Connect with us

Les menaces de l’IA sont une distraction. Votre véritable problème est plus proche de chez vous

Cybersécurité

Les menaces de l’IA sont une distraction. Votre véritable problème est plus proche de chez vous

mm
Published
Updated

Soyons honnêtes : les cyberattaques alimentées par l’IA sont une perspective terrifiante. Mais elles ne constituent pas la plus grande menace pour votre entreprise.

La plus grande menace est la distraction qu’elles créent.

Pendant plus de 15 ans, j’ai vu la même histoire se répéter. La direction est effrayée par la dernière “super-menace de l’IA”, tandis que l’équipe de sécurité peine encore à répondre à des questions de base comme “Où se trouve nos données client les plus sensibles ?” ou “Qui est responsable de la mise à jour de ce système critique ?” Nous poursuivons de nouveaux outils tandis que les ingénieurs sont dérangés par des exercices de conformité de dernière minute, et les vulnérabilités critiques sont déclassées.

C’est le problème classique du “verrou sophistiqué sur une porte écran”. Les organisations se précipitent pour déployer des défenses alimentées par l’IA, mais les attaquants utilisent l’IA avec moins de règles et plus d’agilité pour passer à travers les lacunes fondamentales dans les processus, la propriété et la culture. Pour les entreprises du marché moyen, ignorer les bases est une invitation à devenir la prochaine histoire de mise en garde.

Pourquoi les défenses statiques échouent dans un monde dynamique

Lorsque j’ai commencé ma carrière, la sécurité était une liste de contrôle : antivirus, mises à jour et pare-feu solides. Ce monde est loin derrière nous. Aujourd’hui, les logiciels malveillants polymorphes se réécrivent pour éviter les signatures, et les botnets lancent des attaques plus rapidement que tout humain ne peut réagir.

Le trafic chiffré est devenu le lieu de prédilection de l’adversaire. Le rapport ThreatLabz 2024 de Zscaler a constaté que près de 90 % des logiciels malveillants sont désormais livrés sur des canaux chiffrés. Cela signifie que neuf menaces sur dix sont invisibles pour les outils hérités qui ne peuvent pas inspecter ce trafic.

Le véritable goulet d’étranglement, cependant, n’est pas seulement la technologie ; c’est la friction organisationnelle. J’ai vu de grandes équipes de sécurité passer des semaines à essayer d’obtenir l’approbation pour fermer une faille connue. Dans le temps qu’il faut pour planifier les réunions, un attaquant automatisé peut être entré et sorti. Être statique n’est plus une option. Les programmes de sécurité doivent être sensibles au contexte et axés sur les parties les plus dynamiques de l’entreprise.

L’industrialisation de la cybercriminalité

Cela ne devrait surprendre personne. Les attaquants sont des entrepreneurs qui dirigent une entreprise. Ils adoptent simplement de nouvelles technologies pour améliorer leur rentabilité — tout comme nous.

  • Phishing en tant que service, superchargé : Le phishing est toujours la principale voie d’accès. Le FBI et IBM le signalent comme le principal vecteur d’accès initial depuis des années. Maintenant, avec des outils de génération d’IA comme “FraudGPT”, les criminels peuvent créer des campagnes de phishing parfaitement adaptées, sans fautes de grammaire, à une échelle que nous n’avons jamais vue.
  • La voix est un mensonge : Le phishing vocal (“vishing”) explose. CrowdStrike a constaté une augmentation de 442 % à mesure que les attaquants utilisent des voix clonées par l’IA pour imiter les dirigeants et tromper les employés pour qu’ils transfèrent des fonds. Une société énergétique britannique a perdu plus de 243 000 $ de cette façon à partir d’un seul appel.
  • L’essor de l’adversaire automatisé : Les chasseurs de menaces de CrowdStrike voient désormais des campagnes automatisées de bout en bout — des CV générés par l’IA avec des interviews vidéo de fausses entreprises à des intrusions sans logiciel malveillant qui vivent entièrement dans le cloud.

