IA, NIS 2 et cybersécurité : y a-t-il un pilote dans l'avion ?

Synonymes de gains de productivité et de compétitivité, les usages de l'intelligence artificielle (IA) se développent petit à petit au sein des entreprises. Bien que source d'opportunités, l'IA se mue aussi en risque. L'IA a définitivement changé le paysage des menaces cyber qui pèsent sur les organisations. Elle permet aux acteurs de la menace d'industrialiser, de conduire leurs cyberattaques avec beaucoup plus de vélocité et d'efficacité qu'auparavant.

En découle un « jetlag » entre le temps de détection et de réponse aux attaques, qui est désormais préjudiciable car en inadéquation avec les obligations réglementaires (ex: RGPD, NIS 2). Et une question : y a-t-il un (co)pilote pour maîtriser le risque cyber associé aux attaques alimentées par l'IA ?

Professionnalisation de la menace

Le constat est simple. Aujourd'hui, il ne faut plus que quelques heures aux acteurs malveillants pour exploiter une vulnérabilité au sein du système d'information d'une organisation. A contrario, il faut en moyenne six jours aux équipes de sécurité pour résoudre une alerte de sécurité.  Face aux exigences des réglementations (inter)nationales qui obligent à déclarer un incident dans les plus brefs délais sous peine de sanctions (RGPD = 3 jours ; NIS 2 = « alerte précoce » 24h maximum après l'incident), ce "jetlag" entre l'attaque et la réponse ne permet pas à une organisation de respecter ses obligations réglementaires.

Ne nous trompons pas de sujet. La directive NIS2 est un excellent outil pour renforcer la cyber résilience et la posture de sécurité de nos entreprises et opérateurs d'importance vitale (OIV). Elle est synonyme d'une meilleure gestion (ex: plan de continuité, sécurité de la chaîne d'approvisionnement) et gouvernance des risques (responsabilisation des organes de direction, obligation de formation).

Cependant les organisations doivent aussi composer avec une autre réalité protéiforme. Elles font face à la professionnalisation, la rapidité des acteurs de la menace et leur recours massif à l'IA pour devancer les outils et mesures de protection. A cela s'ajoutent un manque de compétences, de ressources humaines en matière de cybersécurité, et désormais, des sanctions financières et pénales. En effet, la directive intègre à présent la responsabilité des directions en cas de manquement à la cybersécurité, avec des sanctions financières pouvant atteindre jusqu'à 2% du chiffre d'affaires ou 10 millions d'euros.

L'IA, une source de risque

Le rapport de Mario Draghi sur la compétitivité européenne met en avant les bénéfices de l'IA : gains de productivité, meilleure compétitivité, gains de parts de marché. Si l'adoption de l'IA en entreprise est en marche, le chemin est encore long et le risque associé à son usage (non déclaré) existe. Pour preuves, selon ce même rapport, 7% seulement des PME/TPE déclarent utiliser l'IA contre 30% des grandes entreprises. 31% des salariés interrogés déclarent utiliser l'IA au travail.

Mais les études sur les usages non déclarés (shadow IA) doivent aussi nous interroger. La seconde édition de l'observatoire du travail hybride et augmenté 2024 précise que 70% des personnes interrogées déclarent des usages en matière d'IA générative, bien au-delà des services disponibles dans l'entreprise. L'IA peut dans ce cas devenir une source de risque car ces usages non déclarés augmentent la surface d'attaque offerte aux cyber attaquants. Dès lors, quelle stratégie d'adoption de l'IA et de sécurité mettre en place pour se protéger efficacement et répondre aux exigences réglementaires ?

Tout d'abord, pour adopter l'IA plus rapidement et limiter le risque de cyberattaques alimentées par l'IA, les décideurs ont tout intérêt à définir un cadre d'adoption comprenant des mesures de sécurité basées sur l'IA. Ceci permet de combattre et neutraliser les impacts négatifs potentiels ou les risques associés à l'utilisation malveillante de l'IA.

Il faut également bien comprendre que la sécurité (de et contre l'IA) est avant tout un problème de données. Plus vous collectez de données, en qualité et en quantité, au sein du système d'information, plus la télémétrie des menaces est grande et permet de prévenir, de contrer les attaques connues et inconnues. Ces données analysées, associées à l'usage de l'Intelligence Artificielle générative, du machine et du deep learning sont les meilleurs remparts pour prévenir et bloquer en temps réel les cyber menaces actuelles, et notamment celles basées sur l'IA.

Transformer l'approche de la cybersécurité

Ensuite, pour l'adoption de l'IA dédiée à la cybersécurité, les organisations ont tout intérêt à faire le ménage dans leur écosystème IT. Les entreprises doivent parfois composer avec une dette technique ou des dizaines de produits de cybersécurité différents. Cette complexité crée des silos et augmente la surface d'attaque offerte aux cyber attaquants.

L'adoption de l'IA est l'occasion unique pour les organisations de transformer leur approche de la cybersécurité. Grâce à une approche unifiée de la cybersécurité, à la combinaison de l'apprentissage automatique (Machine Learning), de l'apprentissage profond (Deep Learning) et avec l'accessibilité de l'IA générative (GenAI), la cybersécurité des organisations gagne en visibilité, elle devient proactive et surtout en temps réel. Elle va permettre aux équipes de sécurité d'automatiser la détection, la prévention et la réponse à l'attaque avec précision, rapidité et efficacité. Les usages de l'IA par les employés sont dès lors protégés, l'adoption peut s'accélérer en toute sérénité.

Enfin, l'IA ne remplace pas l'humain. Elle complète son action. Les équipes de sécurité sont débordées par leur tâches, les alertes de sécurité. L'IA va copiloter leur action, réduire leur charge de travail, améliorer leur efficacité. Ainsi elles peuvent se concentrer sur des problèmes de sécurité plus complexes et stratégiques.

En conclusion, il "n'IA" qu'un pas à faire pour surpasser l'ingéniosité et la rapidité des cyber attaquants. Le premier pas à faire est de documenter tous les risques internes et les usages liés à l'IA. Tout le monde dans une organisation doit comprendre ce qu'il peut et ne peut pas faire avec l'IA, et pourquoi. Toutes ces informations vont aider les entreprises à élaborer leur politique organisationnelle et de sécurité en matière d'IA, à sécuriser ses usages, à former les équipes, pour une adoption sereine et pérenne.