Cybersécurité : comment se protéger des menaces AI-driven ?

D’après un rapport publié par le Capgemini Research Institute en novembre 2024, 58 % des organisations estiment qu’elles doivent augmenter considérablement leur budget de sécurité pour renforcer leurs défenses face à l’adoption de l’IA générative. Un chiffre qui illustre bien la posture complexe et ambivalente de l’IA générative en matière de cybersécurité. Si l’utilisation de cette technologie introduit de nouvelles vulnérabilités, modifie et amplifie le paysage des menaces, elle peut également être employée pour améliorer la détection et la réponse aux menaces AI-driven.

Utilisée aussi bien à des fins offensives qu’à des fins défensives, l’IA générative constitue donc un vrai défi pour les systèmes IT. Quelles sont les nouvelles menaces induites par l’IA ? Quel est l’impact de l’IA sur la cybersécurité ? Comment utiliser l’IA dans le cadre de la cybersécurité pour mieux maîtriser les menaces AI-driven ? C’est tout l’objet de cet article.

Des cyberattaques « augmentées » par l’IA

L’utilisation de l’IA amplifie les menaces cyber, dotant les acteurs malveillants de capacités inédites.

Sophistication des techniques d’attaque et automatisation

L’utilisation de l’IA à des fins malveillantes est déjà une réalité depuis plusieurs années, notamment pour l’amélioration des techniques d’attaque : sophistication et contextualisation des emails de phishing, création de deepfakes de plus en plus réalistes pour tromper des utilisateurs et mener des usurpations d’identité, repérage automatisé des cibles les plus vulnérables à partir de données récoltées sur les réseaux sociaux, génération de code malveillant, création de malwares intelligents, etc.

Employées de manière massive, ces techniques d’attaques sont également plus difficiles à détecter. L’IA étant de plus en plus accessible, elle abaisse les barrières à l’entrée et pourrait permettre à des acteurs malveillants, disposant de peu de connaissances en informatique, d’infiltrer des systèmes. L’IA peut également être utilisée pour automatiser la découverte et l’exploitation de vulnérabilités.

Expansion de la surface d’attaque

Le recours à l’IA – et à l’IA générative en particulier – par un grand nombre de départements au sein des organisations a pour conséquence directe d’élargir leur surface d’attaque, qui devient plus grande et plus complexe. En plus de leur surface d’attaque traditionnelle (réseaux, terminaux, plateformes de données, applications, etc.), les entreprises doivent donc désormais également gérer les vulnérabilités issues des technologies d’IA (agents conversationnels reposant sur l’IA, assistants IA, applications avec intégration d’IA, etc.).

SecNumCloud : label de confiance

Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.

En savoir plus

Détournement des modèles d’IA générative

Des acteurs malveillants sont également susceptibles d’altérer le fonctionnement des modèles d’IA en corrompant leurs données d’entraînement. Cette pratique consiste à introduire des données empoisonnées / données malveillantes dans les données d’entraînement du modèle afin d’introduire des vulnérabilités et de détourner ultérieurement son usage. Cela peut également passer par l’introduction de biais (qu’ils soient cognitifs, idéologiques ou moraux), avec pour objectif de biaiser les résultats et de manipuler l’information fournie à l’utilisateur.

Les modèles d’IA eux-mêmes peuvent être manipulés ou utilisés de manière détournée, par exemple par « injection de prompt ». Une technique qui consiste à manipuler un modèle de LLM (Large Language Model) avec des requêtes malveillantes afin de contourner ses filtres de sécurité et obtenir de sa part du contenu malveillant.

Des modèles d’IA sont même spécifiquement créés dans le but de faciliter des activités illicites (phishing, génération de code malveillant, création de faux sites web, etc.). On parle dans ce cas de « Dark LLMs ». WormGPT, FraudGPT ou encore WolfGPT en sont des exemples concrets.

Manipulation des outils de cybersécurité

L’IA est désormais en mesure de créer des logiciels malveillants capables d’échapper aux systèmes de détection… basés sur l’IA. Des acteurs malveillants ont également recours à l’IA pour paralyser les mesures de cybersécurité en place, brouiller les capacités de détection des systèmes de protection jusqu’à les rendre inefficaces, et ainsi déployer plus efficacement des logiciels malveillants.

