Intelligence Artificielle - Amie ou Ennemie ?
Pas un jour ne passe sans que nous entendions parler d'IA. Certains redoutent son impact sur l'emploi, la vie privée et même l'éthique, alors que d'autres la voit comme la clé pour résoudre des défis complexes et stimuler l'innovation.
Nous avons ainsi demandé à notre CISO, Luc Porchon, de décrypter l'IA pour nous au niveau de la cybersécurité et de vos droits et également de formuler ses conseils en matière d'utilisation.
Qu’est-ce que l’IA ?
D'une manière générale, l'IA est un terme "fourre-tout" qui recouvre deux approches :
- L'apprentissage automatique, basé sur des techniques supervisées ou non, dans lesquelles les machines repèrent des modèles et font des prédictions sur la base d'algorithmes sans avoir besoin d'intervention humaine ou de programmation. Elles "apprennent" ou ajustent ces prédictions au fur et à mesure qu'elles reçoivent de nouvelles données.
- L'apprentissage en profondeur est un type d'apprentissage automatique avancé, basé sur les réseaux neuronaux. Il est structuré de telle sorte que le résultat d'une étape - l'"apprentissage" - sert d'entrée à une autre couche d'analyse plus profonde dans laquelle la machine apprend sans recevoir d'instructions de la part de l'homme.
L'apprentissage automatique et l'apprentissage en profondeur sont souvent basés sur des modèles algorithmiques publics qui sous-tendent les inférences et la prise de décision.
L'IA et la cybersécurité
L'une des principales limites des systèmes de cybersécurité traditionnels est qu'ils doivent être programmés pour reconnaître des modèles et des comportements connus, ce qui les rend laborieux et rétrospectifs. Les faux positifs rendent l'automatisation plus difficile. C’est précisément là que les IA peuvent être pertinentes, dans la prise de décision de base et la détection des menaces/anomalies. La théorie tient assez bien la route. L'IA devrait faire mieux car elle peut repérer et inférer des schémas plus complexes de nouvelles données sans qu'il soit nécessaire de les définir.
Cependant, la technologie est complexe et nécessite du personnel qualifié qui est toujours en nombre insuffisant. La mise en place peut prendre du temps à mesure que les modèles s’affinent. Malgré les grandes déclarations, l'efficacité de la détection et de la réponse aux menaces par l'IA n'a pas encore été prouvée.
L'IA coupable !
Si les défenseurs peuvent utiliser l'IA, il en va de même pour les attaquants, qui peuvent exploiter les mêmes modèles à source ouverte. De nombreuses publications parlent des cyberattaques basées sur l'IA comme s'il s'agissait d'un fait avéré, alors que les preuves encore sont rares. L'intelligence artificielle ne « signe » pas l'attaque ; elle ressemble à n'importe quelle autre technique. Ce que nous avons à la place, c'est un grand nombre de recherches sur des preuves de concepts et c'est ce que j’utiliserais si j'étais un attaquant. Les utilisations actuelles probables sont les suivantes :
- Automatisation des ransomwares : utilisation de l'apprentissage automatique pour automatiser la reconnaissance des cibles et la découverte des vulnérabilités à grande échelle.
- Attaques d'hameçonnage : alimenter les attaques d'hameçonnage en la personnalisant avec des informations d'identification, notamment en se faisant passer de manière convaincante pour des clients, collègues ou partenaires à l'aide de données accessibles au public. À terme, cela pourrait permettre de déployer des imitations vidéo et des hameçonnages vocaux (Deepfake).
- Furtivité de l'IA : masquer le trafic vers les centres de commandes (C&C) des malwares en imitant les modèles de trafic légitimes pour un réseau donné, évitant ainsi les défenses contre les anomalies, les comportements et même l'inspection approfondie des paquets.
- Résolution des CAPTCHA anti-botnet : cela a déjà été démontré, par exemple GSA Captcha breaker.
L'IA victime !
Toute personne capable de cibler les vulnérabilités de l’IA pourrait en tirer un avantage stratégique. Par exemple :
- Empoisonnement des données d’entrée : il s'agit d'altérer les données introduites dans les modèles d'IA sans que personne ne s'en aperçoive. Le système fonctionne mal ou fait une déduction incorrecte avantageuse pour l'attaquant. Même si les défenseurs détectent la falsification, la solution de repli consistant à procéder à un traitement manuel peut s'avérer impraticable.
- Edge AI : Une autre tendance qui se superpose au cloud et à l'IA est l'essor de l'informatique de périphérie qui permet d'effectuer des calculs à proximité de l'endroit où les données sont réellement collectées, plutôt que dans une installation de cloud computing centralisée ou hors site. Il s'agit d'un large éventail de capteurs et d'appareils de bas niveau qui utiliseront l'IA pour s'autogérer. De même, l'éloignement de ces dispositifs d'une surveillance centralisée accroît leur vulnérabilité aux attaques sophistiquées.
L’IA et vos droits ?
