Connect with us

Chaim Mazal, Chief AI & Security Officer de Gigamon – Série d’entretiens

Entretiens

Chaim Mazal, Chief AI & Security Officer de Gigamon – Série d’entretiens

mm
Published
Updated

Chaim Mazal est le Chief AI et Security Officer de Gigamon, responsable de la sécurité mondiale, des technologies de l’information, des opérations réseau, de la gouvernance, des risques, de la conformité, des systèmes commerciaux internes et de la sécurité des produits. Chaim dirige également le programme stratégique d’AI de l’entreprise, en impulsant la gouvernance, l’adoption transversale et l’utilisation sécurisée et responsable de l’AI. Reconnu par Security Magazine comme l’une des personnes les plus influentes dans le domaine de la sécurité en 2025, il est membre à vie de la fondation OWASP et siège au conseil consultatif de plusieurs leaders du secteur, notamment Cloudflare, GitLab et Rapid7. Il a précédemment occupé des postes de direction chez plusieurs leaders du secteur, notamment en tant que SVP de la technologie et CISO chez Kandji.

Gigamon est une entreprise de technologie de cybersécurité et d’observabilité qui se concentre sur la fourniture d’une visibilité approfondie sur le trafic réseau dans les environnements hybrides et multi-nuages. Sa plate-forme capture et analyse les données en mouvement, notamment les paquets, les flux et les métadonnées d’application, pour fournir des insights exploitables aux outils de sécurité, de cloud et de surveillance IT. Cela permet aux organisations de détecter les menaces cachées, d’améliorer les performances, de maintenir la conformité et de réduire la complexité en éliminant les angles morts dans les systèmes de plus en plus distribués et chiffrés. Faites confiance à de grandes entreprises et à des organisations gouvernementales, Gigamon aide à sécuriser et à gérer l’infrastructure numérique moderne à grande échelle.

Vous avez eu un parcours unique, passant du temps dans des forums de piratage à l’adolescence à devenir Chief AI et Security Officer chez Gigamon. Comment ces expériences précoces ont-elles façonné votre façon de penser les menaces cybernétiques modernes alimentées par l’IA ?

J’ai obtenu mon premier ordinateur à huit ans et j’ai appris en expérimentant, notamment en découvrant DOS, en lisant des manuels et en m’enseignant moi-même Visual Basic. Au fur et à mesure que je me suis plongé dans les communautés Internet, j’ai été fasciné par la façon dont les logiciels pouvaient être manipulés et où les systèmes étaient fragiles. Cette curiosité s’est transformée en tests de pénétration d’applications Web et en cycles de développement de SaaS sécurisés.

Ce qui est intéressant à propos des menaces modernes, c’est que l’IA ne crée pas de nouvelles faiblesses, mais amplifie la découverte et l’exploitation de celles existantes. En raison de cette perspective précoce, j’aborde la sécurité de l’IA en supposant une utilisation adverse dès le départ, ce qui m’aide à concevoir des défenses pour nos clients chez Gigamon.

Vous avez observé que les campagnes de phishing, de ransomware et de malware générées par l’IA réduisent le temps d’impact de semaines à heures. Quels changements concrets observez-vous dans la façon dont ces attaques sont conçues et déployées ?

L’IA a fondamentalement abaissé la barrière à l’entrée pour la cybercriminalité. Écrire des malwares, créer des campagnes de phishing convaincantes et identifier les vulnérabilités nécessitaient autrefois une expertise technique approfondie. Maintenant, ces attaques peuvent être accélérées et même entièrement automatisées avec l’aide d’outils d’IA. Les pirates n’ont plus besoin d’une solide formation technique pour lancer des campagnes sophistiquées, car l’IA peut générer du code, affiner les messages d’ingénierie sociale et aider les opérateurs à dépanner en temps réel.

