Qu’est-ce que la sécurité de l’IA ?

L’intelligence artificielle (IA) s’est développée et a mûri rapidement ces dernières années. Bien que les concepts d’IA existent depuis des décennies, les dernières années ont vu de grands progrès dans le développement de l’IA et l’introduction de l’IA générative. Par conséquent, les entreprises de tous les secteurs ont exploré la meilleure façon de tirer parti de l’IA.

Cette montée en puissance de l’IA a des impacts à la fois positifs et négatifs sur la cybersécurité. D’une part, l’IA introduit de nouveaux risques de sécurité importants pour les données sensibles des entreprises et des clients. D’autre part, la cybersécurité de l’IA fournit également des capacités qui peuvent améliorer la cybersécurité des entreprises.

Rapport sur la sécurité de l'IA

Qu’est-ce que la sécurité de l’IA ?

Comprendre le rôle de l’IA dans la cybersécurité moderne

Les systèmes classiques de cybersécurité se concentraient sur la préservation de l’état opérationnel d’un réseau ou d’un appareil.

Cependant, les menaces modernes cherchent rarement à provoquer des pannes, mais visent plutôt à :

  • Voler des données d’entreprise précieuses
  • Déployer des souches complexes de logiciels malveillants derrière les défenses périmétriques

Afin d’aligner les défenses sur ces objectifs, le personnel de sécurité est tenu de surveiller davantage de données.

L’essor des solutions SIEM et EDR

Cette évolution peut être suivie dans les outils de sécurité qui se sont popularisés au fil du temps : l’essor des outils SIEM (Security Information and Event Management) au début des années 2010 a favorisé l’ingestion et l’analyse de grandes quantités de fichiers journaux.

Depuis lors, la quantité de données ingérées a augmenté.

La détection et la réponse aux incidents au niveau des terminaux (EDR), par exemple, surveille en permanence les activités internes de chaque ordinateur portable, téléphone et PC de l’entreprise, tandis que les pare-feu font de même pour les activités au niveau du réseau. Ces données individuelles sont créées plus rapidement qu’elles ne peuvent être examinées manuellement.

(mais ils doivent encore être transformés en renseignements exploitables.)

C’est dans ce domaine que l’IA, notamment le machine learning, a fait des progrès considérables.

L’adoption de l’IA

Il fonctionne en entraînant des algorithmes sur de grands ensembles de données, à partir desquels il organise les données relatives aux réseaux ou aux logiciels malveillants en modèles reconnaissables. Ces modèles peuvent ensuite être appliqués à de nouveaux ensembles de données, ce qui permet de reconnaître automatiquement les anomalies, telles que :

  • Tentatives de connexion inhabituelles
  • Modèles d'accès aux données

Au fil du temps, les modèles ML s’adaptent et améliorent leur précision en apprenant continuellement à partir de nouvelles données.

C’est l’un des moyens par lesquels l’IA permet aux équipes humaines chargées de la cybersécurité de travailler plus rapidement, plus efficacement et d’évaluer un éventail plus large de renseignements sur les menaces que ce qui est possible avec la seule vision humaine.

Comment les criminels utilisent l'IA

Le rapport sur la sécurité de l’IA de Check Point révèle comment les cybercriminels suivent de près l’essor de l’adoption généralisée de l’IA, en particulier à chaque nouvelle version d’un modèle linguistique à grande échelle (LLM). Dès qu’un nouveau modèle est rendu public, les acteurs malveillants présents sur les forums clandestins évaluent rapidement ses capacités et les possibilités d’utilisation abusive.

Bien que cela ne pose guère de problème sur le plan opérationnel, la situation évolue avec l’émergence de modèles open source ou carrément malveillants tels que DeepSeek ou WormGPT. Ces modèles illicites sont délibérément dépourvus de garanties éthiques et sont ouvertement présentés comme des outils de piratage et d’exploitation.

De plus, ils sont accessibles à très faible coût, ce qui rend le retour sur investissement de l’attaque encore plus élevé.

En conséquence, l’IA stimule à la fois :

  • Taux de réussite des attaques de phishing
  • Cycle de vie du développement du logiciel malveillant Aaster

De la création de scripts de logiciels rançonneurs et de kits de phishing à la conception d’outils de vol d’informations et à la génération de deepfakes, les cybercriminels utilisent l’IA pour rationaliser chaque phase de leurs opérations.

