« L’urgence est claire », affirment les agences de cybersécurité, mais certains experts estiment que les conseils sont trop généraux et trop tardifs.
Dans son appel à l’action de lundi, le groupe a averti que « les modèles Frontal Al devraient dépasser les attentes actuelles de l’industrie, transformant fondamentalement les cybercapacités offensives et défensives. Le calendrier n’est pas des années, mais des mois ».
Pour cette raison, la cyber-résilience fait partie intégrante de la progression de la continuité des activités, de la confiance du marché et de la valeur à long terme, indique le communiqué.
La déclaration provient de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), du Centre national de cybersécurité du Royaume-Uni, du Centre canadien pour la cybersécurité (CCCS), du Centre australien de cybersécurité et de la Direction de la cybersécurité de Nouvelle-Zélande, collectivement connues sous le nom de Five Eyes.
Il exhorte les dirigeants d’entreprises et de sécurité de l’information à comprendre et à évaluer les cyber-risques, leur préparation à faire face à une attaque et leur responsabilité ; donner la priorité aux pratiques et contrôles fondamentaux en matière de cybersécurité ; donner aux cyber-leaders de l’autorité et des ressources ; et restez activement engagé à mesure que les menaces et les orientations évoluent.
La déclaration indique clairement que le rythme du changement a atteint un point où les organisations doivent agir, a ajouté le CCCS, notant : « attendre ne fera que réduire la fenêtre de réponse. Notre objectif commun était d’être direct et accessible aux hauts dirigeants : l’IA affecte déjà les cyber-risques, et elle doit être abordée dans le cadre de la gestion des risques commerciaux de base. »
Bien maîtriser les bases
Dans la déclaration, les agences préviennent : « Le succès viendra de la bonne définition des bases, de l’action rapide et de l’intégration de la cybersécurité dans la stratégie commerciale de base. Ceux qui ne le feront pas seront confrontés à un désavantage opérationnel et stratégique croissant ».
Le cyber-risque ne peut plus être traité comme une question purement technique, soulignent-ils. « Il s’agit d’un risque commercial essentiel et d’une responsabilité de leadership. Les conseils d’administration et les dirigeants doivent s’assurer que la cyber-résilience est en place et fonctionne sous pression. Il ne suffit pas d’avoir des contrôles. Les dirigeants doivent être sûrs que ces contrôles fonctionneront lors d’un incident réel. Cela nécessite de réévaluer les compromis de longue date et d’utiliser délibérément l’IA pour renforcer la défense, et pas seulement pour améliorer l’efficacité. »
Pour les dirigeants, la déclaration propose trois principes fondamentaux sur lesquels agir, notamment s’assurer que la sécurité dès la conception et la sécurité par défaut sont des pratiques informatiques standard et non des aspirations, mettre en œuvre une défense en profondeur et se préparer à faire face à de nouvelles vulnérabilités zero-day.
Il recommande également cinq actions pratiques, notamment la réduction de la surface d’attaque, l’accélération des correctifs, la résolution des systèmes existants, le renforcement des contrôles d’identité et d’accès, et la préparation aux violations des contrôles de sécurité en testant les plans de réponse et en se concentrant sur la maîtrise d’une violation.
« Ces actions ne sont pas nouvelles », admettent les agences, « mais elles sont désormais urgentes pour réduire non seulement les risques techniques, mais aussi les risques opérationnels, financiers et de réputation ».
Les agences exhortent également les défenseurs de la sécurité de l’information à utiliser l’IA pour renforcer les défenses des entreprises.
(Contenu associé : Comment les SOC peuvent tirer parti de l’IA)
Les experts pas impressionnés
Cependant, ces conseils n’impressionnent pas certains experts.
Cela « semble être une déclaration générique qui énonce une évidence et, franchement, ne fournit pas d’indications significatives sur la manière de gérer les risques liés à l’IA », s’est plaint Joseph Steinberg, conseiller américain en cybersécurité et en IA auprès des entreprises et des gouvernements.
