Les promesses de l’intelligence artificielle générative pour la cybersécurité

L’IAG, un outil mobilisable à chaque étape d’un incident de cybersécurité

Pour déterminer ce que l’IAG peut potentiellement apporter à un domaine d’activité, il faut se poser diverses questions : dans quelles circonstances on est amené à créer du contenu, si une IAG pourrait s’en charger, ce qu’il faudrait mettre en place pour qu’elle puisse le faire efficacement, et, enfin, si cela en vaudrait la peine.

Dans le domaine de la cybersécurité, en l’occurrence, il existe de nombreuses occasions dans lesquelles on produit, ou pourrait produire, du contenu :

• En amont : entre la définition des politiques de sécurité, les audits les analyses de risques, ou les analyses des menaces, la cybersécurité engendre des quantités de documents, de rapports, de guides, sur lesquels elle fonde ses pratiques.
• Au fil de l’eau : au moment où l’on détecte un incident, il est capital de fournir à tous les acteurs concernés une information à la fois claire, circonstanciée et contextualisée pour qu’ils puissent prendre au plus vite la meilleure décision et exécuter les actions de remédiation adaptées pour éviter ou minimiser l’impact sur l’organisation.
• En aval : suite aux incidents, on cherche à les analyser, à les comprendre, et à en tirer des règles, des mesures ou des corrections pour qu’ils ne se reproduisent pas.

L’IAG pour la cybersécurité, une démarche qui offre de nombreux bénéfices

Par ses exceptionnelles capacités d’analyse, de synthèse et de production d’un contenu ad hoc de qualité professionnelle (texte, graphiques, code…), l’IAG pourrait être d’une grande aide à chacune des étapes évoquées précédemment.

En amont, parce que les contenus produits sont en grande partie standard (les politiques de sécurité, les rapports d’audits) et qu’ils se fondent sur des informations stables et comparables (l’organisation de l’entreprise, ses règles, ses standards de référence, ses processus, ses systèmes…).

En anticipation et en réponse aux incidents, parce que l’IAG peut aller extrêmement vite pour en déchiffrer les causes et les conséquences possibles, et les présenter de façon digeste, ainsi que de générer les commandes à exécuter immédiatement pour éradiquer la menace ou contenir l’attaque.

En aval, parce que l’on manque de ressources expertes pour analyser les incidents et créer ensuite les règles, les configurations et les scripts de sécurité appropriés permettant l’automatisation de prochaines réponses.

Les freins opérationnels à prendre en compte

De façon générale, l’IAG pourrait, on l’a vu, apporter à tous les métiers de la cybersécurité d’importants gains de productivité, de réactivité et de qualité. Pour que ces séduisantes promesses se concrétisent, il faudra cependant être attentif à trois aspects clés :

• Les données : les modèles d’IAG ont besoin de gigantesques quantités de données (et de très grosses capacités de calcul) pour s’entraîner et être capables de formuler une réponse pertinente. Pourra-t-on réunir de tels volumes, d’une qualité et d’une fraîcheur suffisantes, satisfaisant en outre à toutes les règles de confidentialité des données appartenant à différentes organisations de conformité voire de souveraineté ? Ce sera d’autant moins évident qu’en matière de cybersécurité, les choses évoluent très vite, et qu’il faudra donc pouvoir constamment injecter et prendre en compte des éléments nouveaux. A ce besoin important d’ingestion de données, il faut également lui opposer les considérations d’impact sur l’environnement et l’empreinte carbone associée au stockage et traitement des données.   
• Les prompts : on le voit dans le cadre des LLM (Large Langage Model) comme GPT sur lequel est basé ChatGPT, la réponse sera d’autant plus pertinente que la question sera bien posée. Pour tirer le maximum des opportunités promises par l’IAG, il va donc falloir former de nouveaux spécialistes au « prompt engineering », capables de définir les flux optimaux pour s’interfacer avec cette nouvelle capacité, l’interroger et l’entraîner.
• La validation : de façon générale, et plus encore dans un domaine aussi sensible que la cybersécurité, on ne peut laisser l’IA libre de tout contrôle. Il faudra par conséquent maintenir une validation humaine des contenus produits par l’IAG. Pour ne pas perdre le bénéfice de l’IA, on peut toutefois imaginer d’automatiser certaines vérifications, ou d’accepter d’emblée les résultats sur les cas les plus classiques. À mesure que l’IAG aura fait ses preuves et que la confiance augmentera, les procédures s’allègeront et les experts pourront se concentrer sur les cas les plus délicats ou à plus forte valeur ajoutée.

Utiliser l’IAG à tout prix ?

Pour autant que l’on soit en mesure de surmonter les divers freins opérationnels évoqués plus haut, il n’est pas encore certain que tout ce qui est possible en théorie soit souhaitable en pratique.

Développer une solution d’IAG, l’implémenter, la régler, réaliser les changements humains et organisationnels autour de ce nouvel outil… tout cela aura un coût. En vaudra-t-il la peine ?

Il appartiendra aux entreprises d’arbitrer entre les indéniables bénéfices d’une telle solution en termes de sécurité et de productivité, et ses coûts de mise en œuvre. Il est possible que tous les cas d’usage potentiels de l’IAG dans le domaine de la cybersécurité ne soient pas viables et que l’on réserve ses formidables capacités à quelques besoins précis où son apport sera véritablement décisif.

L’IAG, un outil pour les hackers, aussi !

Si elle représente un atout indéniable pour la cybersécurité, l’IAG peut également être utilisée par un public moins bien intentionné. Commandé par Darktrace, un sondage mené par Censuswide auprès de 6 711 employés des États-Unis, d’Europe et d’Australie en mars 2023 a révélé qu’environ 70 % des personnes interrogées ont déclaré avoir remarqué une augmentation de la fréquence des courriels et des textos frauduleux au cours des six derniers mois et dont certains présentaient les signes (grammaire, syntaxe, etc.) d’une éventuelle intervention de l’IA dans la réalisation de ces attaques.

En effet, l’IAG offre aux cybercriminels de nouvelles possibilités à travers 2 axes principaux :

• L’industrialisation d’attaques : l’IAG permet d’industrialiser des attaques de plus en plus sophistiquées grâce à sa capacité de création de contenu (détection de vulnérabilités, création de liste de mots de passe pour attaques par brute force, rédaction d’e-mails de phishing etc…)
• L’accès simplifié à la création de cyberattaques : grâce à son interface textuelle permettant de réaliser des prompts en langage naturel à travers un LLM, il devient plus simple de créer des attaques de types variés (malware, phishing etc…).

Au fur et à mesure que la technologie s’améliore, ces menaces deviennent de plus en plus sophistiquées, complexes et difficiles à détecter et à contrer seulement par une intervention humaine associée à des outils traditionnels, c’est donc logiquement que l’utilisation de l’IAG doit s’inscrire comme un outil permettant de renforcer les capacités de cyber défense des entreprises.