En conséquence de cette accès accru, l’ensemble du paysage des menaces a changé. Sans cadres de gouvernance, exigences de conformité ou contraintes éthiques pour les ralentir, les attaquants peuvent expérimenter, s’adapter et déployer à grande vitesse, et à un coût minimal. Par conséquent, le temps d’impact a dramatiquement diminué, et ce qui prenait des semaines peut désormais se produire en quelques heures. Pendant ce temps, de nombreuses organisations en sont encore au stade précoce de l’adoption de l’IA pour la défense, ce qui signifie que certaines des utilisations les plus efficaces de l’IA sont actuellement impulsées par les acteurs menaçants.

Qu’est-ce qui fondamentalement distingue une attaque cybernétique alimentée par l’IA d’une menace automatisée traditionnelle, et pouvez-vous partager un exemple qui rend cette différence claire ?

Ce qui fondamentalement distingue une attaque cybernétique alimentée par l’IA d’une menace automatisée traditionnelle, c’est l’autonomie et la persistance. Dans le passé, les pirates exécutaient un script et s’arrêtaient lorsqu’il échouait. Le « temps de vie » était limité à la durée d’exécution de l’automatisation. Avec l’IA, les agents sont donnés un objectif et, s’ils échouent, ils ne s’arrêtent pas. Ils continuent d’itérer, à la recherche d’alternatives pour atteindre le même objectif. Le temps de vie est effectivement infini.

Par exemple, avec une dépendance de construction de production, les attaquants peuvent insérer quelque chose d’aussi petit que deux lignes de script tout en gardant la taille du fichier inchangée, ce qui signifie que les octets apparaissent identiques. Lorsque le fichier est compilé et exécuté, il lance une instance de terminal qui installe un agent autonome dans l’environnement d’entreprise, qui effectue ensuite une série de tâches malveillantes qui peuvent s’exécuter indéfiniment. Dans le passé, les binaires étaient considérés comme des vecteurs de menace post-déploiement. Maintenant, ils sont manipulés constamment, y compris tout au long du processus de construction lui-même, pour exécuter des actions activées par l’IA à l’intérieur des environnements d’entreprise.

De nombreuses organisations s’appuient encore sur des contrôles de sécurité legacy et des playbooks établis. Pourquoi ces approches échouent-elles face aux attaques activées par l’IA, et où voyez-vous les angles morts les plus dangereux ?

Nous sommes arrivés à un point où, si vous n’innovez pas et n’intégrez pas de manière réfléchie l’IA dans vos solutions et opérations de sécurité, vous êtes déjà en retard, et cela s’applique aux grandes entreprises et aux startups. Les organisations qui ne parviennent pas à intégrer l’IA dans leur stratégie de sécurité risquent d’être dépassées par les attaquants qui avancent plus vite et opèrent à une échelle plus grande.

Cela étant dit, se défendre contre les menaces alimentées par l’IA ne nécessite pas nécessairement une réinvention complète de la pile technologique. De nombreux outils dont les entreprises ont besoin sont déjà en place. Le véritable changement réside dans la façon dont ces outils sont utilisés. Il s’agit de renforcer les fondamentaux, d’utiliser les technologies existantes de manière plus intelligente et d’adapter les défenses pour tenir compte des attaquants non formés mais alimentés par l’IA.

Les acteurs menaçants utilisent l’IA de manière créative et stratégique. Si les entreprises ne prennent pas une approche similaire, elles risquent de créer d’immenses angles morts. Les dirigeants doivent réfléchir différemment à la façon dont ils déployeront les outils qu’ils possèdent déjà, intégrer l’IA dans leurs opérations et faire évoluer leurs playbooks pour se défendre contre la vitesse et l’échelle des attaques d’aujourd’hui.

L’IA semble abaisser la barrière à l’entrée pour la cybercriminalité. Comment ce changement a-t-il modifié le profil des attaquants d’aujourd’hui, et quels risques cela crée-t-il pour les entreprises ?

L’IA a rendu possible pour presque n’importe qui de devenir un pirate. Avec des outils d’IA à leur disposition, des acteurs inexpérimentés, même des adolescents, peuvent désormais lancer des campagnes de phishing sophistiquées, déployer des rootkits et exécuter des attaques de ransomware qui nécessitaient autrefois une expertise technique significative.