Risques d’atteinte à la confidentialité et à la sécurité des données

Au-delà des différents usages malveillants qui peuvent être faits, l’utilisation de l’IA au sein des organisations pose de nombreuses questions en matière de confidentialité et de sécurité des données. La divulgation de données sensibles par les collaborateurs, via l’utilisation des IA « grand public » et non sécurisées pour un usage professionnel (Shadow IA), devient une réelle préoccupation pour les DSI et RSSI. En utilisant des solutions d’IA génératives pour les assister dans certaines tâches, les collaborateurs peuvent également, parfois involontairement, partager des données sensibles.

Les LLM sont par ailleurs entraînés sur de grandes quantités de données. Certains éditeurs conservent les données fournies par les utilisateurs afin d’améliorer le fonctionnement de leurs modèles. Une réalité qui pose d’évidentes questions en matière de confidentialité des données et de conformité à certaines réglementations, au RGPD notamment.

Risque d’augmentation des attaques dans le cloud

L’utilisation de l’IA est de nature à augmenter les risques d’attaques dans le cloud, de plusieurs manières.

• Découverte et exploitation des erreurs de configuration cloud. L’IA permet d’identifier et d’exploiter rapidement les erreurs de configuration cloud, qui constituent l’un des principaux points faibles du cloud. Une fois exploitées, ces vulnérabilités peuvent conduire à des accès non autorisés et des violations de données.
• Déploiement automatisé d’attaques. L’IA fournit aux acteurs malveillants de puissants moyens pour accélérer et automatiser le lancement de cyberattaques.
• Empoisonnement de données d’entraînement des modèles d’IA. Des acteurs malveillants capables d’accéder à des services cloud peuvent introduire des données malveillantes dans des ensembles de données d’entraînement stockées dans le cloud, et compromettre ainsi l’intégrité de modèles d’IA.

La notion de souveraineté numérique prend une importance croissante face à ces menaces AI-driven, en particulier vis-à-vis du cloud. Les solutions de cloud de confiance et de cloud souverain apparaissent comme des réponses évidentes à ces questions. Les organisations doivent désormais privilégier ce type d’infrastructures cloud, qui garantissent non seulement la sécurité de leurs données les plus sensibles, mais aussi leur localisation et donc leur maîtrise.

Les infrastructures des solutions de cloud souverain sont conçues pour garantir une maîtrise des données sous juridiction nationale. Ces solutions respectent également les normes de sécurité les plus strictes, offrant ainsi une protection renforcée contre les menaces AI-driven.

Nouvelles menaces, nouvelles défenses : l’IA au service de la cybersécurité

Porteuse de nouvelles menaces, l’IA est également capable de renforcer la détection, l’identification, l’analyse et la réponse aux menaces.

Renseignement, identification des menaces et priorisation des alertes

Le volume de données à disposition des analystes en cybersécurité atteint des niveaux très élevés. Les équipes de Cyber Threat Intelligence (CTI) doivent à la fois faire face à un très gros volume et à une grande hétérogénéité d’informations.

L’IA peut justement aider les équipes à trier, identifier et qualifier les données les plus pertinentes et les menaces significatives sur la base d’un contexte donné. Capable de corréler des données issues de différentes sources, l’IA aide à garantir la qualité des informations utilisées dans le cadre des actions de cybersécurité.

Les données peuvent également être résumées et classées en fonction de leur priorité. Cette capacité à prioriser les alertes de sécurité permet aux analystes de se concentrer sur les données les plus pertinentes pour eux, et d’ignorer le bruit.

Capacités accrues en matière de surveillance et de détection d’intrusions

L’IA offre aux professionnels de la cybersécurité de nouvelles capacités en matière de surveillance et de détection, notamment grâce à sa capacité à analyser d’importants volumes de données provenant de différentes sources.

Les solutions d’IDS (Intrusion Detection System) et de NIDS (Network Intrusion Detection System) embarquent désormais l’IA pour détecter des menaces nouvelles et inconnues (en particulier les menaces AI-driven). Alimentées par l’IA, ces plateformes peuvent analyser d’importants volumes de trafic réseau, détecter d’éventuelles anomalies et identifier des modèles malveillants en temps réel.

