Jacques-Bruno Delaroche, Exclusive Networks
Les prouesses des grands modèles de langage que sont GPT 3.5, GTP 4 ou Google Bard donnent d’une certaine manière une vision un peu déformée de ce qu’est véritablement l’IA aujourd’hui. Si les réponses de ChatGPT apparaissent comme magiques, il ne s’agit que d’un outil qui ne s’appuie que sur modèles purement linguistiques. A une chaîne de caractères que l’on injecte en entrée, le fameux Prompt, le modèle retourne une autre chaîne de caractères. Il ne s’agit que d’une suite de mots répondant à une autre suite de mots. Il n’y a ni compréhension de la question, ni l’amorce d’un libre arbitre derrière ces mots. Aucun de ces modèles n’évoluera un jour vers un hypothétique Skynet même si on multiplie par 1 000 ou par 1 million le nombre d’informations ingérées par le modèle.
L’IA est une menace, mais surtout une solution
Par-delà cette peur irrationnelle, l’IA a beaucoup à nous apporter dans de multiples secteurs et la cybersécurité en est l’exemple-type. L’IA est à la fois une menace du fait de son utilisation désormais généralisée par les attaquants, mais c’est aussi la solution à de nombreux problèmes de sécurité.
L’impact de l’IA est aujourd’hui une réalité dans la menace informatique et on a observé un vrai avant/après depuis l’émergence des IA. La qualité des SMS et des emails envoyés par les pirates s’est énormément améliorée grâce aux IA génératives : celles-ci peuvent générer des messages de plus en plus crédibles pour vous pousser à cliquer sur une URL malicieuse. Certains messages de changement de mot de passe générés par IA sont parfois plus crédibles que ceux qu’envoie votre DSI ! Avec les IA, les pirates peuvent envoyer des messages plus réalistes, mais aussi les traduire en de multiples langues pour élargir le nombre de leurs victimes. Actuellement, les pirates exploitent activement des algorithmes à toutes les phases de la « kill chain » des attaques, depuis la définition des cibles, la création d’un malware, l’exploitation d’une faille puis la récupération et le chiffrement des données en toute fin. La cybercriminalité est aujourd’hui une industrie et l’IA permet à ces professionnels de gagner du temps. L’IA peut même créer de nouveaux scénarios d’attaque afin de passer sous le radar des défenseurs.
En défense, l’IA rend déjà d’immenses services pour contrer ces attaques. Une entreprise peut mettre à profit l’IA pour savoir comment elle pourrait être attaquée. L’IA peut scanner ses infrastructures informatiques, mener des PenTests (tests de pénétration), vérifier la cyber exposition de l’entreprise pour savoir si elle est un objectif de choix sur le Dark Web. Il est ainsi possible d’anticiper au maximum une future attaque et décourager les assaillants.
Voir au-delà du simple argument marketing
Beaucoup de fournisseurs de solutions de sécurité ont fait de l’IA un mot magique, un argument marketing indispensable à toute solution qui se veut moderne. Certains mettent en avant l’IA alors qu’il se s’agit bien souvent que des simples réponses préenregistrées renvoyées automatiquement à l’utilisateur. A contrario, d’autres exploitent de véritables mécanismes proches de ce que l’on attend d’une IA, mais commercialisé sous un autre nom. C’est notamment le cas de l’analyse comportementale (UEBA pour User & Entity Behavior Analytics), une technologie implémentée dans de nombreuses solutions. Cette approche s’apparente à de l’Intelligence Artificielle et la réaction des entreprises est parfois très négative. Personne ne veut être épié par un logiciel, même si cette peur est infondée, celle-ci est très présente chez les collaborateurs. L’algorithme se moque bien de vos habitudes. Il ne fait que créer un template, un modèle du comportement habituel de l’utilisateur, et déclenche une alerte si ce dernier en dévie. L’approche permet même d’anticiper ses actions et de combler à l’avance les failles de sécurité potentielles avant que celles-ci ne soient exploitées. La pression marketing n’engendre pas la peur des IA par elle-même, mais elle ne participe pas à une bonne compréhension de celle-ci, bien au contraire.
