Les dirigeants de la sécurité doivent devenir des pom-pom girls, des experts à risque, des commissaires de données, des enseignants et des chercheurs. Voici comment diriger votre organisation vers une utilisation plus sûre et efficace de l’IA.
Lorsque Chatgpt est sorti pour la première fois, j’ai demandé à un panel de CISO ce que cela signifiait pour leurs programmes de cybersécurité. Ils ont reconnu les changements imminents, mais ont réfléchi aux technologies perturbatrices passées, comme les iPods, les points d’accès Wi-Fi et les applications SaaS entrant dans l’entreprise. Le consensus était que l’IA de sécurité serait un perturbateur similaire, ils ont donc convenu que 80% (ou plus) des exigences de sécurité de l’IA étaient déjà en place. Les fondamentaux de sécurité tels que l’inventaire des actifs solides, la sécurité des données, la gouvernance de l’identité, la gestion de la vulnérabilité, etc., serviraient de Fondation sur la cybersécurité de l’IA.
Avance rapide jusqu’en 2025, et mes amis du CISO avaient raison – en quelque sorte. Il est vrai qu’un programme de sécurité des entreprises robuste et complet agit comme une ancre de sécurité de l’IA, mais les 20% autres sont plus difficiles que l’imaginaire. Les applications d’IA élargissent rapidement la surface d’attaque tout en étendant la surface d’attaque aux partenaires tiers, ainsi qu’au plus profond de la chaîne d’approvisionnement des logiciels. Cela signifie une visibilité limitée et des angles morts. L’IA est souvent enracinée dans la connectivité open source et API, il y a donc probablement une activité d’ombre AI partout. Enfin, l’innovation de l’IA évolue rapidement, ce qui rend difficile pour les équipes de sécurité surchargées de suivre.
Mis à part les aspects techniques de l’IA, il convient également de noter que de nombreux projets d’IA se terminent par un échec. Selon des recherches de S&P Global Market Intelligence, 42% des entreprises ont fermé la plupart de leurs initiatives d’IA en 2025 (contre 17% en 2024). En outre, près de la moitié (46%) des entreprises interrompent la preuve de concepts de l’IA (POC) avant même d’atteindre la production.
Pourquoi tant de projets d’IA échouent-ils? La recherche de l’industrie indique le coût, la mauvaise qualité des données, le manque de gouvernance, les lacunes de talents et les problèmes de mise à l’échelle, entre autres.
Avec les projets qui échouent et un pot-pourri de défis de sécurité, les organisations ont une liste de tâches longue et croissante lorsqu’il s’agit d’assurer une solide stratégie d’IA pour l’innovation et la sécurité. Lorsque je rencontre mes Amigos Ciso ces jours-ci, ils soulignent souvent les cinq priorités suivantes:
1. Commencez tout avec un modèle de gouvernance solide
Pour être clair, je ne parle pas seule de la technologie ou de la sécurité. En fait, le modèle de gouvernance de l’IA doit commencer par l’alignement entre les équipes commerciales et technologiques sur la façon et la façon dont l’IA peut être utilisée pour soutenir la mission organisationnelle.
Pour ce faire, les CISO devraient travailler avec les homologues du CIO pour éduquer les chefs d’entreprise, ainsi que les fonctions commerciales telles que les équipes juridiques, la finance, etc., pour établir un cadre d’IA qui répond aux besoins commerciaux et aux capacités techniques. Les cadres doivent suivre un cycle de vie de la conception à la production et inclure des considérations éthiques, des politiques d’utilisation acceptables, la transparence, la conformité réglementaire et (surtout) les mesures de réussite.
Dans cet effort, les CISO devraient passer en revue les cadres existants tels que le cadre de gestion des risques de l’AI NIST, ISO / IEC 42001: 2023, recommandations de l’UNESCO sur l’éthique de l’intelligence artificielle, et la montée (recherche, mise en œuvre, maintien, évaluer) et soigner (créer, adopter, courir, évoluer) des cadres à partir de Rockcyber. Les entreprises peuvent avoir besoin de créer un cadre «meilleur» qui correspond à leurs besoins spécifiques.
2. Développer une vision complète et continue des risques d’IA
La conduite des risques d’IA organisationnelles commence par les bases, telles qu’un inventaire d’actifs d’IA, les factures de logiciels de matériel, la vulnérabilité et la gestion des expositions, et un registre des risques d’IA. Au-delà de l’hygiène de base, des CISO et des professionnels de la sécurité doivent comprendre les points fins des menaces spécifiques à l’IA telles que l’empoisonnement du modèle, l’inférence des données, l’injection rapide, etc. Les analystes de menaces devront suivre les tactiques, techniques et procédures (TTP) utilisés pour les attaques IA. Mitre Atlas est une bonne ressource ici.
