La nature imprévisible et dynamique de l’IA brise les modèles de cybersécurité traditionnels, obligeant les dirigeants à passer de la prévention à la visibilité d’exécution en temps réel.
Chaque changement technologique majeur modifie la cybersécurité. J’ai passé une grande partie de ma carrière à travailler sur des transitions technologiques majeures, de l’essor de l’Internet commercial au mobile et au cloud computing. Chaque changement a créé de nouvelles opportunités d’innovation, mais il a également créé de nouveaux problèmes de sécurité auxquels les organisations n’étaient pas entièrement préparées.
L’IA ressemble peut-être à certains égards aux évolutions technologiques précédentes, mais elle s’en distingue sur un point important : elle remet en question l’une des hypothèses fondamentales sur lesquelles les programmes de sécurité modernes ont été construits : la prévisibilité.
Pendant la majeure partie de ma carrière, les équipes de sécurité ont opéré dans des environnements où les systèmes se comportaient de manière déterministe. Les applications s’exécutent généralement de la même manière à chaque fois. L’infrastructure a évolué suffisamment lentement pour que les humains puissent cartographier les dépendances, comprendre les limites de confiance et mettre en œuvre des contrôles autour de celles-ci. Même la transformation du cloud nous a permis d’appliquer des modèles de sécurité familiers à une nouvelle infrastructure.
L’IA change ces hypothèses.
Les systèmes agentiques prennent des décisions de manière dynamique. Les grands modèles de langage génèrent différentes sorties en fonction du contexte. Les systèmes d’IA interagissent de plus en plus avec des outils, des API et des environnements externes d’une manière que leurs développeurs ne peuvent pas toujours prédire à l’avance. Lorsque les systèmes cessent de se comporter de manière cohérente, l’approche traditionnelle de la cybersécurité consistant à « empêcher les mauvaises choses d’entrer » commence à s’effondrer.
La prévention compte toujours. Mais la prévention à elle seule est structurellement insuffisante pour les environnements où le risque évolue continuellement au moment de l’exécution.
La sécurité a été conçue pour les systèmes déterministes
Lorsque j’ai contribué à la création de programmes de sécurité il y a des années, l’accent était mis en grande partie sur le renforcement des systèmes avant leur déploiement. Les équipes de sécurité ont tenté d’identifier les vulnérabilités le plus tôt possible, de réduire l’exposition et d’empêcher les attaquants d’y accéder en premier lieu.
Même au cours des premières années d’adoption du cloud, la plupart des organisations abordaient encore la sécurité principalement par le biais de la gestion de la configuration et des politiques. Nous nous inquiétions des autorisations, des compartiments de stockage exposés et de la prolifération des identités, tandis que les outils de sécurité du cloud se concentraient fortement sur l’identification des mauvaises configurations et le verrouillage de l’infrastructure.
Ces contrôles restent aujourd’hui d’une importance cruciale. Mais l’ère du cloud nous a également appris que les failles de sécurité se produisent rarement dans les diagrammes statiques. Ils se produisent dans des environnements réels, où les autorisations changent, les API évoluent et les identités obtiennent des chemins d’accès inattendus tandis que les systèmes interagissent d’une manière jamais entièrement prévue par les architectes.
Au moment où les organisations cartographient un état de l’environnement, celui-ci a déjà changé. Le risque apparaît de plus en plus au moment de l’exécution, lorsque les identités héritent d’un accès involontaire, que les API changent de comportement ou que les agents d’IA interagissent avec les systèmes d’une manière qu’aucun diagramme d’architecture ne capture.
Lors de conversations que j’ai eues avec des entreprises, je les ai vues passer de centaines de milliers de lignes de code par mois à des millions. Les outils de développement assistés par l’IA modifient fondamentalement les flux de travail de l’ingénierie logicielle. Une étude de la Harvard Business School a révélé qu’après que les développeurs ont eu accès à GitHub Copilot, l’activité de codage a augmenté de 12,4 % tandis que le temps consacré aux tâches de gestion de projet a diminué de près de 25 % – un changement qui peut laisser moins de temps pour les révisions et la coordination dont dépend la gouvernance.
D’un point de vue commercial, l’accélération crée un effet de levier, mais elle réduit également le temps dont disposent les équipes de sécurité pour comprendre ce qui entre en production. Les attaquants commencent à utiliser l’IA pour réduire l’effort manuel historiquement requis pour la reconnaissance, le chaînage des exploits et la validation des vulnérabilités à grande échelle.
