L’intelligence artificielle (IA) de pointe regroupe les modèles les plus récents, les plus performants et les plus avancés disponibles. Ces modèles possèdent des capacités accélérées, et leur performance a dépassé les attentes dans le domaine de la cybersécurité.
Les capacités des modèles de pointe continueront de se développer rapidement et dépasseront vraisemblablement les attentes de l’industrie. Un exemple de cela s’est d’ailleurs produit récemment lorsque Anthropic's Claude Mythos (en anglais seulement) a démontré des capacités sans précédent qui lui permettaient de découvrir des vulnérabilités, de générer des exploits ciblant des vulnérabilités du jour zéro et de coordonner des cyberattaques en plusieurs étapes, et ce, en toute autonomie.
Les organisations peuvent voir l’IA de pointe sous deux angles :
- un risque pour les technologies de l’information (TI) nécessitant des mesures d’atténuation robustes;
- un outil pouvant servir à atténuer les cybermenaces.
La présente publication offre aux organisations des précisions additionnelles sur l’IA de pointe, les risques connexes et des mesures d’atténuation proposées afin de renforcer leur posture de cybersécurité.
Sur cette page
L’IA de pointe expliquée
Les modèles de pointe sont de plus en plus accessibles et disponibles à grande échelle, ce qui accroît les menaces pour les organisations. Des auteurs de menace dont l’expertise technique est limitée peuvent utiliser à des fins malveillantes des modèles d’IA de pointe mis à la disposition du public. Les organisations devraient supposer que l’exploitation propulsée par l’IA est susceptible de contourner les contrôles préventifs, de devancer largement la capacité des fournisseurs de publier des correctifs et de mettre à l’épreuve la capacité des organisations de déployer ceux-ci. Par conséquent, un grand nombre d’organisations, en particulier celles du secteur des infrastructures essentielles (IE), devront se préparer à fonctionner en situation de compromission ou de perte de connectivité.
Bien que les risques soient évidents, les responsables de la cyberdéfense ont eux aussi l’occasion de tirer avantage des outils d’IA de pointe.
Risques liés à l’IA de pointe
Les organisations de tous les secteurs devraient se tenir au courant des risques liés à l’IA de pointe. La section suivante donne des précisions sur les risques qu’il convient de prendre en considération.
Découverte automatisée de vulnérabilités
Les modèles d’IA de pointe ont la capacité d’ingérer de grandes quantités de données, y compris du code. Ils sont capables d’identifier avec une précision croissante les failles dans le code, les mécanismes de contournement possibles ou les problèmes de corruption. À mesure que ces modèles évoluent, leur capacité de lire et de manipuler le code améliore leur capacité de découvrir et d’exploiter des vulnérabilités.
Cette capacité pose un risque considérable pour la chaîne d’approvisionnement numérique, car il est possible de cerner les vulnérabilités facilement et de les exploiter rapidement. Les attaques de la chaîne d’approvisionnement propulsées par l’IA peuvent entraîner de graves répercussions, car elles peuvent être maintenues plus longtemps sur des réseaux connectés et causer des dommages plus importants.
Cyberattaques
À mesure que les modèles de pointe évoluent, les méthodes et les capacités permettant de mener des cyberattaques progressent également. Ces modèles peuvent rapidement exécuter ou enchaîner des opérations. Les modèles d’IA de pointe peuvent apprendre à partir d’erreurs consignées et de résultats de tests afin d’évaluer et de relancer rapidement une attaque avec des charges utiles modifiées.
Le fait de pouvoir parcourir des sources d’information ouvertes largement utilisées et d’en extraire d’importants volumes de données leur permet également de lancer des tentatives d’hameçonnage et de harponnage personnalisées et hautement sophistiquées. Ces tentatives peuvent être exécutées rapidement et sur une longue période, contrairement aux arnaques d’hameçonnage conventionnelles de faible qualité et à usage unique.
Déséquilibre des capacités offensives et défensives
Les organisations devraient supposer que des auteurs de menace de tous les niveaux pourraient accéder à des outils d’IA dotés de capacités accrues. Les responsables de la cyberdéfense risquent d’avoir de la difficulté à suivre le rythme si ces modèles évoluent rapidement. Le Centre pour la cybersécurité encourage les responsables de la cyberdéfense à tirer parti de ces outils et capacités d’IA pour renforcer la sécurité et la protection de leurs réseaux et systèmes.
Mesures d’atténuation recommandées
Les mesures d’atténuation ci-dessous peuvent permettre à votre organisation de renforcer sa posture de cybersécurité. Il est important de noter que votre organisation continuera de bénéficier de l’adoption de bonnes pratiques de cybersécurité.
Réduire la surface d’attaque
Bien que l’exposition des systèmes à des réseaux externes et à Internet puisse améliorer la connectivité et les fonctionnalités, il est fortement recommandé d’identifier et d’analyser les systèmes de votre organisation qui sont ainsi exposés. La connectivité n’est pas toujours nécessaire pour assurer la fonctionnalité, et le fait de limiter le nombre de systèmes exposés peut permettre de mieux protéger votre organisation.
Si vous devez absolument maintenir les connexions actuelles de vos systèmes, votre organisation devrait segmenter les réseaux internes afin de limiter la capacité d’un auteur de menace ou d’une attaque propulsée par l’IA de se propager aux parties les plus sensibles de votre réseau.
Il convient d’adopter une approche axée sur les « joyaux de la couronne », en protégeant les actifs les plus précieux au moyen de la segmentation et de la microsegmentation. Au moment d’appliquer cette approche à la segmentation, il est recommandé de prendre les mesures suivantes :
- Restreindre le trafic;
- Isoler les environnements de développement des environnements de production;
- Vérifier si les fournisseurs disposent d’un accès à distance et couper cet accès si c’est le cas.
