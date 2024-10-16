Même si nous n’en sommes pas toujours conscients, l’intelligence artificielle est désormais omniprésente. Nous sommes déjà habitués aux systèmes de recommandation personnalisés dans le commerce électronique, aux chatbots de service client alimentés par l’IA conversationnelle et bien plus encore. Dans le domaine de la sécurité de l’information, nous comptons déjà depuis des années sur des filtres anti-spam alimentés par l’IA pour nous protéger des e-mails malveillants.
Ce sont tous des cas d’utilisation bien établis. Cependant, depuis la montée fulgurante de l’IA générative ces dernières années, les machines sont devenues capables de bien plus. De la détection des menaces à l’automatisation de la réponse aux incidents, en passant par les tests de sensibilisation des employés via des e-mails de phishing simulés, l’opportunité de l’IA en cybersécurité est indiscutable.
Mais chaque nouvelle opportunité comporte de nouveaux risques. Les acteurs de la menace utilisent désormais l’IA pour lancer des attaques de phishing de plus en plus convaincantes à une échelle qui n’était pas possible auparavant. Pour garder une longueur d’avance sur les menaces, ceux qui se trouvent sur les lignes défensives ont également besoin de l’IA, mais son utilisation doit être transparente et axée sur l’éthique afin d’éviter de tomber dans le domaine des tactiques "grises".
Le moment est venu pour les responsables de la sécurité de l’information d’adopter des stratégies d’IA responsables.
La criminalité est un problème humain, et la cybercriminalité ne fait pas exception. La technologie, y compris l’IA générative, n’est qu’un outil de plus dans l’arsenal des attaquants. Les entreprises légitimes entraînent leurs modèles IA sur de vastes étendues de données provenant d’Internet. Non seulement ces modèles sont souvent entraînés sur les efforts créatifs de millions de vraies personnes, mais il est également possible qu’ils captent des informations personnelles qui se sont retrouvées dans le domaine public, intentionnellement ou non. En conséquence, certains des plus grands développeurs de modèles IA font désormais l’objet de poursuites judiciaires, tandis que le secteur dans son ensemble fait l’objet d’une attention croissante de la part des régulateurs.
Si les acteurs de la menace se soucient peu de l’éthique de l’IA, il est facile pour les entreprises légitimes de se retrouver involontairement dans la même situation. Les outils de web scraping, par exemple, peuvent être utilisés pour collecter des données d’entraînement afin de créer un modèle permettant de détecter les contenus de phishing. Toutefois, ces outils pourraient ne pas faire de distinction entre les informations personnelles et les informations anonymisées, notamment dans le cas du contenu image. Les ensembles de données open source comme LAION pour les images ou The Pile pour le texte présentent un problème similaire. Par exemple, en 2022, une artiste californienne a découvert que des photos médicales privées prises par son médecin s’étaient retrouvées dans le jeu de données LAION-5B utilisé pour entraîner le synthétiseur d’images open-source Stable Diffusion.
Il est indéniable que le développement inconsidéré de modèles d’IA axés sur la cybersécurité peut entraîner des risques plus importants que l’absence totale d’utilisation de l’IA. Pour éviter cela, les développeurs de solutions de sécurité doivent respecter les normes les plus strictes en matière de qualité des données et de confidentialité, en particulier lorsqu’il s’agit d’anonymiser ou de protéger des informations confidentielles. Des lois telles que le Règlement général sur la protection des données (RGPD) en Europe et le California Consumer Privacy Act (CCPA), bien qu’elles aient été élaborées avant l’essor de l’IA générative, constituent de précieuses directives pour élaborer des stratégies d’IA éthiques.
Les entreprises utilisent le machine learning pour détecter les menaces et vulnérabilités de sécurité bien avant l’essor de l’IA générative. Les systèmes alimentés par le traitement automatique du langage naturel (NLP), l’analytique des comportements et des sentiments et l’apprentissage profond sont tous bien établis dans ces cas d’utilisation. Mais ils présentent également des problèmes éthiques où la vie privée et la sécurité peuvent devenir des disciplines concurrentes.
