Les menaces liées à l'IA sont une diversion. Votre véritable problème est plus proche de chez vous.

Soyons honnêtes : les cyberattaques alimentées par l’IA sont une perspective terrifiante. Mais elles ne constituent pas la plus grande menace pour votre entreprise.

La plus grande menace est la distraction Ils créent.

Depuis plus de 15 ans, j'observe la même histoire. La direction est effrayée par la dernière « super-menace IA », tandis que l'équipe de sécurité peine encore à répondre à des questions fondamentales comme : « Où sont nos données clients les plus sensibles ? » ou « À qui incombe la gestion des correctifs pour ce système critique ? » Nous courons après les nouveaux outils, tandis que les ingénieurs sont entraînés dans des exercices de conformité de dernière minute, et les vulnérabilités critiques sont reléguées au second plan.

C'est le classique « serrure fantaisie sur une porte moustiquaire » Problème. Les organisations se précipitent pour déployer des défenses basées sur l'IA, mais les attaquants utilisent l'IA avec moins de règles et plus d'agilité pour contourner les failles fondamentales des processus, de la propriété et de la culture. Pour les entreprises de taille moyenne en particulier, ignorer les fondamentaux est une invitation à devenir le prochain exemple de mise en garde.

Pourquoi les défenses statiques échouent dans un monde dynamique

Au début de ma carrière, la sécurité se résumait à une liste de contrôle : antivirus, correctifs et pare-feu performants. Ce monde est révolu. Aujourd'hui, les logiciels malveillants polymorphes se réécrivent pour échapper aux signatures, et les botnets lancent des attaques plus rapidement que la capacité de réaction humaine.

Le trafic chiffré est devenu le refuge favori des cybercriminels. Le rapport ThreatLabz 2024 de Zscaler révèle que près de 90 % des logiciels malveillants sont désormais diffusés via des canaux cryptésCela signifie que neuf menaces sur dix sont invisibles pour les outils existants qui ne peuvent pas inspecter ce trafic.

Le véritable goulot d’étranglement n’est cependant pas seulement la technologie ; frictions organisationnellesJ'ai vu d'excellentes équipes de sécurité passer des semaines à essayer d'obtenir l'adhésion nécessaire pour combler une faille connue. Le temps de planifier les réunions, un attaquant automatisé peut entrer et sortir. Rester statique n'est plus une option. Les programmes de sécurité doivent être contextuels et se concentrer sur les aspects évolutifs de l'entreprise.

L'industrialisation de la cybercriminalité

Cela ne devrait surprendre personne. Les attaquants sont des entrepreneurs qui dirigent une entreprise. Ils adoptent simplement de nouvelles technologies pour améliorer leur retour sur investissement, tout comme nous. L'IA les aide à industrialiser leurs opérations.

• Phishing en tant que service, suralimenté : L'hameçonnage reste le principal moyen d'intrusion. Le FBI et IBM le désignent comme le principal vecteur d'accès initial depuis des années. Aujourd'hui, grâce à des outils d'IA générative comme « FraudGPT », les criminels peuvent créer des campagnes d'hameçonnage parfaitement personnalisées et grammaticalement correctes, à une échelle jamais vue.
• La voix est un mensonge : Le phishing vocal (« vishing ») explose. CrowdStrike a constaté une % D'augmentation 442 Des attaquants utilisent des voix clonées par l'IA pour se faire passer pour des dirigeants et inciter les employés à transférer des fonds. Une entreprise énergétique britannique a perdu plus de $243,000 de cette façon à partir d'un seul appel.
• L'essor de l'adversaire automatisé : Les chasseurs de menaces de CrowdStrike voient désormais des campagnes automatisées de bout en bout, depuis les CV générés par l'IA avec des entretiens vidéo deepfake jusqu'aux intrusions sans malware qui vivent entièrement dans le cloud.

Les défenseurs sont confrontés à des menaces qui s'adaptent et persistent avec une surveillance humaine minimale. Les attaquants automatisent depuis des années ; l'IA a simplement accéléré leur flux de travail.

Pour rester dans la course, il est grand temps d'abandonner les approches obsolètes de la conformité et de la cybersécurité, basées sur des listes de contrôle. Chercher la solution miracle avec le dernier outil du marché n'est pas non plus la solution. Cela dit, c'est une occasion unique de revenir aux fondamentaux.

Arrêtez de vous demander « Sommes-nous conformes ? » Commencez à vous demander « Sommes-nous résilients ? »

Même si l'IA transforme le paysage, la plupart des failles de sécurité surviennent encore à cause de fondamentaux négligés. Certes, la voix du PDG a été clonée, mais le véritable échec résidait probablement dans un processus d'approbation financière défaillant. L'IA n'était que la dernière étape d'une série de fondamentaux négligés.

L'IA n'a pas besoin de trouver un exploit du jour zéro Lorsqu'il peut trouver un serveur vieux de cinq ans non corrigé ou un développeur disposant des droits d'administrateur sur tout, l'achat d'un nouvel outil de sécurité basé sur l'IA ne résoudra pas une culture défaillante. L’IA doit renforcer les processus forts, et non s’y substituer.

C'est là que les dirigeants se trompent souvent. J'ai été dans des conseils d'administration où la question était : « Sommes-nous conformes ? » La vraie question est : « Notre programme de sécurité renforce-t-il notre entreprise ? »

La conformité devient un exercice de case à cocher. Les équipes produit s'activent à toute vitesse, les ingénieurs se voient confier des tâches de sécurité sans ressources, et les dirigeants supposent qu'un audit positif garantit la sécurité de l'entreprise. Or, ce n'est pas le cas. La solution ne réside pas dans davantage d'outils, mais dans un renforcement de la structure hiérarchique. La sécurité doit être directement liée à la croissance de l'entreprise et à l'intégrité des produits.

Un manuel pragmatique pour l'ère de l'IA

Les entreprises du Fortune 500 peuvent investir de l'argent dans ce problème. Les entreprises de taille moyenne doivent être plus intelligentes. Alors, que faire concrètement ? do?

1. Réparez d’abord vos fondations. Avant d’acheter un autre outil, assurez-vous de disposer d’un inventaire solide de vos données, de contrôles d’accès à toute épreuve et d’un processus de correctifs qui fonctionne réellement.
2. Mettre l’IA à l’ordre du jour. Organisez des exercices pratiques basés sur des attaques pilotées par l'IA. Intégrez-les régulièrement aux rapports du conseil d'administration afin qu'ils soient traités comme un risque métier et non comme un problème informatique.
3. Concentrez-vous sur le comportement, pas seulement sur les signaux statiques. Privilégiez les outils qui détectent les activités étranges (comme un compte utilisateur accédant soudainement à une base de données qu’il ne touche jamais) plutôt que les outils qui recherchent simplement les logiciels malveillants connus.

L'IA n'est pas l'ennemi, c'est la complaisance qui l'est

L'IA n'est pas une arme à double tranchant ; c'est une loupe. Elle rend les bons processus plus efficaces et les mauvais, catastrophiques.

Les attaquants auront toujours de nouveaux outils. La véritable question est de savoir si votre stratégie de sécurité repose sur une base solide de résilience ou s'il s'agit simplement de rechercher la prochaine innovation. L'ère de la sécurité « configurable et oubliée » est révolue. Les organisations qui développent une culture de sécurité et maîtrisent les fondamentaux seront gagnantes, même à l'ère des menaces autonomes.