Les défenseurs sont confrontés à des menaces qui s’adaptent et persistent avec un minimum de surveillance humaine. Les attaquants ont automatisé depuis des années ; l’IA a simplement mis leur flux de travail sur hyperdrive.

Pour suivre, il est grand temps que nous nous débarrassions des approches obsolètes et basées sur des listes de contrôle pour la conformité et la cybersécurité. Chercher un remède miracle avec l’outillage le plus récent sur le marché n’est pas la solution. Cela étant dit, c’est une occasion unique de revenir aux bases.

Arrêtez de demander “Sommes-nous conformes ?” Commencez à demander “Sommes-nous résilients ?”

Même si l’IA redéfinit le paysage, la plupart des failles se produisent encore parce que les fondamentaux sont négligés. Oui, la voix du PDG a été clonée, mais l’échec réel était probablement un processus d’approbation financière défectueux. L’IA n’était que l’étape finale d’une chaîne de bases manquées.

L’IA n’a pas besoin de trouver une faille zero-day lorsqu’elle peut trouver un serveur non mis à jour de cinq ans ou un développeur avec des droits d’administrateur pour tout. L’achat d’un autre outil de sécurité alimenté par l’IA ne résoudra pas une culture défectueuse. L’IA doit renforcer les processus solides, pas les remplacer.

C’est là que la direction se trompe souvent. J’ai été dans des salles de réunion où la question était : “Sommes-nous conformes ?” La meilleure question est : “Notre programme de sécurité rend-il notre entreprise plus forte ?”

La conformité devient un exercice de case à cocher. Les équipes de produits font des sprints en avant, les ingénieurs sont chargés de tâches de sécurité sans ressources, et les dirigeants supposent qu’un audit propre signifie que l’entreprise est en sécurité. Ce n’est pas le cas. La solution n’est pas plus d’outils ; c’est un soutien plus solide de la part de la direction. La sécurité doit être directement liée à la croissance commerciale et à l’intégrité des produits.

Un livre de jeu pragmatique pour l’ère de l’IA

Les entreprises du Fortune 500 peuvent jeter de l’argent sur ce problème. Les entreprises du marché moyen doivent être plus intelligentes. Alors, que faites-vous vraiment ?

  1. Corrigez vos fondations d’abord. Avant d’acheter un autre outil, assurez-vous d’avoir un inventaire solide de vos données, des contrôles d’accès à l’épreuve des balles et d’un processus de mise à jour qui fonctionne réellement.
  2. Mettez l’IA à l’ordre du jour. Effectuez des exercices de simulation basés sur des attaques alimentées par l’IA. Faites-en une partie régulière des rapports du conseil d’administration afin qu’il soit traité comme un risque commercial, et non comme un problème informatique.
  3. Concentrez-vous sur le comportement, et non seulement sur les signaux statiques. Donnez la priorité aux outils qui détectent les activités inhabituelles — comme un compte d’utilisateur qui accède soudainement à une base de données qu’il n’a jamais touchée — par rapport aux outils qui ne recherchent que des logiciels malveillants connus.

L’IA n’est pas l’ennemi — la complaisance l’est

L’IA n’est pas une épée à double tranchant ; c’est une loupe. Elle rend les bons processus plus efficaces et les mauvais processus catastrophiques.

Les attaquants auront toujours de nouveaux outils. La vraie question est de savoir si votre stratégie de sécurité est basée sur une fondation solide de résilience ou si elle ne poursuit que le prochain objet brillant. L’ère de la sécurité “configurer et oublier” est révolue. Les organisations qui construisent une culture de sécurité et qui maîtrisent les fondamentaux gagneront, même à l’ère des menaces autonomes.

Related Topics:
mm

Nicholas Muy est le CISO chez Scrut Automation, dirigeant les initiatives de cybersécurité à travers la conformité et la gestion des risques liés à l'IA. Avec plus de 15 ans d'expérience dans la modélisation de menaces alimentée par l'IA et la stratégie de sécurité d'entreprise, il a protégé des environnements Fortune 500 et contribué à la politique nationale de cybersécurité au Département américain de la Sécurité intérieure.