L’avènement de l’intelligence artificielle (IA) ouvre des portes économiques considérables, avec une estimation du cabinet McKinsey suggérant une augmentation de la productivité mondiale de plusieurs milliers de milliards de dollars. 1Cependant, l’Intelligence Artificielle Générative (IA Générative) apporte son lot de défis, et redéfinit de manière inédite le paysage numérique.
Équilibrer innovation et sécurité : l’impact de l’IA générative
La nouvelle ère des défenseurs et des attaquants :
Dans ce nouveau chapitre numérique, l'essor de l'Intelligence Artificielle Générative (IA Générative) a déclenché une guerre silencieuse entre défenseurs et attaquants en cybersécurité. Les défenseurs exploitent cette technologie pour renforcer leurs systèmes, tandis que les hackers cherchent à exploiter ces avancées pour des attaques plus sophistiquées, utilisant notamment la génération automatisée de codes malveillants. Ce jeu du chat et de la souris exige une évolution de la cybersécurité vers des stratégies défensives intégrant l'IA, afin d'anticiper et contrer efficacement les menaces émergentes. Cela souligne la nécessité d'une approche proactive et d'une collaboration étroite entre les acteurs publics et privés pour maintenir la sécurité dans cet environnement en constante évolution.
L'épineuse relation entre Gen IA et Deepfake :
La relation complexe entre l'IA générative et les deepfakes met en lumière les défis croissants liés à la confiance en ligne et à la sécurité des données. Les deepfakes, créés par l'IA générative, représentent une menace pour l'intégrité des médias numériques et soulignent la nécessité de règles strictes pour préserver la fiabilité de l'information en ligne.
Toutefois, en général, les tendances du phishing sont toujours saisonnières. Au début de l'année, ce sont les lignes d'objet sur les déclarations de revenus, puis viennent les vacances d'été et ensuite les jours feriés. L'utilisation de l'IA n'est pas encore nécessairement évidente ici. Cependant, il existe des cas spectaculaires où l'IA est utilisée pour l'ingénierie sociale. Les exemples actuels incluent les 25 millions de dollars de fraude au directeur financier dans une entreprise à Hong Kong utilisant des deepfakes. Le spear phishing ou les voicefakes ont également été utilisés. Cependant, cela reste des exceptions si les attaquants sont très ciblés.
De plus, les attaques de phishing et les escroqueries par e-mail utilisent désormais du contenu généré par intelligence artificielle (IA), testé avec des solutions anti-IA. Des rapports comme celui du fournisseur de cybersécurité Abnormal Security, intitulé "IA Libérée : 5 attaques par e-mail réelles probablement générées par IA en 2023"2, montrent que la probabilité que les e-mails soient rédigés par une IA aujourd'hui est très élevée. Les analystes utilisent un code couleur pour rendre cela clair, mettant en évidence à quel point le mot suivant est prévisible en fonction de son contexte. Ces e-mails générés par IA sont extrêmement convaincants, avec une capacité à éviter les erreurs grammaticales et à imiter les styles de communication humaine.
Cela souligne la nécessité de règles strictes pour préserver la fiabilité des informations en ligne et protéger nos données.
En résumé, les LLM (Large Language Models) ont certains avantages pour les cybercriminels, mais cela semble être limité pour l'instant. Les bases de la formation anti-ingénierie sociale s'appliquent toujours. Pourtant, il n'y a aucune raison pour qu'un outil IA ne puisse pas être formé pour examiner le contenu d'e-mails légitimes de marques bien connues pour créer des e-mails de phishing quasi-parfaits. Les entreprises doivent préparer leurs employés à cela. La meilleure façon d'y parvenir est avec des formes modernes de formation à la sensibilisation à la sécurité, avec un mélange de phishing simulé et de contenu de formation interactif qui peut être consulté à tout moment via une plateforme centrale.
La course à la régulation
L’intelligence artificielle (IA) est au cœur d’une compétition mondiale pour la régulation. Les acteurs étatiques et internationaux cherchent à trouver un équilibre délicat entre l’innovation technologique et la nécessité de réglementer cette avancée disruptive. Tandis que l’UE se positionne en pionnière avec une législation stricte, les États-Unis privilégient la responsabilisation des acteurs privés par le biais de directives non contraignantes et d’investissements dans l’innovation. La France, a publié en janvier 2021 sa stratégie nationale en matière d'intelligence artificielle (IA), mettant l'accent sur quatre principaux domaines d'action : la recherche et l'innovation, l'éthique, la régulation et l'attractivité des talents. Le pays s'engage à investir dans la recherche et le développement de l'IA, à promouvoir des normes éthiques dans son utilisation, à mettre en place des réglementations pour encadrer son déploiement et à développer les compétences nécessaires pour soutenir son développement. La France cherche également à renforcer la coopération internationale dans le domaine de l'IA.
Une régulation internationale est nécessaire pour harmoniser les politiques et éviter les "havres réglementaires" qui pourraient être exploités par des acteurs malveillants.
L'évolution rapide de l'IA générative soulève ainsi des défis significatifs en matière de cybersécurité, d'innovation numérique et de régulation. Intégrer cette technologie dans les stratégies défensives, tout en garantissant des règles strictes pour protéger l'intégrité des informations en ligne, est crucial. Une collaboration entre acteurs publics et privés, ainsi qu'une régulation internationale cohérente, sont nécessaires pour naviguer avec succès dans cet environnement numérique en évolution tout en préservant la sécurité et la confiance en ligne.
Atténuer les risques
Pour contrer efficacement les menaces émergentes, une formation à la sensibilisation à la sécurité est essentielle pour tous les acteurs, entreprises et utilisateurs individuels. Cette formation devrait inclure la reconnaissance des attaques de phishing et des deepfakes, ainsi que les bonnes pratiques en matière de gestion des identifiants et des mots de passe. En favorisant une culture de la sécurité, les organisations peuvent renforcer leur résilience face aux cybermenaces. L'implémentation de solutions technologiques telles que les logiciels de détection et de prévention des intrusions complétera ces efforts. En combinant formation, sensibilisation et technologie, les entreprises peuvent atténuer les risques humains liés à l'ingénierie sociale et assurer un environnement numérique plus sûr pour tous
1https://www.mckinsey.com/capabilities/quantumblack/our-insights/the-state-of-ai-in-2023-generative-ais-breakout-year
2 https://abnormalsecurity.com/resources/ai-unleashed-real-world-email-attacks