Il convient également d’examiner les produits de fournisseurs et de déterminer où ces produits devraient se trouver dans le réseau et quelles solutions ont accès aux données.
Pour en savoir plus sur la segmentation de réseau, consultez la publication Les 10 meilleures mesures de sécurité des TI : No 5, Segmenter et séparer l’information (ITSM.10.092).
Mettre en œuvre l’authentification renforcée
Pour renforcer la sécurité des systèmes, il est recommandé de mettre en œuvre l’authentification multifacteur (AMF) résistante à l’hameçonnage pour tous les comptes ainsi que la vérification cryptographique des communications internes. Ces mesures permettront à votre organisation de se défendre contre des attaques par piratage psychologique propulsées par l’IA.
Appliquer les correctifs fréquemment
Il faut s’attendre à ce que les fournisseurs augmentent la fréquence de leurs correctifs, car ils devront accélérer l’identification et la correction des vulnérabilités. Votre organisation devrait donc mettre à jour et corriger ses systèmes d’exploitation, ses applications, son matériel et ses micrologiciels plus fréquemment. Il est recommandé d’intégrer l’application des correctifs à des vérifications quotidiennes afin de demeurer à jour par rapport aux versions les plus récentes publiées par les fournisseurs.
Pour suivre l’accélération du rythme de la publication de correctifs, vous devriez prévoir des périodes d’application de correctifs et d’interruptions prévues plus fréquentes. Il est recommandé de rajuster votre tolérance au risque actuel dans le contexte de la mise à l’essai des correctifs et de réduire la durée de ces mises à l’essai avant le déploiement.
En plus d’appliquer les correctifs, votre organisation devrait mettre hors service les logiciels et les appareils qui ne sont plus pris en charge par les fournisseurs.
Surveiller l’environnement en continu
Votre organisation devrait assurer la surveillance continue de son environnement. Vous devriez déployer des systèmes de gestion de la posture de sécurité des données (DSPM pour data security posture management) et de prévention de la perte de données (DLP pour data loss prevention) afin de surveiller en continu vos référentiels en nuage. Cette mesure limitera le risque d’exposer involontairement des données.
Déployer la détection d’anomalies basée sur le comportement
Votre organisation devrait passer de la détection fondée sur des signatures à la détection basée sur le comportement. Cela vous permettra de mieux détecter toute anomalie par rapport aux tendances et aux comportements habituels et d’assurer une chasse aux cybermenaces en continu.
Mettre en œuvre l’architecture à vérification systématique
L’architecture à vérification systématique repose sur le principe selon lequel aucun élément (par exemple, une application, une utilisatrice ou un utilisateur, ou un appareil) d’un système d’information n’est digne de confiance par défaut. Il faut réévaluer et vérifier la confiance chaque fois qu’un élément demande l’accès à une nouvelle ressource.
Il convient de mettre en œuvre l’architecture à vérification systématique pour toutes les identités non humaines, y compris les agents d’IA. Il est également recommandé d’inclure l’échange dynamique de jetons Oauth et des limites de privilèges des scripts.
Pour en savoir plus sur la mise en œuvre d’une architecture à vérification systématique, consultez la publication Approche à vérification systématique pour l’architecture de sécurité (ITSM.10.008).
Intégrer les capacités défensives de l’IA
Il est recommandé aux organisations d’intégrer des capacités défensives propres à l’IA, comme des mécanismes de renforcement défensif et des agents de centres des opérations de sécurité (COS) conçus pour contrer l’hameçonnage. Ces outils sont mieux adaptés à la défense contre les menaces propulsées par l’IA, car ils peuvent suivre la cadence et présenter un niveau de sophistication équivalent.
S’inscrire à des services et à des abonnements
Votre organisation devrait explorer les services et les abonnements conçus pour vous tenir au courant des nouveautés et de l’évolution des modèles d’IA de pointe et des vulnérabilités.
Le Centre pour la cybersécurité offre aux organisations la possibilité de s’abonner à un service d’avertissement rapide appelé Système national de notification de cybermenace (SNNC). Ce système fournit des notifications opportunes sur les cybermenaces potentielles pour les systèmes, y compris des vulnérabilités techniques, la compromission de systèmes et des infections par maliciel.
Considérations liées aux infrastructures essentielles
Les organisations du secteur des IE représentent des cibles de premier plan pour les auteurs de menace. À mesure que les modèles de pointe évoluent et que les auteurs de menace améliorent leurs capacités, les propriétaires et exploitants d’IE devront renforcer leur posture de cybersécurité. Il faudra possiblement se préparer à composer avec de longues périodes d’isolation, sans connexion aux réseaux externes ou à Internet.
Comme l’indique le National Cyber Security Centre du Royaume-Uni dans son billet de blogue récent intitulé Why cyber defenders need to be ready for frontier AI(en anglais seulement), dans le cas du scénario d’une attaque plus complexe ciblant un système de contrôle industriel, les performances de l’IA se sont révélées nettement plus limitées. Toutefois, même dans ce contexte, des signes initiaux de progrès ont été constatés : les modèles les plus récents ont été les premiers à réaliser des avancées de manière cohérente et, dans certains cas, ont découvert des approches d’attaque que les personnes qui ont conçu le scénario n’avaient pas prévues.
Pour en savoir plus
- Les 10 mesures de sécurité en matière d'intelligence artificielle : Introduction (ITSAP.10.049)
- Bulletin conjoint sur les principes d'intégration sécurisée de l'intelligence artificielle dans la technologie opérationnelle
- Why cyber defenders need to be ready for frontier AI (en anglais seulement)
- Frontier models and their impact on cyber security (en anglais seulement)