D’ami à ennemi : sommes-nous prêts pour l'IA offensive?

L’intelligence artificielle joue un rôle de plus en plus important pour la cybersécurité. Ce faisant, elle présente des avantages majeurs et sans précédent pour certains domaines. Par exemple :

• La gestion de la vulnérabilité : l’IA et l’apprentissage automatique emploient des techniques avancées pour analyser les activités suspectes et les vulnérabilités.
• Le traitement des données : l’IA contrôle les données transactionnelles des réseaux, de sorte qu’ils soient protégés contre toute menace.
• La détection des menaces : l’IA utilise des méthodes d’analyse comportementale pour identifier les activités malveillantes en temps réel et réagir immédiatement aux menaces.
• La surveillance des réseaux et la sécurité : l’IA établit un point de référence pour le trafic de réseau et s’en sert pour évaluer et protéger le réseau.
• Une sécurité renforcée sur la durée : l’IA devient de plus en plus efficace et améliore ses mesures de sécurité avec le temps.

Manifestement, et bien qu’elle n’en soit qu’à ses balbutiements, l’IA est une composante cruciale du domaine de la cybersécurité. D’ici 2030, la taille du marché mondial de la sécurité par l’IA aura atteint les 133,8 milliards USD, soit une augmentation de 118,9 milliards depuis 2021.

La montée des IA offensives

Malgré les nombreuses perspectives réjouissantes qu’offre l’IA, il y a aussi une prise de conscience que les acteurs malveillants vont l’utiliser à leurs fins. On nomme ce phénomène : « l’IA offensive ». Un sondage mené auprès de dirigeants en sécurité, commandé par la firme Darktrace et mené par Forrester, a révélé que :

• 88 % d’entre eux estiment inévitable la montée des IA offensives.
• 77 % s’attendent à ce que les IA offensives causent une augmentation de l’ampleur et de la rapidité des attaques.
• 75 % se disent surtout préoccupés par l’interruption des affaires et des systèmes causée par l’IA.
• 66 % croient que les IA offensives vont lancer des attaques que les humains ne peuvent même pas s’imaginer.

Qui plus est, un autre sondage mené par Deloitte a révélé que 43 % des PDG partagent des « angoisses majeures, voire extrêmes, en ce qui a trait aux risques posés par l’IA », et que 49 % d’entre eux rapportent qu’il s’agit en effet de leur plus grande peur.

Comment les acteurs malveillants se servent de l’IA

Selon Hubsecurity.com, voici quelques-unes des méthodes qu’utilisent les acteurs malveillants pour exploiter les vulnérabilités des systèmes d’IA et d’apprentissage automatique :

• Saisir des données pernicieuses dans lesdits systèmes, ce qui pousse les algorithmes qui traitent d’important volume de données à faire des prédictions erronées. Résultat : l’IA se voit forcée de prendre des décisions à partir de données non vérifiées;
• Corrompre l’intégrité et la fiabilité des ensembles de données;
• Tromper les modèles d’apprentissage automatique qui sont conçus pour accomplir des objectifs spécifiques grâce à un entraînement spécialisé;
• Introduire de fausses données dans les systèmes en ligne ou les entraîner graduellement pour qu’ils produisent des résultats fautifs;
• Lancer des attaques par extraction de données peu voyantes ciblant le modèle d’apprentissage automatique directement. Les pirates lancent également de plus petites attaques par extraction sous-symbolique. Ces dernières sont relativement moins complexes, plus rapides et nécessitent des ressources moins importantes.

De plus, les acteurs malveillants se servent de l’IA pour mener des campagnes de désinformation (les fameuses fake news). Certaines sont si vraisemblables qu’elles parviennent à tromper des professionnels aguerris de la cybersécurité. Selon le magazine Fast Company :

« Les transformers, tels que BERT de Google et GPT d’OpenAI, utilisent le traitement du langage naturel pour comprendre les textes et produire des traductions, des résumés et des interprétations. Ils peuvent également être utilisés pour véhiculer de fausses informations en ce qui a trait aux cybermenaces. D’ailleurs, ils le font si bien qu’ils confondent même les professionnels formés pour dénicher les cybermenaces. Lorsque ces fausses informations se répandent, il arrive que les équipes chargées de la cybersécurité soient trop occupées à minimiser de faux risques pour traiter les vraies attaques sur leurs systèmes.