Risques liés à la sécurité de l’IA

Bien que l’IA soit très prometteuse et présente des avantages potentiels dans de nombreux secteurs, elle peut également présenter des risques de sécurité, notamment les suivants :

  • Violations de données : Les modèles d’IA nécessitent de grands volumes de données pour l’entraînement. La collecte et l'utilisation de ces grands ensembles de données présentent le risque potentiel qu'ils soient piratés par un attaquant.
  • Attaques antagonistes : L’intégration de l’IA dans divers processus introduit le risque que les cyberattaquants ciblent l’IA. Par exemple, les attaquants peuvent tenter de corrompre les données d’entraînement ou d’entraîner des systèmes d’IA antagonistes à identifier des erreurs dans le modèle de l’IA qui permettent de le contourner ou de l’exploiter.
  • Préjugés et discrimination : Les modèles d’IA sont construits sur la base de données d’entraînement étiquetées. Si ces données contiennent des biais, par exemple des images de groupes démographiques particuliers, le modèle d’IA apprendra les mêmes biais.
  • Manque de transparence : L’IA peut identifier des tendances et détecter des relations complexes. Cependant, ses modèles ne sont ni transparents ni interprétables, ce qui rend impossible l'identification des erreurs ou des biais dans le modèle final.

Comment l'IA peut-elle aider à prévenir les cyberattaques ?

La prolifération de l’IA haute performance est un moteur pour des contrôles de sécurité et des flux de travail plus stricts et plus précis. L’IA pouvant être mise en œuvre sous des formats radicalement différents en fonction des données sur lesquelles elle est entraînée, les cas d’utilisation suivants sont regroupés en fonction des outils de sécurité qui la mettent en œuvre.

L’IA dans la sécurité des réseaux

La mise en œuvre de l’IA dans la sécurité réseau peut aller de l’identification des connexions externes suspectes à la mise en place d’une segmentation réseau plus stricte.

Découverte automatisée des identités

Le contrôle d’accès basé sur les rôles (RBAC) est un moyen de mettre en œuvre la sécurité réseau selon le principe du moindre privilège.

Au lieu d’attribuer des autorisations générales à des groupes statiques d’individus, ce qui demande beaucoup de temps et de ressources, le RBAC associe des rôles spécifiques aux autorisations qui reflètent leurs responsabilités professionnelles. Les utilisateurs se voient ensuite attribuer ces rôles et héritent automatiquement des autorisations associées.

Par exemple, un nouvel employé peut être associé au rôle d’« administrateur de base de données » : les autorisations seraient les suivantes :

  • Création et suppression de bases de données
  • Sauvegarde et restauration des données

Ces autorisations explicites seraient complètement différentes de celles attribuées à un « comptable ».

L’IA accélère l’adoption du RBAC grâce à sa capacité à découvrir automatiquement les identités. De nouveaux outils de sécurité réseau peuvent analyser les connexions, l’accès aux fichiers et l’utilisation des applications dans tous les services, afin de dresser un profil des accès quotidiens des employés réels.

S’il détecte qu’un groupe spécifique accède régulièrement au logiciel de comptabilité, traite les données relatives à la paie et génère des rapports mensuels, il est en mesure de suggérer automatiquement un rôle d’« analyste financier ». Les nouveaux employés ayant des fonctions similaires peuvent alors se voir attribuer automatiquement ce rôle, ce qui rationalise l’onboarding RBAC.

Classification des menaces en temps réel

La sécurité réseau est dominée par le pare-feu dynamique. Approche éprouvée qui surveille les connexions entrantes et sortantes entre les appareils d’entreprise et l’Internet public, elle reste un bastion de la sécurité depuis son invention par Check Point en 1993.

Grâce à l’IA, les pare-feu sont toutefois en mesure d’automatiser une plus grande partie du processus de détection des menaces : cela peut s’appliquer à la fois au trafic entrant et à l’évaluation de la légitimité des sites externes.

Par exemple, les pare-feu assistés par IA sont pré-entraînés sur des données de trafic réseau étiquetées.

Comme le modèle d’IA devient très performant pour reconnaître et signaler les activités réseau malveillantes, le pare-feu peut relier entre elles différentes violations de politique pour obtenir une vue d’ensemble d’une attaque réelle.