La sécurité par l’obscurité n’est pas une stratégie gagnante. Pendant des années, les organisations ont souvent accepté certaines vulnérabilités parce que leur exploitation exigeait trop de temps, d’expertise ou d’efforts de la part des attaquants.
Les vulnérabilités autrefois considérées comme difficiles à relier entre elles deviennent plus faciles à exploiter à grande échelle à mesure que les attaquants utilisent l’IA pour automatiser certaines parties du processus. Les responsables de la sécurité doivent reconnaître que certains des modèles de priorisation que les organisations ont construits au cours de la dernière décennie ne reflètent peut-être plus la réalité d’aujourd’hui.
Pourquoi la prévention seule ne fonctionne plus
À mesure que les systèmes d’IA deviennent plus autonomes, la visibilité de l’exécution devient essentielle.
De nombreuses organisations ont historiquement traité la surveillance du temps d’exécution comme une couche secondaire derrière la prévention, la considérant principalement comme un filet de sécurité pour les cas extrêmes.
Ce modèle s’effondre lorsque les systèmes peuvent évoluer et interagir plus rapidement que ce que les équipes de sécurité peuvent raisonnablement valider en temps réel.
Si un agent d’IA peut interagir avec plusieurs systèmes, générer de nouvelles actions de manière indépendante ou adapter son comportement en fonction de l’évolution du contexte, les organisations ne peuvent pas s’appuyer exclusivement sur des contrôles préalables au déploiement. Les équipes de sécurité ont besoin de visibilité sur ce que font ces systèmes pendant leur fonctionnement.
Cela comprend :
- À quelles données les systèmes d’IA peuvent accéder
- Comment les identités interagissent avec les environnements sensibles
- Quelles actions les agents entreprennent
- Si les systèmes s’écartent du comportement attendu
- La rapidité avec laquelle les organisations peuvent contenir des conséquences imprévues
À bien des égards, la sécurité moderne ne vise plus à empêcher toute compromission, mais plutôt à limiter la rapidité avec laquelle les comportements involontaires peuvent se propager une fois que les systèmes commencent à agir de manière autonome.
Les responsables de la sécurité doivent veiller à ne pas réagir de manière excessive à ce changement avec des discours fondés sur la peur. L’IA créera certainement de nouveaux défis en matière de sécurité, mais elle créera également des opportunités pour les défenseurs.
Les équipes de sécurité ne peuvent plus évoluer en utilisant uniquement le travail humain. Le volume des modifications d’infrastructure, de la génération de logiciels et de la gestion des vulnérabilités dépasse ce que la plupart des organisations peuvent gérer manuellement.
Nous voyons déjà des organisations expérimenter le tri assisté par l’IA, les flux de travail d’enquête automatisés et les agents défensifs qui peuvent aider les équipes de sécurité à agir plus rapidement et à gérer une complexité opérationnelle croissante. Les produits de sécurité commencent à évoluer vers des extensions opérationnelles des équipes de sécurité plutôt que vers des systèmes d’alerte passifs.
Cette évolution est logique. Les attaquants utilisent l’automatisation et l’IA pour augmenter la vitesse et l’échelle. Les défenseurs devront faire de même pour maintenir la parité.
5 priorités pour les responsables de la sécurité à l’ère de l’IA
Les organisations qui s’adaptent le mieux aux risques liés à l’IA ne seront pas nécessairement celles qui disposent des plus grandes équipes de sécurité ou des plus gros budgets. Le plus souvent, ce sont eux qui s’adaptent le plus rapidement à mesure que les logiciels, l’infrastructure et le comportement des attaquants évoluent plus rapidement que ce pour quoi les opérations de sécurité traditionnelles sont conçues.
Ce changement vous oblige à réfléchir différemment à la façon dont vous gérez les risques, les opérations et la résilience.
1. Reconstruire la gestion des vulnérabilités pour le développement de logiciels à l’échelle de l’IA
De nombreux programmes de gestion des vulnérabilités étaient déjà dépassés avant que l’IA n’accélère la génération de logiciels et ne réduise une partie de la courbe des coûts des attaquants. Ce défi devient exponentiellement plus difficile.
Arrêtez de supposer que les anciens modèles d’exploitabilité résisteront dans un environnement où les attaquants peuvent utiliser l’IA pour accélérer la reconnaissance, le chaînage des vulnérabilités et le développement des exploits.
Vous devez réévaluer la manière dont les vulnérabilités sont hiérarchisées, validées et corrigées, car certaines des hypothèses formulées par les organisations au cours de la dernière décennie concernant les limites des attaquants peuvent ne plus refléter la réalité.
