence artificielle, non pas comme une menace accrue, mais comme un outil essentiel pour contrer les attaques de demain. L'enjeu réside désormais dans l'adoption et l'optimisation de ces technologies pour construire un système de défense plus robuste et plus résilient face à des attaques toujours plus sophistiquées.