Pare-feu de nouvelle génération

Les pare-feu de nouvelle génération vont au-delà des étiquettes d’alerte et offrent des capacités de réponse automatisées en fonction du type d’attaque suspecté. Cela peut inclure :

  • Mise à jour automatique des politiques de trafic internes
  • Isolation des communications vers un sous-réseau infecté

Les capacités de réponse de dernier recours, telles que le transfert du trafic vers des serveurs de basculement dédiés, doivent être ajoutées manuellement au pare-feu via des playbooks, afin d’assurer la continuité métier.

Le pare-feu IA ne se contente pas d’évaluer le trafic interne : selon votre fournisseur de pare-feu, certains proposent également une catégorisation des URL. Cette fonctionnalité utilise l’IA de traitement automatique des langues (NLP) pour classer les URL en fonction de leur sécurité.

Les sites dangereux ou inappropriés peuvent être bloqués au niveau du pare-feu, ce qui garantit une sécurité maximale.

Prévention des attaques zero day

Si la grande majorité des attaques s’appuient sur des vecteurs d’attaque préétablis, il existe un marché noir très lucratif pour les vulnérabilités zero day. Celles-ci ont une grande valeur précisément parce qu’elles ne disposent pas encore de correctifs.

(Et lorsqu’elles sont utilisées contre les pare-feu, elles peuvent représenter un problème de sécurité majeur.)

Un pare-feu optimisé par l’IA est capable de se défendre contre les attaques zero-day en établissant une base de référence de l’activité réseau normale. Par exemple, il est capable de tracer un graphique représentant le volume de transfert de données typique pour chaque rôle utilisateur. Si le pare-feu détecte un pic soudain dans le transfert de données vers un serveur externe à une heure inhabituelle, il signale ou bloque l’activité comme potentiellement malveillante.

Cette même technique peut également protéger des applications qui ne sont pas patchées.

L’IA dans la sécurité des terminaux

Les terminaux sécurisés font désormais partie intégrante de la sécurité des entreprises. À la base, la détection et la réponse aux incidents sur les terminaux (EDR) collecte des données télémétriques détaillées à partir de ces terminaux, telles que :

  • Exécution des processus
  • Relations entre processus parent et enfant
  • Interactions de fichiers telles que la création, la modification et la suppression

Ces données sont riches mais complexes, ce qui les rend idéales pour l’analyse par l’IA.

Analyse comportementale basée sur les terminaux

L’IA permet la détection prédictive des menaces en apprenant à reconnaître les comportements normaux et en repérant les anomalies subtiles qui peuvent indiquer une activité malveillante.

Cela le rend particulièrement efficace pour détecter les logiciels malveillants complexes ou sophistiqués qui utilisent des techniques d’obfuscation telles que le « process hollowing » (vidage de processus), ou même lorsque un processus malveillant porte un nom qui semble légitime. Étant donné que l’EDR surveille quels processus interagissent avec quels fichiers, son IA peut alors détecter lorsqu’un processus en arrière-plan accède à des fichiers sensibles auxquels il n’aurait normalement pas accès.

Cet écart permet de déclencher une alarme bien avant qu’une attaque ne soit menée à bien.

Analyse prédictive

Étant donné que les différentes souches de logiciels malveillants agissent de différentes manières, une IA EDR est capable d’identifier les tendances au sein d’une attaque en cours et de prédire quels systèmes ou utilisateurs sont susceptibles d’être ciblés ensuite. Par exemple, si la prise de contrôle d’un compte est soupçonnée d’être à l’origine d’une attaque, elle est capable d’examiner les bases de données auxquelles le compte peut avoir accès.

Si l’EDR est intégré au pare-feu, cela peut se traduire automatiquement par des modifications correspondantes de la politique du pare-feu.

Comment l’IA est-elle utilisée dans la cybersécurité ?

L’IA excelle dans l’analyse de grands volumes de données et l’extraction de tendances ou d’anomalies. Voici quelques-unes des applications potentielles de l’IA dans le domaine de la cybersécurité :

