Fin 2023, une dizaine de chief information security officers (CISO) d’organisations publiques et privées françaises se réunissaient au sein de la rédaction d’Alliancy, à l’invitation du média et de son partenaire, Elastic. L’occasion d’un atelier pour tracer les grands axes de préoccupation autour d’un sujet émergeant : l’impact de l’intelligence artificielle générative sur les métiers de la cybersécurité et leur environnement. Comme souvent dans l’univers de l’innovation tech, une réalité prévaut : la forte médiatisation du sujet IAG en 2023 a contribué à rendre difficile la distinction du « bruit » et du « signal ».

Toutes les entreprises doivent communiquer d’une façon ou d’une autre sur le sujet, faire miroiter des engagements et des projets… tout en subissant bien souvent en réalité le caractère très soudain de ces thématiques pour celles et ceux qui n’ont pas d’équipes entières consacrées à la recherche en IA. Malgré tout, le marché lui, se positionne tous azimuts ; les offres commerciales de suites logicielles, intégrant d’une manière ou d’une autre l’IAG, se multipliant à l’envi, menées par les tenants Microsoft, Google et consorts. Dans ce contexte, sur quoi s’accordent a minima tous les CISO ? Qu’est-ce qui existe d’ores et déjà dans leur organisation et comment anticipent-ils les prochains mois ?

Cet article est extrait du guide « IA Générative & Cybersécurité » à télécharger : Comment en tirer parti sans compromettre la vie privée et la conformité ? » 

Un premier élément ressort clairement des échanges menés par la rédaction avec les CISO mobilisés : ils préfèrent voir l’arrivée de l’intelligence artificielle comme une opportunité pour améliorer leurs capacités, plutôt qu’une menace. Si les expressions liées aux risques cybers et à la protection des données, ainsi qu’à l’augmentation de la surface d’attaque sont bien citées, tous ont préféré, dès le départ, évoquer d’autres termes : accélération, gain de temps, assistant performant, facilitation des tâches, gains dus à l’automatisation… En l’occurrence, les professionnels de la sécurité ont bien conscience que l’intelligence artificielle est un facteur d’accélération majeur pour les cybercriminels en premier lieu et qu’ils doivent jouer avec les mêmes armes.

« Clairement ce que l’on voit, c’est que l’IA permet d’adapter ou de générer des codes pour faire évoluer la menace. […] Une population plus large d’attaquants va pouvoir profiter de ce levier, même sans connaissance préalable. L’intelligence artificielle générative abaisse la barrière d’entrée sur le marché des cyberattaques », témoigne ainsi Jean-Baptiste Fouad, chief information security officer de SFR Business & Wholesale (voir notre interview).

Accompagner le business dans l’aventure

Mais plus encore, les CISO veulent accompagner les business dans leurs usages croissants, en jouant au maximum leur rôle d’anges gardiens. « Tous les CISO vont devoir s’emparer des solutions d’IAG, bien sûr dans une logique de « attacker view » car les attaquants les utilisent déjà, mais également dans une logique d’accompagnement business parce que nos métiers vont les utiliser, pour faire en sorte que ces nouveaux usages soient sûrs. Il faut d’ores et déjà travailler à l’acculturation à ces nouvelles technologies au sein des entreprises avec le support des RH, pour préparer nos collaborateurs à l’évolution de leurs métiers avec l IAG », souligne Richard Guidoux, VP, cybersecurity director for B2B products & services du spécialiste de la biométrie, de l’analyse de données et de la vidéo, Idemia. Lors de l’atelier, les CISO ne manquent d’ailleurs pas de souligner les enjeux en matière de formation et de formation continue, mais aussi les craintes de ne pas parvenir à embarquer efficacement les départements des ressources humaines dans ces transformations, notamment du fait des implications sur les modifications des tâches selon les postes, l’apparition de nouveaux métiers, ou plus globalement le changement de travail qu’implique une infusion ambitieuse de l’IAG à tous les niveaux.

Les changements s’annoncent nombreux également pour les CISO eux-mêmes, qui voient des opportunités variées pour leur travail quotidien. Générer des scénarios d’attaques potentiels ; améliorer les analyses comportementales ; générer des modèles pour la détection, la prévention, la réponse aux menaces ; traiter plus facilement de grandes quantités de données… sont autant de points mis en avant par les directeurs cybersécurité pour tracer leur avenir. Les outils intégrant l’IAG commencent déjà à être utilisés par les équipes sécurité. Plusieurs témoignages font état d’expérimentations et d’adaptations des usages quotidiens autour, par exemple, de l’offre Copilot de Microsoft, qui a l’avantage de venir se greffer à des outils bureautiques déjà utilisés par de nombreuses organisations.