La présence de logiciels malveillants, les tentatives de vols de données ou d’hameçonnage (qui pourraient échapper aux filtres de sécurité traditionnels) peuvent également être détectées et contrées plus rapidement avec l’IA.

En s’appuyant sur des scénarios préconfigurés, l’IA est capable de déclencher des réponses automatisées après avoir détecté des anomalies (transferts de données inhabituels, tentatives d’accès non autorisés, etc.). Cela réduit ainsi le temps entre la détection et l’atténuation.

Analyse prédictive et anticipation

Les capacités prédictives de l’IA peuvent également être mises au service de la cybersécurité. L’IA est en mesure d’analyser des données en temps réel et d’identifier des schémas précédant des cyberattaques : pic dans le trafic réseau, séquence de tentatives de connexion infructueuses, etc. Ces analyses permettent d’identifier des incidents de sécurité potentiels avant qu’ils ne se produisent, et de prendre les mesures qui s’imposent.

L’IA aide donc les professionnels de la cybersécurité à adopter une approche proactive, en construisant des profils de menaces adaptés, en identifiant des tendances émergentes et en détectant des anomalies au sein de volumes massifs de données. L’intérêt d’une telle approche est sa capacité à orienter les mesures de défense là où elles sont le plus efficaces.

Analyse comportementale et lutte contre les menaces internes (Insider Threats)

L’IA générative est également capable d’analyser et de modéliser les comportements – à la fois normaux et anormaux – des utilisateurs. L’objectif : détecter des écarts par rapport aux activités inoffensives d’accès et d’utilisation, et donc de repérer des comportements potentiellement à risque. La détection et l’identification des menaces internes et des tentatives de compromission de comptes sont ainsi plus efficaces.

Réponse automatisée (SOAR)

L’intégration de l’IA rebat les cartes en matière de réponse à incident, puisque de nombreuses tâches de ce processus peuvent être en partie automatisées. Les plateformes de réponse aux incidents (SOAR – Security Orchestration Automation and Response) proposent déjà des scénarios de réponse automatique ou semi-automatique destinés à faciliter l’enchaînement des tâches. Cependant, l’utilisation de technologies d’IA permet d’améliorer nettement la priorisation et la mise en place des réponses, introduisant davantage de proactivité et d’efficacité.

Pentesting et intelligence artificielle

Enrichis par l’IA, les tests d’intrusion garantissent une évaluation plus complète des risques, notamment grâce à l’automatisation de tâches et à une meilleure identification des anomalies via l’analyse de grands volumes de données.

Ce gain de temps permet aux pentesters de prendre en charge d’autres types de tâches, plus complexes, tout en gagnant en efficacité dans l’identification proactive de vulnérabilités.

Protection renforcée et sécurité des données

Les techniques de chiffrement s’appuyant sur l’IA sont désormais en mesure d’intégrer des protocoles de chiffrement capables de s’ajuster en fonction de la sensibilité des données et du niveau de menace. L’IA peut également contribuer à la conformité en contrôlant en continu la gestion des données, en s’assurant que les clés de chiffrement sont gérées de manière sécurisée et en examinant régulièrement les journaux d’accès aux données.

Une nécessaire approche combinée IA / humain en cybersécurité

Malgré ses différents apports en matière de cybersécurité, l’IA reste un outil qui ne peut tout décider seul. Une supervision humaine reste nécessaire dans l’utilisation de l’IA en cybersécurité, notamment dans les protocoles de réponse aux incidents. Des humains doivent évidemment être impliqués dans les processus de prise de décision, qui peuvent s’avérer critiques. Des actions ne peuvent pas non plus être lancées automatiquement sans supervision humaine dans ce genre de situation. Un contrôle humain a vocation à assurer que les actions sont bien appropriées et pertinentes.

L’IA assiste et amplifie les capacités humaines, mais n’a pas vocation à les remplacer entièrement. Les professionnels de la cybersécurité gardent la maîtrise des stratégies, vérifient les décisions suggérées par l’IA et interviennent si nécessaire. Cette supervision humaine reste indispensable pour assurer une bonne maîtrise de l’IA, une bonne compréhension de son fonctionnement et garantir son utilisation dans un cadre éthique.