« Non seulement la déclaration ne traite pas de nombreux aspects des risques créés par l’IA et pour lesquels les entreprises devraient déjà planifier et mettre en œuvre des contre-mesures, mais quatre des cinq actions pratiques recommandées contenues dans la déclaration ne mentionnent même pas l’IA et ont été appliquées bien avant l’aube de l’ère de l’IA. »
La déclaration aurait dû discuter de la transformation totale de l’IA en matière d’ingénierie sociale et de sa capacité à effectuer une plus grande reconnaissance, a-t-il déclaré, et recommander des techniques pour des cibles spécifiques à l’ingénierie sociale. Il aurait également dû expliquer que l’IA générative peut divulguer des données sur le travail interne d’une entreprise, et que si une IA reçoit des données empoisonnées, elle peut « apprendre » des choses incorrectes ; ce problème de formation est difficile à résoudre.
Interrogé sur les plaintes selon lesquelles la déclaration de Five Eyes est trop générique, un porte-parole de la CISA a souligné le site Web d’orientation sur l’intelligence artificielle de l’agence, qui contient des articles sur la sécurité des données de l’IA, sur la manière dont l’IA doit être sécurisée dès la conception et sur d’autres ressources.
Rob Enderle, chef du groupe Enderle, a déclaré que l’avertissement des Five Eyes était « incroyablement tardif ».
« Les menaces et les deepfakes générés par l’IA ont un impact considérable sur le paysage des entreprises depuis un certain temps déjà », a-t-il déclaré dans un e-mail. « Cependant, bien que tardives, ces orientations sont tout à fait cohérentes avec la gravité et l’ampleur de la menace à laquelle nous sommes activement confrontés, fournissant une base de référence nécessaire aux agences qui tentent de rattraper leur retard dans l’environnement actuel. »
Le conseil lui-même est solide, a-t-il reconnu, « mais agit plus comme un signal d’alarme critique que comme une feuille de route prémonitoire. Il souligne avec succès que l’IA modifie fondamentalement le vecteur de menace et que les organisations ne peuvent plus se permettre de traiter la cybersécurité comme un problème technique cloisonné. Plutôt que d’être trop générique, il souligne avec précision les vulnérabilités opérationnelles immédiates auxquelles les entreprises doivent remédier. «
(Contenu connexe : Tolérance au risque vs appétit pour le risque)
Ilia Kolochenko, PDG d’ImmuniWeb et professeur adjoint de pratique de cybersécurité et de droit de la cybersécurité à la Capitol Technology University, basée aux États-Unis, a déclaré que la déclaration de Five Eyes « est parfaitement logique. Cependant, elle aurait dû être envoyée fin 2023. Aujourd’hui, une mise en œuvre négligente et une utilisation imprudente de systèmes d’IA légitimes constituent une menace bien plus grande que toute utilisation abusive de l’IA ».
Il a ajouté que même si les recommandations pratiques, telles que la réduction de la surface d’attaque externe de l’organisation, sont pertinentes, elles ont peu de lien direct avec les risques modernes de l’IA. L’IA accélère et amplifie la détection des systèmes mal configurés, obsolètes ou vulnérables exposés à Internet, a-t-il reconnu, mais de tels problèmes existent depuis plus d’une décennie. « Il existe des milliers d’outils non-IA disponibles gratuitement qui peuvent trouver rapidement les fruits les plus faciles à trouver, qui sont souvent encore meilleurs et beaucoup moins chers que les LLM, donc l’IA n’est même pas pertinente ici », a-t-il déclaré.
Il a ajouté qu’en 2026, les auteurs de menaces n’auront plus vraiment besoin de zéro jour, car pratiquement toutes les grandes entreprises disposent de tellement d’informatique fantôme et d’actifs mal configurés que les cybercriminels peuvent simplement télécharger tous les joyaux de l’organisation en un seul clic. « Il n’est plus nécessaire de recourir au Zero Day ou à un cycle d’exploitation plus rapide avec l’IA pour tout obtenir », a-t-il déclaré.
