L’Intelligence Artificielle, un « game changer » pour les cybercriminels

Le lancement de ChatGPT, il y a quelques mois, a suscité beaucoup d’engouement, mais aussi beaucoup d’inquiétudes et a surtout fait couler beaucoup d’encre. Pourtant, l’avènement majeur de l’intelligence artificielle n’a pas commencé avec ChatGPT. De nombreux outils utilisent cette technologie pour proposer divers services et de nombreux cybercriminels ont déjà compris son potentiel.

Simuler l’intelligence humaine : voici l’objectif de l’intelligence artificielle (IA). Au-delà du débat purement philosophique et éthique à savoir s’il est possible de qualifier « d’intelligence » des outils, des algorithmes ou encore des programmes, il existe bel et bien un changement profond lié à l’utilisation de techniques cherchant à simuler l’intelligence ou les interactions humaines. Deux questions se posent : tout d’abord, comment contrôler une intelligence visant à simuler l’humain ? Ensuite, comment distinguer l’intelligence artificielle d’une intelligence humaine ? La révolution liée à l’IA bouleverse nos habitudes et nous questionne sur le futur de cette technologie, qui passera sans aucun doute par la définition d’un cadre législatif permettant de réguler son comportement et son développement.

Accessible à tous, rapide, intuitif, utilisant un langage naturel, doté de mémoire : ChatGPT est un exemple d’outil universel qui a le potentiel de construire une logique tout en gardant le souvenir des discussions passées. Les intelligences artificielles telles que ChatGPT, un des modèles les plus avancés, sont capables d’analyser des quantités très importantes de données. Grâce à ces données, le modèle peut alors générer des textes qui ressemblent à ce que peut écrire un être humain, répondre à des questions, générer du code, etc. C’est ici que les problèmes commencent.

L’impact sur la cybersécurité

Comme toujours avec les avancées technologiques, il existe une possibilité de détourner leur usage premier vers une utilisation frauduleuse. L’intelligence artificielle a été créée pour imiter l’humain, afin d’exceller dans les interactions humaines. Ce nouvel outil est un « game changer » pour les cybercriminels qui peuvent alors améliorer leurs business models : écriture de code malicieux, génération de phishing convaincant, IA bot, empoisonnement de système grâce à de fausses données, création de faux portefeuilles… Il s’agit certes de scénarios connus. Cependant leur mise en place est très chronophage. Grâce à une intelligence artificielle disposant de connaissances étendues, de nouvelles attaques plus sophistiquées et plus rapides sont imaginables, à moindre coût pour les cybercriminels, qui peuvent ainsi se permettre d’augmenter le nombre et le type de tentatives d’attaques.

En matière de cybersécurité, l’humain est souvent le maillon faible. Les tentatives de piratage basées sur les interactions humaines, telles que le piratage par téléphone, nécessitent des connaissances complexes sur la personne visée par le cybercriminel. L’intelligence artificielle, grâce aux modèles de données, donne accès à une quantité d’informations qu’aucun humain ne possède. Imaginons une IA capable d’intégrer les données de Facebook, Instagram, Twitter, LinkedIn… L’IA aurait alors accès à des données d’une grande précision sur les habitudes et le comportement d’une personne. Les modèles d’intelligence artificielle peuvent non seulement écrire un texte mais aussi produire une voix, une image vidéo, comprendre une discussion et réagir en fonction et en temps réel. Ce que nous appelons le vishing (hameçonnage par téléphone) ainsi que l’ensemble des techniques d’ingénierie sociale, devraient naturellement augmenter dans les années à venir, avec le développement des intelligences artificielles.

“Une réglementation sera essentielle au niveau européen pour en assurer l’audit ainsi que le respect des normes de sécurité.”

FREDERIC DUPEUX

La fake news est une autre forme de cybercriminalité qui prend de l’essor grâce à l’IA, avec un impact important sur la sphère bancaire. Récemment, nous avons pu assister à la création d’une fausse image d’une explosion à proximité du Pentagone, qui s’est répandue sur les réseaux sociaux et a provoqué une brève baisse de la bourse américaine. Juste après la diffusion de l’image sur Twitter, le Dow Jones a perdu environ 80 points en quelques minutes avant de retrouver son niveau d’avant quelques minutes plus tard.