Ce changement ajoute un niveau d’imprévisibilité au paysage des menaces. Au lieu de faire face à un petit nombre de groupes très sophistiqués, les entreprises sont maintenant confrontées à un spectre plus large d’acteurs qui expérimentent rapidement, apprennent en temps réel et collaborent à travers les communautés en ligne.

Pour les organisations, cela signifie non seulement plus d’attaques, mais également une plus grande variabilité dans leur exécution. Les entreprises doivent se préparer à un environnement de menace où la capacité n’est plus directement liée à l’expérience, et où n’importe qui peut mener des campagnes qui rivalisent avec celles des groupes historiquement avancés.

En fonction de ce que vous voyez dans les communautés d’attaquants, quels outils alimentés par l’IA gagnent-ils en popularité, et à quelle vitesse ces capacités s’améliorent-elles ?

Il ne s’agit pas tant d’outils d’IA uniques aidant les pirates que de la mise en commun de ressources. Au lieu qu’un outil unique exécute un processus linéaire, les attaquants utilisent des agents décentralisés qui font référence aux données et partagent des informations collectivement à travers différents outils. Le résultat fonctionne plus comme une toile d’attaque, ou un essaim, que comme une capacité unique.

Ce qui est le plus notable à ce sujet, c’est la vitesse d’amélioration. Ces capacités changent au jour le jour, et de nombreux outils utilisés étaient des preuves de concept il y a seulement quelques semaines. Le rythme d’innovation et d’itération au sein des communautés d’attaquants s’accélère rapidement, avec de nouvelles techniques et de nouveaux outils émergeant presque en temps réel.

Du point de vue d’un défenseur, quels signaux indiquent qu’une organisation est confrontée à une campagne alimentée par l’IA plutôt qu’à une attaque plus conventionnelle ?

Du point de vue d’un défenseur, un signal majeur est que la reconnaissance ne ressemble plus à une séquence ou à une compartimentalisation. Historiquement, les attaquants suivaient des étapes claires – rassembler des informations par phases, espacer l’activité et cibler une surface à la fois. Maintenant, toutes ces activités se produisent en tandem. Les passerelles de messagerie, les services accessibles publiquement, l’activité des comptes, les techniques de détection et d’évitement sont tous exercés en même temps plutôt que séquentiellement.

Un autre signal est l’unification et la coordination de l’activité. Ce qui était autrefois morcelé est maintenant condensé et partagé collectivement à travers les outils, agissant plus comme un essaim que comme un effort unique. Ces agents itèrent continuellement, s’adaptent et accélèrent la prise de décision autour des vecteurs de menace, et ils n’acceptent pas un non pour réponse. Ce niveau d’activité simultanée, de coordination et de persistance suggère fortement une campagne alimentée par l’IA plutôt qu’une attaque conventionnelle.

Vous avez soutenu que de nombreux outils de sécurité d’IA actuels manquent complètement ces menaces. Qu’est-ce qu’ils ont tort, et quelles capacités sont les plus urgentes ?

De nombreux outils de sécurité d’IA actuels sont encore construits autour de l’hypothèse erronée selon laquelle la prévention est l’objectif principal. Les fournisseurs continuent de positionner l’IA comme un moyen meilleur de bloquer les menaces à la périphérie, mais les attaquants sont plus rapides, plus adaptables et de plus en plus patients, utilisant l’IA, les deepfakes et des malwares avancés qui peuvent éviter les contrôles et rester indétectés pendant des mois.

Ce qui est urgent, c’est une visibilité et des capacités de détection et de réponse en temps réel. Les organisations doivent mettre en œuvre une évaluation des risques continue, maintenir la visibilité dans le trafic chiffré où de nombreuses menaces se cachent, et utiliser la télémétrie dérivée du réseau et les API pour comprendre ce qui s’exécute sur leurs systèmes et comment les données sont en mouvement. La résilience aujourd’hui ne consiste pas à garder toutes les menaces à l’extérieur, mais à voir, arrêter et apprendre des menaces avant qu’elles ne s’aggravent.