La jurisprudence américaine concernant l'utilisation de l'IA se développe désormais assez rapidement, avec une série d'affaires relatives à la protection de la vie privée. Le défi pour les systèmes d'apprentissage automatique est leur besoin de données, mais cela doit tenir compte des droits des utilisateurs finaux, y compris des droits d'auteur. Dépendant de la qualité des données qui les alimentent, les systèmes d'IA ont tendance à « imaginer » des faits (y compris sur des personnes réelles) d'une manière qui pourrait être inexacte et risquée sur le plan juridique. Une grande partie de ce risque est difficile à percevoir, ce qui expose les organisations les utilisant à des risques juridiques inconnus.
Lors du Security Congress de Nashville John Bandler, de Bandler Law PLLC, a attiré l'attention de l'auditoire sur l'inexactitude flagrante des chatbots, qui a surpris les avocats. En tant qu'outil, ils permettent de gagner du temps, mais au détriment de l'invention de faits et d'événements :
"Un avocat a consulté ChatGPT à la recherche de jurisprudence et le chatbot a recraché une affaire fictive qui n'a jamais eu lieu. Lorsqu'ils ont été rappelés à l'ordre par le juge qui estimait que ce n'était pas correct…"
En réponse à ces inquiétudes, l'Union européenne (UE) a pris des mesures importantes pour réglementer l'IA.
La loi européenne sur l'IA, également connue sous le nom de loi sur l'intelligence artificielle, est la première initiative concrète au monde visant à réglementer l'IA. Elle vise à faire de l'Europe un centre mondial pour une IA digne de confiance en établissant des règles harmonisées régissant le développement, la commercialisation et l'utilisation de l'IA dans l'UE.
La loi sur l'IA vise à garantir que les systèmes d'IA dans l'UE sont sûrs et respectent les valeurs et les droits fondamentaux. En outre, ses objectifs sont de favoriser l'investissement et l'innovation dans l'IA, d'améliorer la gouvernance et l'application des règles, et d'encourager la création d'un marché unique de l'IA dans l'UE.
Elle devrait constituer une étape importante dans le domaine de la réglementation et de l'innovation en matière d'IA afin que les organisations agissent dès maintenant, évaluent leurs risques et commencent à se préparer aux changements qu'apportera la loi sur l'IA. Ce faisant, les organisations peuvent évoluer vers un environnement d'IA plus sûr et plus fiable qui leur permettra de récolter les fruits de cette technologie transformatrice.
La Suisse, quant à elle, n'a pour l'instant pas légiféré en la matière, mais nous pouvons supposer qu'elle emboitera le pas de l'UE, en tenant compte des spécificités helvétiques.
En conclusion
Doit-on alors bloquer les accès aux IA ?
Suivant les menaces identifiées précédemment, il peut être envisagé de bloquer les accès aux IA génératives. Mais il faut être conscient que ce blocage est à contre-courant des évolutions technologiques actuelles.
Il ne pourra être que temporaire, en attendant que l’entreprise analyse ses risques et que des mesures soient misent en œuvre.
Mes conseils sur l’utilisation de l’IA
Pour atténuer ces risques, les entreprises doivent mettre en place des politiques de gouvernance de l'IA définissant les règles d’utilisation de l’IA.
Il convient également de mettre des ressources, quelles ce soient financières, humaines ou technologiques, dans des initiatives visant à rendre les modèles d'IA plus transparents et compréhensibles.
En effet, la transparence des modèles est cruciale pour la compréhension du fonctionnement des modèles d'IA, en particulier les réseaux neuronaux, qui peuvent être très complexes et qui sont souvent considérés comme des "boîtes noires".
Dans de nombreux cas, l’explicabilité des modèles est importante pour expliciter les résultats de l'IA de manière accessible aux utilisateurs non spécialisés, ou dans le cadre d’une action juridique ; certains secteurs peuvent exiger une transparence dans l'utilisation de l'IA.
Investir dans cette transparence aide les entreprises à se conformer aux réglementations en vigueur. N'oublions pas qu’utiliser l’IA, c’est assumer les dires et les décisions de cette IA. La maîtrise des modèles permettra à l’entreprise de mieux comprendre comment ils peuvent affecter les résultats et prendre une plus grande responsabilité en cas de problèmes éthiques ou légaux.
Sans oublier les volets sensibilisation et formation des employés sur l'utilisation responsable de l'IA qui sont également essentiels. L’utilisation des IA génératives « publiques », telles que ChatGPT, peut devenir une source de fuite d’informations sensibles de l’entreprise.
Si vous souhaitez des renseignements ou un accompagnement de notre part, n'hésitez pas à nous contacter
Luc Porchon
CISO chez Globaz depuis avril 2022
Après un BTS en Informatique industrielle en 1989, Luc Porchon évolue pendant une dizaine d'années dans les télécommunications. Il poursuit ensuite sa carrière dans le domaine bancaire pour devenir, en 2008, expert sécurité dans le domaine monétique.
En 2011, il obtient le brevet "Certified Information System Security Professional", une certification professionnelle internationale et commercialement indépendante en sécurité des systèmes d'information et exerce pendant plus de 6 ans le poste de responsable sécurité des systèmes d'information pour un grand groupe français. Il enchaine ensuite avec le poste de responsable de la protection des données et comme consultant senior en cybersécurité.