« L’usage de Copilot de Microsoft pour les équipes de sécurité concerne déjà certains usages basiques, mais qui ont une valeur ajoutée évidente. Il faut le voir comme une sorte d’assistant, qui va aider à des tâches de création de contenus ou d’explications. Une équipe peut avoir de très bons analystes, mais qui gagneront beaucoup de temps grâce à l’IAG sur de tels usages pour transmettre plus facilement et rapidement des informations utiles », explique ainsi Benoît Herment, group CISO de Vinci.

Un assistant motorisé par l’IA au sein des SIEM (Security Information Management System) et SOC (Security Operation Center)

L’intérêt de l’outil est également mesuré à l’aune de sa capacité à générer plus facilement du code. « Cela fait près de 25 ans que je n’ai pas eu à développer moi-même, et pourtant j’arrive à faire des petits prototypes rapides très facilement avec un tel outil. On imagine bien le temps que peuvent gagner nos équipes en s’appuyant sur un tel assistant », lance un autre participant. Sophie Troistorff, directrice générale d’Elastic en France pousse l’analyse plus loin (voir notre interview) : « L’IAG peut permettre « d’augmenter » les personnes au sein des départements de la sécurité des systèmes d’information, par exemple en aidant de nouvelles recrues à devenir beaucoup plus rapidement opérationnelles. […] Par ailleurs, avoir un assistant motorisé par l’IA, au sein d’un SIEM ou d’un SOC, est également un moyen de faire la différence. En détection d’intrusion, l’IA peut aider en allant chercher les informations utiles dans une base de connaissance comme MITRE ATT&CK, afin de présenter les protocoles à appliquer et les réponses à déployer plus rapidement. »

Les participants à l’atelier reconnaissent cependant que ces gains n’iront pas sans une adaptation conséquente. Invité à témoigner sur le sujet de la sécurisation de l’IAG, le ministère des Armées en fait un thème central d’une approche pérenne, appelant à la mise en place, dans les organisations, de cadres stricts et d’une maîtrise des sujets émergents sur des domaines de développement précis, à l’image de ce que les armées elles-mêmes ont mis en place ces dernières années. Cloisonnement ; contrôle de l’accès à la donnée ; transparence et maîtrise des données qui alimentent les outils… font partie des fondamentaux à ne pas sous-estimer dans l’expérience de l’institution. Un impératif dont les CISO ont bien conscience. « Il y a un parallèle très fort à faire avec les enjeux de la « data », et la data governance que les organisations ont dû mettre en place pour cadrer cet usage. C’est une « IA Governance » qui doit maintenant s’installer au plus vite dans les entreprises, dont l’encadrement sera à la fois juridique et opérationnel », analyse Richard Guidoux.

Un argument partagé au sein de Vinci : « Une entreprise n’a certainement pas intérêt à attendre la fin de ses grands chantiers engagés sur la data pour déterminer une doctrine en matière d’IAG. Car la question clé derrière les usages qui émergent est : quel type de données pour quel type d’IA ? Cela implique une approche collective, réunissant les directions juridiques, data, RH, éthique, IT… », met en avant Benoît Herment. L’apparition de task forces mixtes dédiées au sujet depuis 2023 dans les grandes entreprises vise à déterminer ces directives IA. Mais les CISO le savent bien : celles-ci seront amenées à évoluer rapidement, car les outils eux-mêmes et leur capacité évoluent à très grande vitesse.

Trouver l’équilibre entre les positions extrêmes

Présent lors des échanges, Michel Juvin, expert cybersécurité et chroniqueur Alliancy, suit de près ces transformations. « Si l’on résume la situation, on peut dire qu’il est clair qu’utiliser l’intelligence artificielle va avoir de nombreux impacts positifs, mais que seul un contrôle strict permettra aux équipes sécurité de ne pas être dépassées. Entre les deux extrêmes qui consistent à vouloir bloquer complètement ces nouveaux usages, au risque de créer des contournements, ou au contraire de s’y ouvrir totalement à des fins d’innovation, mais en s’ouvrant ainsi à de nombreuses attaques potentielles – en particulier par flooding ou data poisoning – les organisations doivent trouver le juste milieu. »

Pour l’expert, il ne faut pas non plus sous-estimer les risques de dépendance qui vont se renforcer autour des principaux fournisseurs de capacités d’IAG, dans un contexte géopolitique et réglementaire particulièrement tendu. Enfin, il encourage à anticiper au maximum l’impact RH : « L’IAG connaîtra une deuxième phase d’accélération quand elle se diffusera plus largement dans les systèmes et plus encore quand elle atteindra les robots eux-mêmes. Il est donc nécessaire de développer une vision cohérente sur les compétences, les carrières, le travail des équipes pour l’ère de l’IA à venir. »