De même, dans les SOC, ces centres de sécurité qui veillent à la sécurité des entreprises, les algorithmes analysent d’énormes masses de données liées au fonctionnement des systèmes informatiques. L’IA n’a pas pour vocation de remplacer les analystes humains, mais c’est un outil d’analyse supplémentaire pour eux qui leur permet de se concentrer sur des tâches où l’on a réellement besoin d’une expertise humaine.
Beaucoup d’intellectuels, de penseurs aiment à mettre en garde le public contre les dangers de l’IA, mais ils oublient systématiquement de mettre en balance tous les bienfaits que celle-ci va apporter à l’humanité. Le débat sur l’IA en 2023 peut directement être mis en parallèle à celui qui ont fait rage à la fin des années 1990 ; lors des débuts d’Internet. Internet a eu des impacts certains sur le commerce, a engendré une nouvelle criminalité, mais l’impact positif sur nos sociétés a été énorme.
Finalement, des algorithmes mis en œuvre par les attaquants peuvent tout à fait être mis à profit pour renforcer les défenses de l’entreprise. L’IA présente des dangers, c’est une certitude, mais ce sont des technologies qui offrent des capacités qui vont aider l’homme dans de multiples domaines.
L’Europe ne doit pas s’isoler face aux enjeux de l’IA
Cette peur ne doit pas empêcher l’Europe d’innover sur l’intelligence artificielle en empêchant les entreprises de travailler sur ces nouvelles technologies. Le secteur de la cybersécurité est en train d’en faire la démonstration : l’IA permet de déjouer des attaques informatiques tous les jours. Ce potentiel de développement est immense dans les autres secteurs d’activité, notamment l’industrie et le médical. Vouloir brider ou verrouiller les usages de l’IA dans l’Union Européenne serait une grave erreur. Non seulement il s’agit de marchés mondiaux et l’Europe prendrait un retard considérable par rapport aux Etats-Unis, aux pays asiatiques, mais il ne faut pas comparer l’IA à la boîte de Pandore qu’il ne faut surtout pas ouvrir. Bien au contraire, chacun de nous doit s’emparer de l’IA, doit apprendre à l’utiliser, tester des services comme ChatGPT, Midjourney. Les plus jeunes ont déjà bien compris tout l’intérêt qu’ils pouvaient tirer de l’IA, ne serait-ce que pour les aider à faire leurs devoirs. Si les générations en poste dans les entreprises ont peur d’être remplacées par des IA et rejettent en bloc cette évolution, leurs successeurs sauront comment en tirer profit et travailleront en s’appuyant sur ces outils.
Chercher à interdire ou à limiter trop fortement les usages de l’IA est à mon sens une erreur. Plus on connaît l’IA, plus on en perçoit les limites et mieux on peut espérer la contrôler.
L’IA est une menace, mais surtout une solution
Par-delà cette peur irrationnelle, l’IA a beaucoup à nous apporter dans de multiples secteurs et la cybersécurité en est l’exemple-type. L’IA est à la fois une menace du fait de son utilisation désormais généralisée par les attaquants, mais c’est aussi la solution à de nombreux problèmes de sécurité.
L’impact de l’IA est aujourd’hui une réalité dans la menace informatique et on a observé un vrai avant/après depuis l’émergence des IA. La qualité des SMS et des emails envoyés par les pirates s’est énormément améliorée grâce aux IA génératives : celles-ci peuvent générer des messages de plus en plus crédibles pour vous pousser à cliquer sur une URL malicieuse. Certains messages de changement de mot de passe générés par IA sont parfois plus crédibles que ceux qu’envoie votre DSI ! Avec les IA, les pirates peuvent envoyer des messages plus réalistes, mais aussi les traduire en de multiples langues pour élargir le nombre de leurs victimes. Actuellement, les pirates exploitent activement des algorithmes à toutes les phases de la « kill chain » des attaques, depuis la définition des cibles, la création d’un malware, l’exploitation d’une faille puis la récupération et le chiffrement des données en toute fin. La cybercriminalité est aujourd’hui une industrie et l’IA permet à ces professionnels de gagner du temps. L’IA peut même créer de nouveaux scénarios d’attaque afin de passer sous le radar des défenseurs.
En défense, l’IA rend déjà d’immenses services pour contrer ces attaques. Une entreprise peut mettre à profit l’IA pour savoir comment elle pourrait être attaquée. L’IA peut scanner ses infrastructures informatiques, mener des PenTests (tests de pénétration), vérifier la cyber exposition de l’entreprise pour savoir si elle est un objectif de choix sur le Dark Web. Il est ainsi possible d’anticiper au maximum une future attaque et décourager les assaillants.