Alors que les applications IA s’étendent aux tiers, les CISO auront besoin d’audits sur mesure de données tierces, de contrôles de sécurité de l’IA, de sécurité de la chaîne d’approvisionnement, etc. Les dirigeants de la sécurité doivent également prêter attention aux réglementations émergentes et changent souvent de l’IA. La loi sur l’UE AI est la plus complète à ce jour, mettant l’accent sur la sécurité, la transparence, la non-discrimination et la convivialité environnementale. D’autres, comme le Colorado Artificial Intelligence Act (CAIA), peuvent changer rapidement à mesure que la réaction des consommateurs, l’expérience de l’entreprise et la jurisation de jurisation évoluent. Les CISO devraient anticiper d’autres réglementations étatiques, fédérales, régionales et de l’industrie.
3. Faites attention à une définition en évolution de l’intégrité des données
On pourrait penser que cela serait évident, car la confidentialité, l’intégrité et la disponibilité constituent la cybersécurité CIA Triad. Mais dans le monde de l’infosec, l’intégrité des données s’est concentrée sur des problèmes tels que les modifications des données non autorisées et la cohérence des données. Ces protections sont encore nécessaires, mais les CISO devraient élargir leur compétence pour inclure l’intégrité des données et la véracité des modèles d’IA eux-mêmes.
Pour illustrer ce point, voici quelques exemples infâmes de problèmes de modèle de données. Amazon a créé un outil de recrutement d’IA pour aider à mieux trier les curriculum vitae et à choisir les candidats les plus qualifiés. Malheureusement, le modèle a été principalement formé avec des données orientées hommes, donc elle a discriminé les candidats. De même, lorsque le Royaume-Uni a créé une application de vérification de photo de passeport, son modèle a été formé à l’aide de personnes à la peau blanche, donc elle a discriminé les individus à la peau plus foncée.
La véracité du modèle d’IA n’est pas quelque chose que vous couvrirez dans le cadre d’une certification CISSP, mais les CISO doivent être au courant de cela dans le cadre de leurs responsabilités de gouvernance de l’IA.
4. Efforcez-vous de l’alphabétisation de l’IA à tous les niveaux
Chaque employé, partenaire et client travaillera avec l’IA à un certain niveau, donc l’alphabétisation de l’IA est une priorité élevée. Les CISO devraient commencer dans leur propre département avec une formation fondamentale de l’IA pour toute l’équipe de sécurité.
Les cyclistes de développement de logiciels sécurisés établis devraient être modifiés pour couvrir des éléments tels que la modélisation des menaces d’IA, la gestion des données, la sécurité de l’API, etc. Les développeurs devraient également recevoir une formation sur les meilleures pratiques de développement de l’IA, y compris le Top 10 de l’OWASP pour les LLM, les directives Secure AI Secure AI (SAIF) et le cloud Security Alliance (CSA).
La formation finale de l’utilisateur doit inclure une utilisation acceptable, la gestion des données, la désinformation et la formation DeepFake. Des solutions de gestion des risques humains (GRH) de fournisseurs tels que Mimecast peuvent être nécessaires pour suivre les menaces de l’IA et personnaliser la formation à différentes personnes et rôles.
5. Restez prudemment optimiste quant à la technologie de l’IA pour la cybersécurité
Je classerais la technologie de sécurité de l’IA d’aujourd’hui comme plus «d’aide au conducteur», comme le régulateur de vitesse, que la conduite autonome. Néanmoins, les choses avancent rapidement.
Les CISO devraient demander à leur personnel d’identifier les tâches discrètes, telles que le triage d’alerte, la chasse aux menaces, la notation des risques et la création de rapports, où ils pourraient utiliser de l’aide, puis commencer à rechercher des innovations de sécurité émergentes dans ces domaines.
Simultanément, les chefs de sécurité devraient planifier des réunions de feuille de route avec les principaux partenaires technologiques de sécurité. Venez à ces réunions préparées à discuter des besoins spécifiques plutôt que de vous asseoir à travers des présentations PowerPoint à tarte. Les CISO devraient également demander directement aux fournisseurs comment l’IA sera utilisé pour le réglage et l’optimisation technologiques existants. Il y a beaucoup d’innovation en cours, donc je pense que cela vaut la peine de lancer un large filet entre les partenaires, les concurrents et les startups existants.
Un mot de prudence cependant, de nombreux «produits» d’IA sont vraiment des caractéristiques du produit, et les applications IA sont à forte intensité de ressources et coûteuses à développer et à exploiter. Certaines startups seront acquises, mais beaucoup peuvent s’éteindre rapidement. Caveat Emptor!
Opportunités à venir
Je vais terminer cet article avec une prédiction. Environ 70% des CISO se présentent aux DSI aujourd’hui. Je crois qu’à mesure que l’IA prolifère, les structures de rapport des CISO changent rapidement, avec davantage de rapports directement au PDG. Ceux qui jouent un rôle de leadership dans la gouvernance commerciale et technologique de l’IA seront probablement les premiers promus.