  • Détection et réponse aux menaces : La capacité de l’IA à identifier les tendances et les anomalies est bien adaptée à la détection des menaces potentielles de cybersécurité. Par exemple, l’IA peut surveiller le trafic réseau et rechercher des pics de trafic ou des modèles de communication inhabituels qui pourraient indiquer une attaque DDoS ou un mouvement latéral par un logiciel malveillant.
  • Analyse du comportement de l’utilisateur : L’IA peut également être utilisée pour effectuer une modélisation et une détection d’anomalies sur le comportement des utilisateurs. En identifiant les activités inhabituelles sur les comptes d’utilisateurs, l’IA peut aider à détecter les comptes compromis ou les abus de privilèges d’un utilisateur.
  • Évaluation de la vulnérabilité : La gestion des vulnérabilités et la gestion des correctifs sont un problème complexe et croissant à mesure que les vulnérabilités logicielles deviennent plus nombreuses. L’IA peut effectuer automatiquement des analyses de vulnérabilité, trier les résultats et élaborer des recommandations de remédiation pour combler les lacunes de sécurité identifiées.
  • Automatisation de la sécurité : Les outils de sécurité basés sur l’IA peuvent automatiser les tâches de sécurité courantes et répétitives en fonction des playbooks. Cela permet de répondre rapidement aux cyberattaques à grande échelle une fois qu'une intrusion a été identifiée.

L'IA dans les flux de travail des équipes de sécurité

La qualité d’une équipe de sécurité dépend des processus sur lesquels elle s’appuie au quotidien. Si l’IA a déjà commencé à apporter des changements concrets dans le domaine des outils, d’autres changements sont en cours au niveau des interfaces.

Analyse des risques multidimensionnelle

L’IA aide les analystes en sécurité en automatisant l’intégration et l’analyse des données relatives aux menaces.

Comme l’IA peut ingérer de vastes quantités de données non structurées différentes (des journaux et du trafic réseau à l’activité des utilisateurs, en passant par le comportement des terminaux et les flux de renseignements sur les menaces), elle donne une image immédiate de l’ampleur d’une nouvelle menace.

Au lieu de passer au crible manuellement des ensembles de données disparates, l’IA met en corrélation les événements entre les systèmes afin d’identifier les modèles, les anomalies et les menaces potentielles.

Par exemple, l’IA peut rassembler ces actions et générer un risque élevé d’attaque potentielle :

  • Si un utilisateur se connecte depuis un emplacement inhabituel
  • Accède aux fichiers sensibles à des heures inhabituelles
  • Initie des connexions sortantes vers des domaines inconnus

Cette évaluation des risques peut informer les analystes sur le cas et leur indiquer s’il doit être traité en priorité par rapport à d’autres demandes. Les modèles de machine learning pouvant évaluer la gravité de chaque événement en fonction des données historiques, du contexte organisationnel et des indicateurs de menace, les analystes peuvent commencer leurs investigations avec une longueur d’avance.

Dans les équipes plus importantes, cela peut même aller jusqu’à déterminer quels analystes ou responsables sont affectés à un incident. Par exemple, les analystes spécialisés dans certains appareils Linux ou Microsoft peuvent être prioritaires dans le cas d’attaques exploitant leur domaine d’expertise.

Assistant outil IA

Pour tirer le meilleur parti de votre équipe de sécurité, les tâches de sécurité courantes doivent être gérées aussi efficacement que possible. À cette fin, certains fournisseurs d’outils de sécurité proposent également une IA basée sur le traitement du langage naturel (NLP) qui fait office d’assistant.

Grâce aux politiques, aux règles d’accès et à la documentation produit de votre organisation, les analystes en sécurité peuvent réduire le temps nécessaire à la réalisation des tâches de sécurité.

Avantages de l’exploitation des technologies d’IA dans la sécurité

L’IA offre des avantages potentiels significatifs pour la cybersécurité des entreprises, notamment :

  • Détection améliorée des menaces : L’IA peut analyser de grands volumes d’alertes de sécurité et identifier avec précision les véritables menaces. Cela permet aux équipes de sécurité de détecter les intrusions potentielles et d'y répondre plus rapidement.
  • Résolution rapide des incidents : Une fois qu’un incident de sécurité a été identifié, l’IA peut effectuer des mesures correctives automatisées basées sur des playbooks. Cela accélère et rationalise le processus de réponse aux incidents, réduisant ainsi la capacité des attaquants à porter atteinte à l'organisation.
  • Amélioration de la visibilité de la sécurité : L’IA peut analyser de grands volumes de données et en extraire des informations utiles et des renseignements sur les menaces. Cela peut donner aux organisations une meilleure visibilité sur l'état actuel de leur infrastructure informatique et de sécurité.
  • Une plus grande efficacité : L’IA peut automatiser de nombreuses tâches informatiques répétitives et de bas niveau. Cela permet non seulement de réduire la charge de travail du personnel informatique, d'améliorer l'efficacité, mais également de garantir que ces tâches sont effectuées régulièrement et correctement.
  • Apprentissage continu : L’IA peut apprendre et mettre à jour ses modèles en permanence lorsqu’elle est active. Cela lui permet d'apprendre à détecter les dernières campagnes de cybermenaces et à y répondre.