Comment protéger les systèmes d’IA

Que peuvent faire les entreprises pour protéger leurs systèmes d’IA? Les experts s’entendent sur ces trois stratégies principales :

• Maintenir des protocoles de sécurité extrêmement stricts dans l’environnement des données. Ces protocoles incluent : le principe de moindre privilège, le modèle à vérification systématique, la séparation des tâches, la défense en profondeur et le principe « des quatre yeux ».
• Journaliser et créer une piste d’audit pour enregistrer toutes les opérations menées par l’IA. Une certaine visibilité est nécessaire pour faire en sorte que les normes de transparence soient respectées sans être dépassées. Pour minimiser les risques, il est parfois nécessaire ou souhaitable de désactiver certains modèles qui sont trop complexes ou opaques.
• Implémenter des contrôles d’accès et d’authentification forts. Ces mesures incluent : l’AMF, une gestion robuste des mots de passe, et des formations exhaustives pour les utilisateurs finaux. Pour la plupart des entreprises, il est également nécessaire de gérer les sessions et les accès privilégiés à l’aide de fonctionnalités telles que : l’injection sécurisée des identifiants, la rotation automatique des mots de passe, la détection de compte, la mise en place d’alertes et de notifications et la gouvernance des demandes de réservation.

Se défendre à l’aide de l’IA

Nous assistons en ce moment à l’émergence et au développement de la « l’IA défensive », à savoir l’utilisation de l’IA et de l’apprentissage automatique pour analyser des quantités importantes de données et ainsi découvrir les comportements normaux et anormaux d’un système. Cette méthode permet de débusquer de nouvelles menaces et d’augmenter la précision des contre-mesures. Selon le Forum économique mondial :

« L’IA défensive n’est pas seulement un avantage technologique dans la lutte contre la cybercriminalité, mais bien un allié vital sur un nouveau champ de bataille. Au lieu de faire confiance à un personnel de sécurité pour réagir directement aux incidents, les entreprises se fieront à l’IA pour se défendre rapidement contre un problème en développement. Pendant ce temps, les équipes humaines superviseront les décisions prises par l’IA et effectueront un travail de correction et amélioreront la résilience globale de l’entreprise pour le long terme ».

Par ailleurs, le rôle principal de l’humain, et plus spécifiquement de l’expert en cybersécurité, n’est pas négligeable. Idéalement, l’IA aura la responsabilité de fouiller dans d’immenses volumes de données, d’effectuer des tâches de routines, et de s’adapter aux nouvelles attaques. Pendant que les ordinateurs sont occupés à effectuer ces opérations, l’humain pourra surveiller l’intégrité, la précision et l’efficacité du processus décisionnel, tout en aidant l’IA à s’améliorer.

ITPro.com précise que :

« Comme bien des usages de l’IA, l’IA défensive aide l’humain à effectuer les travaux lourds, prend des décisions autonomes, apprend avec le temps, fait des rapports aux humains et aux entreprises pour que ces derniers accomplissent leurs objectifs ».

Et Victor Fredung, le contributeur au Forbes Business Council, d’ajouter :

« L’essentiel est de concevoir une vision holistique dans laquelle les analystes humains et les logiciels d’IA travaillent de concert. Le fait de déléguer les opérations chronophages de moindre importance aux logiciels permet aux professionnels de se concentrer sur les aspects de la sécurité qui nécessitent une intervention humaine. Une relation harmonieuse entre l’IA et un personnel qualifié peut faire toute la différence sur le plan de la prévention des cybercrimes ».

Le mot de la fin

Bien qu’elle puisse parfois paraître surnaturelle, l’IA n’est malheureusement pas une solution miracle. En revanche, elle peut et doit jouer un rôle important pour ce qui est de renforcer la cybersécurité, d’autant que les acteurs malveillants ont déjà démontré leur volonté d’utiliser l’IA pour lancer des cyberattaques (ex. : le pollupostage infini ou le brouillage d’IA).

En tant que société, nous avons déjà franchi le cap avec l’IA et le retour en arrière n’est plus possible. S’assurer que les principales mesures de cybersécurité se conjuguent avec la défense par l’IA afin de contrer les IA malveillantes fera de cette nouvelle ère de l’humanité un triomphe retentissant, faute de quoi ou elle pourrait se transformer en grotesque cauchemar.