Artificial Intelligence and Digital Trust | DigiCert Insights

Intelligence artificielle
et confiance numérique

Analyses et décryptages de la convergence entre IA
et cybersécurité

L’IA générative : nouvelle source de menaces… et d'opportunités

L’intelligence artificielle transforme déjà de nombreux aspects de notre quotidien depuis des années. Cette tendance est appelée à s’accentuer, pour le meilleur comme pour le pire. Mais à l’heure où l’IA gagne en puissance et s’ancre de plus en plus fermement dans les usages, les entreprises doivent impérativement évaluer son potentiel de façon réaliste et objective, à la fois en tant qu’outil et menace.

Generative AI | DigiCert Insights

En bref : IA contre IA

  • L’IA démultiplie les vitesses et les capacités d'action des acteurs bien et mal intentionnés

  • La généralisation du machine learning dans les entreprises en fait un outil et une cible de choix

  • L’engouement que suscite l’IA peut en faire oublier les risques

  • Les menaces émergentes ne cessent de s’amplifier et de se diversifier

  • Les menaces générées par IA imposent la mise en place d'une sécurité pilotée par IA  

AI vs. AI | DigiCert Insights

1952

Arthur Samuel met au point le premier programme informatique (un jeu d’échecs) doué d'une capacité d'auto-apprentissage.

97 %

des dirigeants pensent que l’utilisation de ChatGPT sera bénéfique pour leur entreprise.   

Source : Forbes Advisor, 2024

75 %

des consommateurs s’inquiètent de l'usage de l’IA par les entreprises.  

Source : Forbes Advisor, 2024

3/4

des entreprises interrogées par CSO Online rapportent une augmentation des cyberattaques au cours des 12 derniers mois, un phénomène que la plupart attribuent à l’essor des outils d’IA générative.

Source : CSO Online, 2023

46 %

des entreprises estiment que l’IA générative les rend plus vulnérables aux attaques.  

Source : CSO Online 2023

407 Md$

Le marché mondial de l’IA devrait représenter 407 Md$ en 2027, contre 86,9 Md$ en 2022.

L’effet buzz

Les conséquences réelles de l’IA générative sont très difficiles à prédire, tant l’énorme buzz qui l'entoure obscurcit aujourd’hui cette technologie. À lui tout seul, le terme « IA » est devenu une sorte d’argument marketing. Vous souhaitez remplir la salle lors de votre prochain événement tech ? Mettez « IA » dans le titre de votre présentation. Vous voulez attirer l’attention sur une fonctionnalité ML de votre logiciel ? Ajoutez « IA » au nom de votre produit. Tout ceci ne fait que voiler la réalité, avec d’un côté des avantages et des dangers sensationnalisés et, de l’autre, une insensibilisation de beaucoup aux thématiques IA dans leur ensemble.

À cela s’ajoute le fait que bon nombre de personnes, notamment les moins techniquement versés d'entre nous, ne comprennent pas précisément ce qu’est l’IA. 

AI Chip | DigiCert Insights

Intelligence artificielle : des machines qui pensent

L’intelligence artificielle porte bien son nom : elle regroupe des systèmes informatiques utilisés pour simuler les processus de l’intelligence humaine. 

Voici quelques exemples : traitement du langage, reconnaissance vocale, systèmes experts et vision machine. 

Machine Learning | DigiCert Insights

Machine learning : des machines qui pensent par elles-mêmes

Le machine learning désigne des systèmes informatiques pilotés par des algorithmes qui leur permettent d’apprendre et de s’adapter automatiquement après avoir été entraînés sur des jeux de données spécifiques. 

Quelques exemples : algorithmes de recommandation de contenus, analyse prédictive et reconnaissance d’images.

Deep Learning | DigiCert Insights

Deep learning : des machines qui pensent comme nous

Le deep learning est une technique qui utilise des couches d’algorithmes et des unités de calcul pour simuler un réseau neuronal construit à l’image du cerveau humain. 

Exemples : grands modèles de langage (LLM), traduction et reconnaissance faciale.