Nous sommes au début de l’avènement d’outils de méthodologies de hacking plus élaborés et plus structurés, issus de l’intelligence artificielle. Il s’agit d’une nouvelle course à l’armement entre des hackeurs désireux d’industrialiser davantage leurs attaques et les entreprises qui vont devoir y faire face grâce à des outils ou services de cybersécurité de plus en plus complexes et spécialisés.

L’intelligence artificielle est aussi une opportunité pour le monde de la finance

Le milieu financier est en demande d’outils capables de s’adapter aux besoins du client à travers des services « ultra » personnalisés, tels que des assistants virtuels plus performants, capables de comprendre le contexte client ou de faire des recommandations pertinentes. L’intelligence artificielle sera capable d’analyser de vastes quantités de données afin d’évaluer la solvabilité et d’automatiser le processus d’enrôlement du client. On peut également imaginer un système permettant de rationaliser les approbations de prêts, de réduire le travail manuel et d’améliorer la précision des évaluations du risque lié à un crédit. L’IA peut contribuer à la prise de décision en matière d’investissement, en analysant les données du marché, les actualités et les tendances. Cela permettra d’identifier des opportunités d’investissement ou d’optimiser la répartition des portefeuilles. L’intelligence artificielle représente donc un progrès important pour les entreprises et notamment les banques. L’objectif est de pouvoir maximiser les bénéfices de l’intelligence artificielle tout en atténuant les risques qu’elle induit, notamment en termes de cybersécurité. C’est là que le rôle de Chief Information Security Officer (CISO) prend tout son sens.

Comprendre les risques en accompagnant les entreprises

Une technologie fait naitre autant d’opportunités que de challenges. Pour l’instant, aucune régulation n’est en place quant à l’utilisation de l’intelligence artificielle, les CISOs doivent donc s’adapter. Une réglementation sera essentielle au niveau européen pour en assurer l’audit ainsi que le respect des normes de sécurité. L’objectif sera ainsi de définir ce qu’est une IA et de réduire les risques. En attendant, la clé de la solution réside dans la compréhension des technologies et l’accompagnement au sein des entreprises. Quel est le rôle du CISO pour assurer leur sécurité ?

Tout d’abord, il peut aider l’entreprise à comprendre ses besoins en terme d’intelligence artificielle et les utilisations possibles, par exemple en proposant des trainings et des forums de discussion à l’issue desquels de nouveaux services et usages pourront être définis. Il s’agit ici d’accompagner via l’analyse afin de déterminer les risques liés à l’utilisation d’une IA et d’évaluer la sensibilité des données échangées.

Ensuite, en termes de cybercriminalité, il est nécessaire de continuer à sensibiliser tous les employés et de les informer des nouvelles menaces et attaques. Il faut également définir ou revoir la pertinence des contrôles par rapport aux types d’attaques potentielles exploitant l’IA.

Enfin, en termes de gouvernance, à l’instar de nombreux systèmes ICT, il faudra faire l’inventaire des outils d’IA et en connaître l’utilisation. L’IA devra également faire l’objet d’une définition en interne, un guide d’utilisation et de bonnes pratiques devra être également mis en place. L’utilisation d’un tel système devra faire appel à un processus de revue strict via la définition de workflows de revue adaptés à l’utilisation de l’IA.

L’humain a toujours son mot à dire !

L’utilisation de l’intelligence artificielle fait déjà l’objet d’utilisations frauduleuses mais son utilisation légitime sera également nécessaire au développement des entreprises. Comme toute les nouvelles technologies, il faudra la comprendre et évoluer avec. L’IA a également un rôle fondamental à jouer pour le progrès de nos sociétés. Cependant, mieux vaut rester critique quant aux résultats et à la valeur des informations issues de l’intelligence artificielle. D’ailleurs, qui vous dit que cet article n’a pas été rédigé par une IA ?

(source: AGEFI)