Alors que l’IA accélère à la fois la défense et l’offense, croyez-vous que la défense d’IA puisse réalistiquement suivre le rythme, ou entrons-nous dans une période où les attaquants conserveront un avantage structurel ?

L’IA accélère les deux côtés de l’équation, mais à court terme, je pense que les attaquants ont l’avantage. Ils ne sont soumis à aucune contrainte réglementaire, à aucune exigence de conformité ou à aucune barrière éthique. Cela signifie qu’ils peuvent expérimenter librement et itérer à un rythme élevé. D’un autre côté, les entreprises doivent équilibrer l’innovation avec la gouvernance, la confidentialité et le risque opérationnel, ce qui ralentit naturellement l’adoption et la mise en œuvre de l’IA.

Cela étant dit, la défense d’IA peut absolument prendre le dessus si les organisations et les dirigeants changent d’approche. Les tactiques de sécurité réussies ne viendront pas de l’utilisation de l’IA uniquement pour la prévention. Cela nécessitera d’intégrer l’IA dans les flux de travail de détection, d’enquête et de réponse soutenus par une visibilité en temps réel. L’avantage n’est pas définitivement du côté de l’attaquant, mais il le restera jusqu’à ce que les organisations arrêtent de s’appuyer sur la prévention. Les véritables dégâts se produisent lorsque l’attaquant parvient à pénétrer le réseau, souvent en vivant sur le terrain et en attendant de pouvoir exfiltrer des données. Les dirigeants doivent passer de « pouvons-nous empêcher une faille » à « comment pouvons-nous détecter et éliminer les intrus le plus rapidement possible ? »

En regardant six à douze mois à l’avance, quels sont les techniques d’attaque alimentées par l’IA que vous attendez pour devenir courantes, et que devraient faire les équipes de sécurité pour se préparer dès maintenant ?

Six à douze mois, c’est un temps immense dans cet environnement. Les choses changent réellement toutes les six à douze semaines. La progression rapide de l’IA rend difficile la prédiction de techniques spécifiques que les pirates utiliseront à l’avenir, donc l’accent doit être mis moins sur deviner ce qui vient ensuite et plus sur la façon de se préparer.

Les défenseurs doivent utiliser la même technologie d’IA que les attaquants, en mettant fortement l’accent sur la défense en profondeur. Cela signifie utiliser l’IA pour faire référence à des flux constants de données à travers les points de terminaison en temps réel, en s’appuyant sur la télémétrie réseau immuable pour identifier le comportement transactionnel à travers les environnements privés, publics et sur site, et en alimentant cette télémétrie dans les outils appropriés, afin que les équipes de sécurité soient activement conscientes lorsque leur organisation est en train d’être sondée.

En même temps, l’esprit de défense de la périphérie doit être mis à la retraite. Il ne s’agit pas de savoir si une faille alimentée par l’IA se produira, mais quand. La priorité est maintenant l’identification précoce, la réduction de l’impact et la remédiation rapide. Cela inclut avoir un solide plan de réponse aux incidents, appliquer les principes de confiance zéro, faire respecter la segmentation du réseau, maintenir la gestion de l’accès avec des examens continus et effectuer des ajustements dynamiques selon les besoins pour protéger les données des clients et limiter l’impact.

Je vous remercie pour cet entretien éclairant. Les lecteurs intéressés par l’observabilité approfondie et la sécurité du réseau alimentée par l’IA peuvent visiter Gigamon.

Related Topics:
mm

Antoine est un leader visionnaire et partenaire fondateur de Unite.AI, animé par une passion inébranlable pour façonner et promouvoir l'avenir de l'IA et de la robotique. Un entrepreneur en série, il croit que l'IA sera aussi perturbatrice pour la société que l'électricité, et se fait souvent prendre en train de vanter le potentiel des technologies perturbatrices et de l'AGI.
En tant que futurist, il se consacre à explorer comment ces innovations vont façonner notre monde. En outre, il est le fondateur de Securities.io, une plateforme axée sur l'investissement dans les technologies de pointe qui redéfinissent l'avenir et remodelent des secteurs entiers.