Cadres de sécurité de l’IA

Voici quelques-uns des cadres de sécurité de l’IA développés pour gérer les risques de sécurité potentiels :

  • Top 10 des LLM de l'OWASP : Comme les autres listes des 10 meilleurs de l'OWASP, cette liste répertorie les risques de sécurité les plus importants liés aux LLM et les meilleures pratiques pour les gérer.
  • Secure IA Framework (SAIF) de Google : Définit un processus en six étapes pour surmonter les défis courants associés à la mise en œuvre et à l’utilisation des systèmes d’analyse d’impact.

Recommandations et bonnes pratiques en matière de sécurité de l’IA

Voici quelques-unes des meilleures pratiques de sécurité pour la mise en œuvre de l’IA :

  • Garantir la qualité des données d’entraînement : L’IA est aussi précise et efficace que ses données d’entraînement. Lors de la création de systèmes et de modèles d’IA, il est essentiel de s’assurer de l’exactitude des données d’entraînement étiquetées.
  • Aborder les implications éthiques : L’utilisation de l’IA a des implications éthiques en raison du potentiel de partialité ou d’utilisation abusive des données personnelles à des fins de formation. Assurez-vous que des garanties sont en place pour garantir que les données de formation sont complètes et que le consentement nécessaire a été accordé.
  • Effectuez des tests et des mises à jour périodiques : Les modèles d’IA peuvent contenir des erreurs ou devenir obsolètes au fil du temps. Des tests et des mises à jour périodiques sont essentiels pour garantir la précision et la convivialité des modèles d’IA.
  • Mettre en œuvre des politiques de sécurité basées sur l’IA : Les auteurs de cybermenace peuvent cibler les systèmes d’IA dans leurs attaques. Mettez en œuvre des politiques et des contrôles de sécurité pour protéger les données et les modèles d’entraînement de l’IA contre toute exploitation potentielle.

Découvrez la sécurité IA avec Check Point

Check Point n’est pas étranger aux progrès réalisés dans le domaine de la sécurité IA.

As a market leader, our ThreatCloud AI collects and analyzes vast amounts of telemetry and millions of indicators of compromise (IoCs) daily. It’s the driving force behind many AI deployments, including Check Point’s own Check Point and Check Point platforms.

L’IA peut représenter un changement de paradigme pour les outils de cybersécurité traitant de grandes quantités de données.

Cependant, il est essentiel de garder un contrôle total sur la manière dont l’IA est déployée au sein de votre organisation. Non seulement le rapport de Check Point sur la sécurité de l’IA a révélé l’utilisation croissante des outils d’IA par les pirates informatiques pour mener leurs attaques, mais les outils d’IA mal implémentés représentent également un risque pour la sécurité en soi. Aussi importante que soit l’IA, il est essentiel de conserver une visibilité et un contrôle sur la manière dont les différents outils d’IA sont déployés.

C’est là que Check Point GenAI Protect entre en jeu.

En s’intégrant à votre réseau actuel, il est capable de détecter les services d’IA actuellement utilisés dans l’ensemble de votre organisation. Protect rassemble tous les cas d’utilisation de l’IA dans un plan de contrôle centralisé, qu’il s’agisse :

  • Les utilisateurs finaux utilisent régulièrement ChatGPT
  • Des outils d’IA générative plus spécialisés déployés dans le pipeline CI/CD

À partir de là, sécurisez la manière dont les utilisateurs interagissent avec l’IA et obtenez une visibilité totale sur les données auxquelles les API correspondantes d’une application IA ont accès. Cette connaissance du contexte s’étend également aux invites utilisées par les individus. Par exemple, GenAI Protect peut garantir que le personnel de direction n’expose pas les données de l’entreprise à ChatGPT en détectant toute donnée conversationnelle classifiée dans les invites.

En fin de compte, GenAI Protect permet aux organisations de respecter leurs exigences réglementaires en matière de sécurité tout en explorant pleinement les nouvelles capacités de l’IA.

Découvrez-en davantage sur GenAI Protect et assurez la sécurité de votre entreprise tout en suivant son développement.