L’intelligence artificielle apporte des bénéfices tant sur le plan opérationnel que sur la sécurisation des systèmes d’information. Cependant, elle peut aussi représenter une menace pour les entreprises. C’est pourquoi la mise en œuvre d’une politique de cybersécurité rigoureuse à partir de l’IA est indispensable pour se protéger efficacement.
L’IA n’en finit pas d’exploser les compteurs. Sa croissance est constante et son usage grandissant. Quelques données permettent de s’en rendre compte. Selon certaines études, reprises dans une infographie de bpifrance, l’intelligence artificielle pourrait d’ici 2030 contribuer à hauteur de 15 700 milliards de dollars à l’économie mondiale. D’après les prévisions publiées par Statista, le marché pourrait dépasser les 500 milliards d’ici 2028. Autre élément : en France, entre 30 et 40 % des entreprises utilisaient déjà des outils d’IA en 2023. Dans le monde, plus d’un demi-milliard de personnes devraient employer des technologies liées à l’IA.
Outil innovant et accessible, les entreprises emploie IA pour de multitude raisons : simplifier des tâches complexes et répétitives, trouver des gains d’efficacité, améliorer l’efficacité des process et diminuer leurs coûts, proposer des outils pour de nouveaux services, analyser et exploiter les données, pour des campagnes marketing ou encore afin d’améliorer le service client avec des chatbots par exemple.
Cependant, à mesure que l’IA s’intègre à tous les secteurs, elle introduit aussi de nouveaux risques en matière de cybersécurité. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) le rappelle en l’abordant dans un guide de recommandations sur l’IA générative. « Si la technologie offre de nouvelles perspectives, il convient d’adopter une posture de prudence lors de son déploiement et de son intégration dans un système d’information existant. »
Ces risques sont souvent complexes et peuvent avoir des conséquences dévastatrices sur n’importe quelle organisation. C’est pourquoi, il est fondamental pour une entreprise d’être proactive et qu’elle sache retirer tous les bénéfices de l’IA afin de se protéger des attaques.
Les risques de l’IA pour l’entreprise
L’IA représente une opportunité formidable pour les entreprises, mais elle comporte aussi des risques considérables puisque la technologie est employée par les cybercriminels pour mener des attaques malveillantes.
Deepfake, spearphishing…
L’usage de l’intelligence artificielle permet d’améliorer des techniques d’attaques déjà utilisées telles que la personnification, le spearphishing, la target selection ou le persona building, analyse Onepoint. Connu de tous, l’hameçonnage (phishing) est aujourd’hui de plus en plus efficace grâce aux technologies d’IA disponibles pour générer de façon automatique de fausses informations telles que des vidéos, des articles, des messages ou encore des données personnelles.
D’autres attaques utilisent l’IA pour usurper des identités à l’image des deepfakes qui permettent de réaliser de fausses vidéos. Dans son article, Onepoint (écrit en collaboration avec l’Ecole de guerre économique) souligne que ce type d’attaque a notamment été utilisé en Ukraine pour des opérations psychologiques (psy-ops) dans le cadre d’une campagne de désinformation à grande échelle, explique onepoint.
Des attaques possibles par tous
L’IA rend désormais les cyberattaques accessibles à tous, même sans expertise technique. Des outils comme ChatGPT et Codex pénètrent des systèmes. Les IA rendent les attaques plus simples et rapides à mettre en œuvre comme l’envoi de mails de phishing contenant un code malveillant. Ces outils automatisent des étapes complexes et chronophages, réduisant ainsi le coût des cyberattaques. Les criminels peuvent désormais opérer avec moins de ressources, en utilisant des techniques d’intrusion optimisées et en réduisant les risques d’être détectés.
Comment protéger son entreprise face aux risques de l’IA ?
Une organisation peut faire usage de l’IA pour se protéger, car la technologie offre des avantages certains que résume Deloitte dans son guide Comment l’IA peut vous aider à gérer les cyberrisques.