Certaines organisations investissent déjà dans des harnais de modèles pour déployer de nouveaux modèles d’IA de manière plus efficace et plus sécurisée.
2. Traitez la visibilité d’exécution comme un contrôle principal
La surveillance du temps d’exécution ne peut plus être considérée comme une capacité secondaire derrière la prévention. Chaque équipe doit investir dans de nouvelles formes d’outils pour obtenir cette visibilité.
Cela dit, la surveillance de l’exécution n’est pas quelque chose que les organisations de sécurité peuvent faire exister du code. Nous devons attendre de nos fournisseurs de sécurité qu’ils créent une visibilité continue sur les charges de travail, les identités, les API et le comportement des systèmes d’IA dans les environnements de production.
Donnez la priorité à un contexte plus clair autour duquel les vulnérabilités sont accessibles, exposées ou activement exploitées. Cela devient de plus en plus important à mesure que les systèmes d’IA interagissent avec l’infrastructure et les données de manière moins prévisible.
3. Utilisez l’IA pour augmenter les opérations défensives
La plupart des organisations ne parviennent pas à embaucher suffisamment de personnel pour répondre aux exigences opérationnelles introduites par l’IA.
Utilisez l’automatisation et l’IA pour réduire le temps d’enquête, automatiser les flux de travail répétitifs et améliorer la vitesse de réponse. Le jugement humain compte toujours, mais les équipes de sécurité opèrent dans des environnements où le volume d’alertes, de modifications d’infrastructure et de génération de logiciels dépasse ce que les gens peuvent gérer manuellement.
L’IA peut aider les équipes à se concentrer sur des décisions d’ordre supérieur plutôt que sur le bruit opérationnel.
4. Focus sur la résilience et le confinement
Une prévention parfaite n’a jamais existé, mais elle devient encore moins réaliste dans les environnements d’IA très dynamiques.
Réfléchissez plus attentivement à la réduction du rayon d’explosion, au confinement rapide et à la résilience opérationnelle. Votre capacité à détecter rapidement les comportements involontaires et à limiter l’impact en aval sera d’autant plus importante à mesure que les organisations déploieront des systèmes plus autonomes.
Je pense que de nombreux responsables de la sécurité se concentrent encore trop sur la question de savoir si les systèmes d’IA peuvent échouer au lieu de se préparer à la manière de fonctionner en toute sécurité lorsque cela se produit inévitablement.
5. Positionner la sécurité comme un catalyseur de transformation
L’une des plus grandes erreurs que les organisations de sécurité puissent commettre à l’heure actuelle est de considérer l’IA avant tout comme un moyen de l’arrêter.
Les conseils d’administration et les PDG font pression de manière agressive en faveur de l’adoption de l’IA parce qu’ils la considèrent comme stratégiquement nécessaire. Si vous positionnez la sécurité uniquement comme une fonction de blocage, vous risquez de perdre votre influence lors de l’une des transitions technologiques les plus importantes depuis des décennies.
Les équipes de direction comprennent que la transformation de l’IA ne peut réussir sans un leadership fort en matière de sécurité qui guide les décisions en matière de risques en temps réel.
Cela crée une opportunité d’aider votre entreprise à évoluer plus rapidement en toute sécurité tout en élaborant des programmes de sécurité mieux adaptés aux environnements dynamiques.
L’IA impose un nouveau modèle opérationnel de sécurité
Le principal défi que l’IA crée pour les équipes de sécurité n’est pas simplement celui de l’échelle. C’est l’érosion de la prévisibilité. Le rythme du changement va s’accélérer à mesure que les systèmes d’IA seront plus profondément intégrés aux opérations commerciales.
Pour fonctionner efficacement dans cet environnement, concentrez-vous sur la création de programmes de sécurité capables de s’adapter rapidement, de contenir les risques en temps réel et de soutenir l’innovation sans perdre de visibilité ou de contrôle. Pilotez cette évolution grâce à la fois au recrutement et aux investissements auprès des fournisseurs, en mettant davantage l’accent sur la maîtrise de l’IA et l’expertise opérationnelle.
Ce n’est qu’en investissant en priorité dans le personnel et les outils que vous pourrez obtenir une meilleure connaissance du temps d’exécution, des capacités de réponse plus rapides et des modèles d’exploitation qui s’adaptent à l’évolution constante de l’infrastructure et des environnements logiciels.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