Attaques intelligentes

Content authenticity

Identity manipulation

Phishing with dynamite

Prompt injection

Machine Hallucinations

Attack sophistication

Custom malware

Poisoned data

Privacy leaks

Authenticité des contenus

L’IA générative est capable de créer des copies très réalistes à partir de contenus originaux. Cette aptitude menace la propriété intellectuelle, surtout dans le cas des entreprises qui exploitent l’IA pour générer des contenus. Les acteurs malveillants, quant à eux, peuvent voler des données et produire des copies convaincantes pour imiter une création originale, voire faciliter d’autres attaques. 

Usurpation d’identité

L’IA générative peut créer des images et vidéos ultraréalistes en quelques secondes, voire même manipuler une vidéo live au moment même de sa création. Cela peut éroder le degré de confiance dans certains systèmes critiques (logiciels de reconnaissance faciale, preuves vidéo utilisées devant des tribunaux, fausses informations diffusées à des fins politiques, etc.) et entacher de doute toute forme d’identification visuelle. 

Phishing

Les cybercriminels peuvent utiliser des outils d’IA générative pour reproduire des visages, des voix et des styles d’écriture de façon extrêmement convaincante. L'IA peut aussi les aider à imiter l’identité de marques ou d’entreprises pour créer une apparence de légitimité et ainsi échapper aux systèmes de détection

Prompt injection

Beaucoup d’entreprises utilisent des modèles d’IA générative grand public. Ce faisant, elles peuvent exposer les informations utilisées pour entraîner ou créer des invites (ou prompts) à des attaques par injection, par lesquelles les hackers parviennent à obtenir des données qui ne sont pas censées être divulguées. En l’absence de protections solides et de mises à jour fréquentes, l’exploitation du modèle de base peut exposer toute organisation qui utilise ce modèle.  

Hallucinations

L’IA parvient à produire rapidement des contenus vocaux ou textuels convaincants. Cependant, elle n’est pas à l’abri d'erreurs. Cela pose notamment problème aux entreprises qui s’appuient sur l’IA pour générer du contenu d’information ou d’assistance, ainsi qu’à celles qui ont recours au machine learning pour détecter les menaces. Dans ce dernier cas, la moindre erreur peut coûter cher. 

Sophistication des attaques

Par sa capacité à générer du code fonctionnel à vitesse surhumaine, l'IA pourrait être détournée pour déployer des offensives d’une ampleur, d’une rapidité et d’une complexité sans précédent. Des attaquants pourraient aussi utiliser l’IA pour détecter des vulnérabilités dans un codebase compromis, et ainsi abaisser les barrières à l'entrée pour tous les acteurs malveillants.  

Malwares personnalisés

Bien que les principaux LLM soient dotés de protections empêchant les utilisateurs de créer du code malveillant, les hackers les plus habiles finissent toujours par y débusquer des failles exploitables. Les modèles dérobés ou copiés peuvent aussi être délestés de ces protections, permettant aux cybercriminels de générer rapidement des exploits quasi indétectables et hautement personnalisables. 

Empoisonnement des données

Les attaquants n’ont pas nécessairement besoin d’exploiter directement l’IA. Ils peuvent cibler à la place les données d’entraînement des modèles de machine learning pour en fausser les résultats. Ces données permettent ensuite de créer des exploits au sein du modèle, comme la falsification d’une séquence d’ADN dans une base de données judiciaire, ou simplement de générer des résultats susceptibles de nuire à l’organisation visée.  

Divulgation de données confidentielles

Lorsque l’IA traite ou est entraînée avec des données sensibles, ces informations courent le risque d’être exposées soit via un bug, comme nous l’avons vu avec plusieurs modèles grand public, soit par le biais d’une attaque ciblée. 

Qu’en dit l’IA elle-même ?

