Que peut dire sur ce sujet à nos lecteurs Morey Haber, conseiller en chef en sécurité chez BeyondTrust ?
L’IA devient partie intégrante des stratégies de cybersécurité défensive de nombreuses entreprises, avec une efficacité inégalée dans l’identification et l’atténuation des menaces basées sur la vulnérabilité et l’identité. Cependant, si l’IA offre des avantages considérables par rapport aux moteurs traditionnels basés sur des règles, elle introduit également un spectre de risques. À mesure que les entreprises adoptent des solutions basées sur l’IA, il est essentiel de reconnaître et de gérer ces risques pour s’assurer que la technologie ne devienne pas un handicap.
La complaisance humaine
Le risque le plus intrinsèquement lié au déploiement de l’IA dans la cybersécurité est celui de la complaisance. L’IA peut traiter de grandes quantités d’informations et détecter des anomalies à une vitesse bien supérieure aux capacités humaines. Cela peut créer un faux sentiment de sécurité et rendre l’équipe de sécurité complaisante à moins qu’un événement ne soit détecté.
En s’appuyant trop sur l’IA, les organisations risquent de négliger les pratiques de sécurité traditionnelles et la surveillance humaine de base, comme la recherche des menaces. Cette dépendance excessive peut s’avérer dangereuse, en particulier lorsque les systèmes d’IA rencontrent des menaces nouvelles ou sophistiquées qui pourraient être considérées comme de faux positifs en raison du manque de compréhension des menaces modernes avancées.
La manipulation intentionnelle des outils IA de cyberdéfense
Les cyberattaques modernes peuvent également manipuler les données d’entrée pour tromper les modèles d’IA et les amener à prendre des décisions erronées.
Imaginez un scénario dans lequel un acteur malveillant crée un logiciel malveillant spécifiquement conçu pour échapper à un système de détection basé sur l’IA, en utilisant l’IA elle-même pour créer un virus polymorphe . En modifiant intelligemment les caractéristiques du logiciel malveillant, l’attaquant peut s’assurer que le système d’IA le classe comme bénin ou comme un risque pour un système mais pas pour un autre. Ce type de manipulation porte atteinte à la fiabilité des systèmes d’IA, car ils ne peuvent pas interpréter l’intention humaine derrière la création de l’attaque. De plus, les techniques d’apprentissage automatique (ML) antagonistes deviennent de plus en plus sophistiquées, permettant aux attaquants de générer des exemples antagonistes très efficaces avec un minimum d’effort pour mener ces formes d’attaques.
Les données personnelles non protégées
Pour former des modèles d’IA pour une organisation spécifique, de grandes quantités de données, notamment des informations sensibles et personnelles, sont nécessaires. Cette dépendance aux données soulève d’importantes préoccupations en matière de confidentialité et d’éthique.
Les schémas d’exfiltration potentielle de données sont essentiels pour comprendre si une ressource a été compromise. Utiliser uniquement des modèles d’expressions régulières (regex) pour ces informations n’est tout simplement pas suffisant pour l’IA. Savoir quand des données réelles ont été compromises est l’une des exigences pour qu’un bon moteur d’IA puisse identifier une menace.
Les organisations doivent veiller à respecter les réglementations en matière de protection des données et les directives éthiques lors de la collecte, du stockage et du traitement des données à des fins d’IA, en particulier lorsque des sociétés tierces, des particuliers ou des géolocalisations sont impliqués. Le non-respect de ces règles peut entraîner des répercussions juridiques et nuire à la réputation d’une organisation, en particulier si le traitement est effectué dans le cloud et en dehors de la région de l’organisation.
En outre, il existe un risque d’utilisation abusive des données ou d’accès non autorisé, ce qui peut conduire à des violations de la vie privée si le fournisseur hébergeant les informations est compromis dans le cadre d’une attaque de la chaîne d’approvisionnement.
Les modèles d’IA biaisés
De même, les moteurs d’IA ne sont efficaces que dans la mesure où les données sur lesquelles ils sont entraînés le sont aussi. Si le moteur d’entraînement ou les données contiennent des biais, le système d’IA reflètera inévitablement ces biais dans ses prédictions et ses alertes.
En matière de cybersécurité, les modèles d’IA biaisés peuvent donner lieu à des pratiques injustes ou discriminatoires. Par exemple, un système de détection des menaces basé sur l’IA pourrait signaler de manière disproportionnée des activités en fonction de la nationalité, du nom de famille ou des heures d’accès d’un utilisateur, ce qui pourrait alors conduire à des faux positifs et à une discrimination potentielle.
Pour atténuer le risque de biais, des ensembles de données diversifiés et représentatifs doivent être utilisés lors de la formation des modèles d’IA. La surveillance et l’audit continus de ces systèmes peuvent également aider à identifier et à corriger les biais.
L’IA recèle certes un potentiel immense pour améliorer la cybersécurité défensive, mais elle comporte également des risques majeurs. L’excès de confiance dans l’IA, les attaques ciblées, les problèmes de confidentialité des données, les biais dans les modèles d’IA, l’obscurcissement des moteurs et la complexité globale des systèmes d’IA sont autant de défis cruciaux qui doivent être relevés.
En raison de ces menaces, l’utilisation de l’IA dans la cybersécurité doit être transparente et explicable. Il ne doit jamais y avoir de modèle de boîte noire ou de quelque chose qui ne puisse être expliqué concernant son fonctionnement. Les fournisseurs qui revendiquent une « recette secrète » sans explication ne peuvent pas justifier les problèmes de sécurité. Les professionnels de la cybersécurité doivent comprendre comment les systèmes d’IA prennent des décisions, en particulier lorsque ces décisions ont un impact sur la confidentialité et la sécurité. L’explicabilité est essentielle pour instaurer la confiance et garantir que les systèmes d’IA sont utilisés de manière responsable et éthique.
Reconnaître ces risques et mettre en œuvre une formation appropriée pour utiliser correctement ces outils avancés contribuera à garantir que les organisations peuvent exploiter la puissance de l’IA tout en maintenant une pratique de cybersécurité solide et résiliente.