Voir au-delà du simple argument marketing
Beaucoup de fournisseurs de solutions de sécurité ont fait de l’IA un mot magique, un argument marketing indispensable à toute solution qui se veut moderne. Certains mettent en avant l’IA alors qu’il se s’agit bien souvent que des simples réponses préenregistrées renvoyées automatiquement à l’utilisateur. A contrario, d’autres exploitent de véritables mécanismes proches de ce que l’on attend d’une IA, mais commercialisé sous un autre nom. C’est notamment le cas de l’analyse comportementale (UEBA pour User & Entity Behavior Analytics), une technologie implémentée dans de nombreuses solutions. Cette approche s’apparente à de l’Intelligence Artificielle et la réaction des entreprises est parfois très négative. Personne ne veut être épié par un logiciel, même si cette peur est infondée, celle-ci est très présente chez les collaborateurs. L’algorithme se moque bien de vos habitudes. Il ne fait que créer un template, un modèle du comportement habituel de l’utilisateur, et déclenche une alerte si ce dernier en dévie. L’approche permet même d’anticiper ses actions et de combler à l’avance les failles de sécurité potentielles avant que celles-ci ne soient exploitées. La pression marketing n’engendre pas la peur des IA par elle-même, mais elle ne participe pas à une bonne compréhension de celle-ci, bien au contraire.
De même, dans les SOC, ces centres de sécurité qui veillent à la sécurité des entreprises, les algorithmes analysent d’énormes masses de données liées au fonctionnement des systèmes informatiques. L’IA n’a pas pour vocation de remplacer les analystes humains, mais c’est un outil d’analyse supplémentaire pour eux qui leur permet de se concentrer sur des tâches où l’on a réellement besoin d’une expertise humaine.
Beaucoup d’intellectuels, de penseurs aiment à mettre en garde le public contre les dangers de l’IA, mais ils oublient systématiquement de mettre en balance tous les bienfaits que celle-ci va apporter à l’humanité. Le débat sur l’IA en 2023 peut directement être mis en parallèle à celui qui ont fait rage à la fin des années 1990 ; lors des débuts d’Internet. Internet a eu des impacts certains sur le commerce, a engendré une nouvelle criminalité, mais l’impact positif sur nos sociétés a été énorme.
Finalement, des algorithmes mis en œuvre par les attaquants peuvent tout à fait être mis à profit pour renforcer les défenses de l’entreprise. L’IA présente des dangers, c’est une certitude, mais ce sont des technologies qui offrent des capacités qui vont aider l’homme dans de multiples domaines.
L’Europe ne doit pas s’isoler face aux enjeux de l’IA
Cette peur ne doit pas empêcher l’Europe d’innover sur l’intelligence artificielle en empêchant les entreprises de travailler sur ces nouvelles technologies. Le secteur de la cybersécurité est en train d’en faire la démonstration : l’IA permet de déjouer des attaques informatiques tous les jours. Ce potentiel de développement est immense dans les autres secteurs d’activité, notamment l’industrie et le médical. Vouloir brider ou verrouiller les usages de l’IA dans l’Union Européenne serait une grave erreur. Non seulement il s’agit de marchés mondiaux et l’Europe prendrait un retard considérable par rapport aux Etats-Unis, aux pays asiatiques, mais il ne faut pas comparer l’IA à la boîte de Pandore qu’il ne faut surtout pas ouvrir. Bien au contraire, chacun de nous doit s’emparer de l’IA, doit apprendre à l’utiliser, tester des services comme ChatGPT, Midjourney. Les plus jeunes ont déjà bien compris tout l’intérêt qu’ils pouvaient tirer de l’IA, ne serait-ce que pour les aider à faire leurs devoirs. Si les générations en poste dans les entreprises ont peur d’être remplacées par des IA et rejettent en bloc cette évolution, leurs successeurs sauront comment en tirer profit et travailleront en s’appuyant sur ces outils.
Chercher à interdire ou à limiter trop fortement les usages de l’IA est à mon sens une erreur. Plus on connaît l’IA, plus on en perçoit les limites et mieux on peut espérer la contrôler.
Autres articles