Prenons l’exemple d’une entreprise qui utilise l’IA pour surveiller l’historique de navigation de ses employés afin de détecter les menaces internes. Bien que cela renforce la sécurité, cela peut également impliquer la capture d’informations personnelles relatives à la navigation (recherches médicales ou transactions financières) que les employés s’attendent à garder confidentielles.
La protection de la vie privée est également une préoccupation en matière de sécurité physique. Par exemple, la reconnaissance des empreintes digitales pilotée par l’IA pourrait empêcher l’accès non autorisé à des sites ou appareils sensibles, mais elle implique aussi la collecte de données biométriques hautement sensibles qui, si elles étaient compromises, pourraient causer des problèmes durables aux personnes concernées. Après tout, si vos données d’empreintes digitales sont piratées, vous ne pouvez pas vraiment obtenir un nouveau doigt. C’est pourquoi il est impératif que les systèmes biométriques soient soumis à un niveau de sécurité maximal et soient soutenus par des politiques responsables de conservation des données.
La chose la plus importante à retenir à propos de l’IA, c’est que, tout comme les humains, elle peut faire des faux pas de différentes manières. L’une des tâches essentielles de l’adoption d’une stratégie d’IA éthique est le test, l’évaluation, la validation et la vérification (TEVV). C’est particulièrement le cas dans un domaine aussi essentiel que la cybersécurité.
La plupart des risques liés à l’IA se manifestent au cours du processus de développement. Par exemple, les données d’entraînement doivent faire l’objet d’une vérification approfondie de la qualité (TEVV) afin de s’assurer qu’elles n’ont pas été manipulées. C’est essentiel car l’empoisonnement des données est désormais l’un des principaux vecteurs d’attaque déployés par les cybercriminels les plus sophistiqués.
Un autre problème inhérent à l’IA, tout comme aux humains, est la partialité et l’équité. Par exemple, un outil d’IA utilisé pour signaler les e-mails malveillants pourrait cibler des e-mails légitimes parce qu’ils présentent des signes d’une langue vernaculaire communément associée à un groupe culturel spécifique. Cela résulte dans un profilage et un ciblage injustes de certains groupes, ce qui soulève des inquiétudes quant aux mesures injustes prises.
L’objectif de l’IA est d’augmenter l’intelligence humaine, pas de la remplacer. Les machines ne peuvent pas être tenues pour responsables en cas de problème. Il est important de se rappeler que l’IA fait ce que les humains l’entraînent à faire. De ce fait, l’IA hérite des préjugés humains et des mauvais processus de prise de décision. La nature de « boîte noire » de nombreux modèles d’IA peut également rendre extrêmement difficile l’identification de la cause racine de ces problèmes, tout simplement parce que les utilisateurs finaux n’ont aucune idée de la manière dont l’IA prend les décisions qu’elle prend. Ces modèles ne sont pas suffisamment explicables pour garantir la transparence et la responsabilité dans la prise de décisions pilotée par l’IA.
Qu’il s’agisse de développer ou d’utiliser l’IA (dans la cybersécurité ou tout autre contexte), il est essentiel de maintenir les humains dans la boucle tout au long du processus. Les données relatives à l’entraînement doivent être régulièrement vérifiées par des équipes diversifiées et inclusives et affinées afin de réduire les préjugés et les informations erronées. Bien que les personnes soient elles-mêmes sujettes aux mêmes problèmes, une supervision continue et la capacité à expliquer comment l’IA tire ses conclusions peuvent considérablement atténuer ces risques.
D’un autre côté, le simple fait de considérer l’IA comme un raccourci et un remplacement humain a inévitablement pour effet qu’elle évolue à sa propre manière, entraînée sur ses propres résultats au point de ne faire qu’amplifier ses propres lacunes – un concept connu sous le nom de dérive de l’IA.
Il ne faut pas sous-estimer le rôle humain dans la protection de l’IA et dans la responsabilité de son adoption et de son utilisation. C’est pourquoi, au lieu de se concentrer sur l’IA comme moyen de réduire leurs effectifs et d’économiser de l’argent, les entreprises devraient investir les économies réalisées dans la reconversion de leurs équipes et dans la transition vers de nouveaux postes liés à l’IA. Cela signifie que tous les professionnels de la sécurité de l’information doivent donner la priorité à l’utilisation éthique de l’IA (et donc aux personnes).