« En cybersécurité, les technologies d’IA peuvent améliorer les renseignements et les prévisions sur les cybermenaces et renforcer la protection contre de telles menaces. Elles peuvent également accélérer la détection des attaques et les délais de réponse, tout en réduisant le besoin d’experts humains en cybersécurité. L’IA peut apprendre des analystes de la sécurité et améliorer sa performance au fil du temps, ce qui permet de gagner du temps et de prendre de meilleures décisions. »
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Sécuriser la gestion des données
Si l’intelligence artificielle manipule régulièrement des données, ces dernières deviennent aussi vulnérables aux cyberattaques et violations de données si elles ne sont pas correctement protégées. Renforcer la gouvernance des données en sensibilisant les utilisateurs à la confidentialité et en établissant des politiques strictes d’accès aux données sensibles est fondamental. De plus, des audits réguliers de la sécurité des systèmes IA sont nécessaires pour détecter et corriger les vulnérabilités.
« L’IA permet de cartographier, référencer, sauvegarder, chiffrer les données. Des algorithmes d’IA peuvent participer aux différentes tâches à effectuer telles que la cartographie des données collectées, l’identification des données nécessaires à l’activité de l’entreprise, ou encore leur sécurisation. Se pose toutefois la question de la confiance en l’IA pour traiter de telles données », s’interroge Onepoint.
Pour ce faire déjà, assurez-vous de respecter les régulations en matière de cybersécurité et de protection de la vie privée, telles que le RGPD en Europe.
Détecter des menaces
La surveillance continue des systèmes d’IA est essentielle. Une analyse de risque régulière, associée à des mises à jour et des correctifs de sécurité, permet de se protéger contre les attaques malveillantes. « Grâce aux caractéristiques de machine learning de l’IA, ces solutions sont capables d’analyser de grands volumes de données et de détecter des menaces potentielles en temps réel. Elles peuvent ainsi reconnaître des menaces avancées que les solutions de sécurité traditionnelles pourraient manquer », précise Pascal Le Digol, country manager chez WatchGuard, dans sa chronique publiée sur Le Journal du net.
Réponse automatisée aux incidents
Dans ce cadre, l’IA pourrait prendre de l’importance. La réponse à incident comprend plusieurs étapes, une fois la notification de l’incident reçue, cette dernière sera analysée puis un plan de restauration sera mis en place puis appliqué avec de nombreuses tâches automatisées, relate Onepoint.
Utiliser des outils d’IA reconnus
Les entreprises sont nombreuses à utiliser les plateformes d’IA générative libres, mais l’intégration de ces outils présente de nouveaux risques. Il est donc parfois préférable de déployer des outils d’IA conçus spécialement pour un usage professionnel car ils garantissent, par des mises à jour régulières, une meilleure sécurité et confidentialité.
Sensibiliser les collaborateurs
C’est l’un des impératifs, celui de former et de sensibiliser régulièrement l’ensemble des salariés d’une organisation à la sécurisation des systèmes, mais également à l’usage de l’IA et à ses risques. Exemple : les outils d’IA générative comme ChatGPT peuvent inciter les collaborateurs à alimenter ces systèmes avec des données confidentielles afin d’obtenir des résultats plus précis.
Selon un sondage que le cabinet KPMG a mené au Canada, 18 % des utilisateurs de l’IA générative ont déclaré qu’ils avaient entré des données confidentielles sur leur entreprise. Pour éviter cette situation, la sensibilisation est primordiale.
Gouvernance
L’un des principaux risques pour les entreprises, commente KPMG, est « l’absence d’une vision globale des risques liés à l’IA et des préoccupations en matière de sécurité ». Si bien qu’il est important de déployer une gouvernance spécifique liée aux enjeux de l’IA, celle-ci intégrera des responsables de tous les services. Ce comité permet d’aider les dirigeants à prendre des décisions « éclairées » concernant l’IA, et rend des comptes à l’équipe de direction pour s’assurer que des pratiques fiables en la matière sont utilisées à l’échelle de l’organisation.
Tout en apportant des avantages considérables, l’IA soulève de nouveaux défis en matière de cybersécurité. Les entreprises doivent non seulement se préparer à de nouvelles formes d’attaques, mais aussi s’assurer que leurs systèmes sont conçus et protégés de manière optimale.
À cette fin, l’IA peut être utilisée pour renforcer la détection des menaces, l’analyse des comportements suspects et l’automatisation de la réponse aux incidents, tout en intégrant des stratégies de sécurité adaptées afin de minimiser les risques. Sans compter une forte sensibilisation auprès de toutes les équipes.
