Par Manon Kinet
septembre 12, 2024Signal fort de l’annonce d’une nouvelle révolution numérique, l’intelligence artificielle générative ouvre la voie à des possibilités sans précédent pour amplifier le potentiel digital des entreprises et de leurs employés.
Pour autant, dans l’euphorie de son intégration dans le quotidien professionnel, l’IA générative expose les organisations à des risques de sécurité considérables et parfois mal anticipés. Afin de guider sereinement vos projets, cet article passe en revue les 10 pièges à éviter, mettant en lumière les meilleures pratiques pour assurer une intégration sécurisée de l’IA générative au sein des entreprises.
Alors que beaucoup se concentrent sur ses apports, il convient de se rappeler que si IA et cybersécurité forment un couple idéal, la puissance de cette technologie est aussi à disposition de l’ensemble des acteurs de la cybercriminalité. Ces derniers l’utilisent sans hésitation, notamment, pour créer des contenus falsifiés destinés à tromper les employés et les systèmes de sécurité.
Celle-ci donne par exemple la possibilité aux hackers de créer de faux e-mails, de fausses factures ou de fausses identités pour usurper la confiance de leurs cibles et leur soutirer des informations sensibles. En ce sens, la première erreur à commettre consisterait donc à sous-estimer la capacité de l’IA Générative à créer des attaques sophistiquées.
Face à ces attaques, les utilisateurs sont souvent la première ligne de défense. L’association de la technologie et d’une approche innovante permet de sensibiliser ceux-ci aux risques liés à l’IA générative, tels que les faux médias, les faux e-mails et les faux sites web. Pour une prévention efficace, il est donc essentiel d’éduquer les utilisateurs sur la reconnaissance des signes de contenu manipulé, la vérification des sources et le signalement d’incidents.
Partant ensuite du principe que l’IA est un sujet qui passionne tous les professionnels de l’IT, les entreprises commettent fréquemment l’erreur de faire l’impasse sur leur formation. Investir dans la compréhension approfondie du principe de l’apprentissage automatique et de l’IA générative permet pourtant aux équipes IT de mieux comprendre comment les hackers contournent les modèles et les utilisent à des fins malveillantes. L’acquisition de connaissances fondamentales sur le sujet leur donne ainsi les moyens de mieux reconnaître et signaler les attaques.
Du côté des équipes de sécurité, la lutte contre les menaces de l’IA générative tient plus du marathon que du sprint. En ce sens, il est crucial d’investir dans le développement continu des compétences.
Les équipes de sécurité doivent en effet pouvoir reconnaître les types d’attaques et les techniques utilisées, mais aussi avoir la capacité d’identifier les vecteurs d’infection et les conséquences potentielles. Elles doivent également être formées à l’utilisation d’outils de détection, d’analyse et de réponse adaptés.
Enfin, de manière à pouvoir anticiper les techniques des hackers et éviter des pièges tels que le GPT jailbreaking – qui exploite les faiblesses ou les biais des modèles – les membres de votre équipe sécurité doivent avoir la possibilité de réaliser ou de bénéficier d’une veille pointue qui leur permettra de se tenir à jour des évolutions des technologies et des cas d’usages.
L’IA générative peut créer des vidéos, des images et des enregistrements audios convaincants. Ces faux médias (ou deepfakes) peuvent être utilisés pour diffuser de la désinformation, nuire à la réputation d’une personne ou d’une organisation, ou influencer l’opinion publique.
Pour faire face à cette menace, les équipes de sécurité doivent être en mesure d’investir dans des outils de détection de faux médias qui se basent sur des indicateurs visuels, auditifs ou temporels, ou sur des techniques de vérification croisée afin de détecter les contenus manipulés.
Les attaquants utilisent également l’IA générative pour créer des modèles adverses qui trompent les systèmes de sécurité basés sur l’IA. Ils peuvent par exemple générer des images ou des sons qui perturbent la reconnaissance faciale ou vocale, ou des données qui faussent les résultats d’une analyse. Bien souvent, cette menace est encore sous le radar et peine à être inscrite dans les frameworks de détection.
En miroir au besoin de formation continue des équipes, y répondre demande donc une surveillance et une évolution continue des modèles de défense au sein des SOC (Security Operation Center) pour s’adapter.
Les attaques génératives ne laissent pas toujours de signatures claires. Nombre d’entre elles sont en effet conçues pour échapper aux méthodes traditionnelles de détection basées sur la comparaison avec des signatures connues.
Plutôt que de vous fier aveuglément à la détection de signature, considérez doter votre SOC d’approches diversifiées, en investissant notamment dans des approches comportementales et dans l’analyse contextuelle.
Cette méthode croisée permet de repérer les anomalies et les écarts par rapport à la norme, en tenant compte du contexte et de l’intention des acteurs. Elle augmente ainsi la capacité à détecter des attaques génératives qui échappent aux méthodes traditionnelles.
Les attaques génératives peuvent enfin être discrètes et difficiles à détecter. En ce sens, elles peuvent se manifester sous la forme de « signaux faibles » ou de « bruits de fond ». C’est là qu’intervient la corrélation des données, qui permet de croiser plusieurs sources pour identifier des comportements suspects ou des patterns récurrents.
Pour choisir les solutions adaptées, mieux vaut alors considérer que seules des solutions basées sur l’IA, ou plus spécifiquement sur l’IA générative, sont à même de détecter les menaces créées par une technologie équivalente.
Celles-ci permettent en effet de traiter de grandes quantités de données, de les analyser et de les visualiser de manière intelligente. Autrement dit, pour espérer s’engager dans un combat sur un pied d’égalité, on recommande donc d’opposer l’IA… à l’IA.
Par ailleurs, s’il est parfois difficile de faire évoluer les politiques de sécurité de l’information (PSSI) pour y intégrer les nouvelles menaces, il devient aujourd’hui crucial d’y inclure les directives sur la gestion des menaces génératives.
Au lieu de reléguer la mise à jour des politiques de sécurité au second plan, intégrez-la continuellement. Accompagnez cette mise à jour de procédures claires pour gérer les incidents liés à l’IA générative.
Pensez à spécifier les responsabilités et les rôles de chacun, les mesures de prévention, de détection et de réaction, ainsi que la fréquence à laquelle la politique sera réévaluée pour intégrer les recommandations issues de la veille technique de vos équipes.
Shadow IA : comment sécuriser votre SI face à l’IA invisible
Communiqué de Presse : Experteam et Bleu, un partenariat stratégique pour un Cloud de Confiance sécurisé
IA générative et sécurité : les 10 pièges à éviter pour réussir son intégration