IA générative et risques cyber les commentaires de Shawn Surber et Tim Morris, Tanium
septembre 2023 par Shawn Surber et Tim Morris, Tanium
Selon une nouvelle étude du cabinet Gartner sur l’IA générative, son implémentation suscite de nombreuses inquiétudes en matière de cybersécurité. L’étude aborde également la manière dont les RSSI comptent renforcer la résilience de leurs entreprises grâce à l’IA générative. A ce sujet, vous trouverez ci-dessous les commentaires de Shawn Surber, Senior Director, Technical Account Management et Tim Morris, Chief Security Advisor pour les Amériques chez Tanium.
Les commentaires de Shawn Surber
1. Comment la mise à disposition massive d’outils d’IA générative a-t-elle influé sur les préoccupations des responsables de la gestion des risques en entreprises, en matière de cyber ?
“Contrairement à la plupart des facteurs de risque, l’IA générative devient omniprésente. L’IA est rapidement intégrée dans toutes sortes d’outils, et chaque fois que le développement de ces outils est rapide, cela peut engendrer un nombre non négligeable de vulnérabilités inattendues. En outre, l’accès gratuit et payant à l’IA générative étant à la portée de tous, le risque de fuites de données involontaires liées à des menaces internes croît de manière exponentielle.”
2. Quels sont les facteurs spécifiques à l’IA générative qui ont conduit à son émergence en tant que deuxième risque le plus fréquemment cité par les responsables de la gestion du risque en entreprise ?
“Honnêtement, nous devons nous méfier des biais liés à la nouveauté et au bruit médiatique sur ce sujet. L’IA générative est presque constamment dans l’actualité ces derniers temps, avec beaucoup de spéculations autour de cette technologie, de sorte qu’une grande partie des préoccupations concernant l’impact de l’IA générative sur les risques en entreprise repose principalement sur la peur de l’inconnu, plutôt que sur des menaces spécifiques. Cela ne veut pas dire que le risque est nul, mais qu’il peut exister un certain biais dans le fait qu’elle figure dans le top 5.”
3. Pourriez-vous nous en dire plus sur les risques cyber potentiels posés par les outils d’IA générative, en particulier en termes de création de logiciels malveillants, de codes de ransomware et d’attaques de type "prompt injection” ?
“L’IA générative pourrait potentiellement porter le concept de logiciel malveillant en tant que service et les activités de script-kiddy à un tout autre niveau, car les nouveaux venus dans le domaine utilisent des générateurs de code pour construire leur code. Il ne s’agira généralement pas du code le plus efficace, le plus efficient ou le plus furtif, mais cela signifie qu’un plus grand nombre de personnes peuvent produire des codes malveillants encore plus rapidement, ce qui élève le niveau général de la menace. Cela pourrait potentiellement augmenter le nombre de petites organisations et de consommateurs ciblés par ce type de logiciels malveillants. La compromission des chatbots reste l’une de mes plus grandes préoccupations en ce qui concerne les attaques par IA générative.”
Les commentaires de Tim Morris
“Comme pour toute nouvelle technologie, les entreprises doivent déterminer comment l’IA générative peut permettre de produire des résultats concrets et de la valeur ajoutée pour l’entreprise. De là en découlent des politiques d’utilisation acceptables. Il n’est pas rare de restreindre l’utilisation d’une technologie jusqu’à ce qu’elle soit sûre et viable en tant qu’outil professionnel. Pour certaines entreprises, l’utilisation de l’IA générative fera partie de leurs compétences de base, et elles devront donc accélérer son adoption.
Parmi les risques liés à l’IA générative, on peut citer le fait que les utilisateurs partagent par inadvertance avec l’IA des données qui ne devraient pas quitter les entreprises. Ces données peuvent être utilisées pour former les modèles actuels et futurs.
Par ailleurs, les ingénieurs en Machine Learning utilisent souvent des modèles publics pour former les instances d’IA de leur entreprise. Ces modèles peuvent présenter un risque pour les chaînes d’approvisionnement car ils peuvent être reconfigurés pour être des fichiers exécutables utilisés par des ingénieurs en machine learning qui ont généralement de nombreux accès sur le réseau de l’entreprise. Il s’agit d’une cible de choix pour les cyberattaques.”