Nous avons demandé à ChatGPT de lister les principales menaces que présente l’IA générative. Voici sa réponse : 

L’IA générative offre un potentiel incroyable d’innovation et de créativité. Mais cette technologie pose également des défis et des menaces de cybersécurité uniques. Voici quelques-uns de ses principaux risques :

  1. Création de faux contenus sophistiqués
  2. Automatisation des cyberattaques
  3. Contournement des mesures de sécurité traditionnelles
  4. Exploitation malveillante de l’IA
  5. Problèmes de confidentialité
  6. Manipulation de preuves numériques
  7. Émergence de cyberattaques pilotées par l’IA
ChatGPT Reply | DigiCert Insights

Sécurité intelligente

Les fonctionnalités qui font de l’IA une arme offensive si redoutable peuvent et doivent être utilisées pour renforcer les cyberdéfenses. Ceci permet aux entreprises non seulement de développer des technologies de cybersécurité plus agiles et efficaces, mais aussi de mieux répondre aux failles humaines.

Artificial Intelligence and Digital Trust 

Détection plus rapide et plus précise

L’IA peut reconnaître des schémas d'attaque qui échappent aux capacités cognitives de l'humain. En créant un référentiel de comportements systémiques et humains plus précis et exhaustif, le machine learning peut aider les entreprises à identifier les anomalies, même les plus subtiles.

Artificial Intelligence and Digital Trust

Évaluation et adaptation accélérées

L’IA analyse des informations externes, comme les menaces détectées dans d’autres environnements, et ajuste les mesures de sécurité plus vite que ne le ferait l’humain. Elle aide ainsi les organisations à créer rapidement des politiques de sécurité hautement résilientes et capables de s’affiner automatiquement.

Artificial Intelligence and Digital Trust

Réduction des erreurs humaines

L’humain constitue souvent le maillon faible des programmes de cybersécurité. En automatisant certaines tâches, et en les exécutant de manière plus précise et rapide, l’IA peut réduire l’erreur humaine tout en recentrant les compétences des équipes sur des tâches plus stratégiques.

Artificial Intelligence and Digital Trust 

Formation et efficacité

Les entreprises peuvent utiliser des outils d'IA pour créer des formations et des simulations plus réalistes, aider les équipes à maîtriser plus rapidement des techniques et technologies de cybersécurité avancées, optimiser l'efficacité des experts, améliorer l’innovation et accélérer la production de nouveaux outils de cybersécurité.

Artificial Intelligence and Digital Trust

Sécurité réseau

Grâce à sa capacité à reconnaître instantanément des patterns et autres schémas comportementaux, l'IA peut être utilisée pour rediriger automatiquement le trafic émanant de serveurs vulnérables, scanner une multitude d'équipements plus rapidement et plus fréquemment, isoler les attaques avant qu’elles ne se propagent et limiter l’exposition de données sensibles. 

Artificial Intelligence and Digital Trust

Réponse aux menaces

L’IA est capable d’agir immédiatement sur de multiples systèmes et connexions, tout en traitant parallèlement une vaste quantité de données. Elle permet donc aux entreprises de neutraliser des attaques hautement sophistiquées, avant même que les outils de sécurité classiques ne les détectent.

Artificial Intelligence and Digital Trust

Gestion automatique

De l’expiration des certificats à la gestion des correctifs, l’IA peut prendre en charge les tâches fastidieuses et aider les équipes à appliquer plus facilement les principes de sécurité de base au quotidien. 

Artificial Intelligence and Digital Trust

Échelle et vitesse

L’IA peut déployer et mettre à jour des politiques et des solutions à très grande échelle, bien plus rapidement que ne pourraient le faire les équipes de sécurité. 

Artificial Intelligence and Digital Trust

Anti-phishing et protection des identités et de la propriété intellectuelle

En apprenant à l’IA à reconnaître les éléments générés par intelligence artificielle, les contenus malveillants, trompeurs ou frauduleux peuvent être rapidement détectés et éliminés avant qu’ils n’aient la possibilité de berner les utilisateurs. Cela permet non seulement de créer des dispositifs anti-phishing robustes, mais aussi de prévenir d’autres formes d’usurpation d’identité et de protéger les contenus originaux et autres éléments de propriété intellectuelle.  

Ressources connexes

WEBINAIRE

Se préparer au monde post-quantique

Post Quantum Computing Insights
Article

Préparation à la PQC : identifier les assets cryptographiques

Preparing for the Quantum World with Crypto-Agility
Rapport

Rapport Gartner 2022 sur la PQC