Géopolitique et intelligence artificielle générative : une tempête de cybersécurité se prépare-t-elle?

Entre l’essor de l’intelligence artificielle et les tensions géopolitiques, une tempête de cybersécurité est-elle en train de se préparer? Plus les chefs d’entreprise comprendront les forces qui régissent un environnement cybernétique de plus en plus sophistiqué, mieux ils pourront protéger leur entreprise. Ce ne sont là que quelques-uns des sujets abordés pendant la séance « Weathering the Looming Cyber Storm » (faire face à la cybertempête imminente) à laquelle j’ai pris part à l’occasion de la 18e conférence Toronto Global Forum dans le cadre du Forum économique international des Amériques (FEIA).

Le groupe d’experts qui a abordé les questions urgentes en matière de cybersécurité auxquelles sont confrontés les entreprises et les gouvernements comprenait :  

• Mark Fernandes, chef mondial de la sécurité de l’information à CAE 

• Gillian Kerr, associée, Litiges, McCarthy Tétrault 

• April Fong, rédactrice en chef à The Logic (modératrice)

Un risque croissant à prendre en compte

Le plus grand risque provient des États-nations, où des groupes militaires et des organismes de renseignement travaillent aux côtés de cybercriminels pour déployer des logiciels malveillants afin de réaliser des gains politiques et financiers. Les ports, les installations d’approvisionnement en eau, les sociétés énergétiques et même les fournisseurs de services Internet pourraient être menacés.

La cybersécurité est appelée à devenir un outil géopolitique à part entière. En cas de guerre, les adversaires pourraient utiliser la cybernétique pour influer sur un conflit. De fait, nous avons déjà entendu des rumeurs selon lesquelles des nations auraient mis hors service des sites de gouvernements et même des installations nucléaires.

L’impact imminent de l’intelligence artificielle

L’intelligence artificielle générative, un type d’intelligence artificielle qui crée du nouveau contenu en apprenant à partir de modèles de données existants, va compliquer le secteur de la cybersécurité et la façon dont les entreprises se protègent. Mark Fernandes, de CAE, souligne que l’une des principales menaces est que les employés introduisent des renseignements de l’entreprise dans des programmes d’intelligence artificielle externes et que des acteurs malveillants parviennent à utiliser ces données à des fins répréhensibles. Même avec les versions d’entreprise de ces solutions, quelqu’un peut, assez facilement, accéder accidentellement à la version publique, a-t-il dit. L’entreprise CAE a lancé une initiative de formation pour s’assurer que ses employés utilisent correctement l’intelligence artificielle générative. D’ici là, elle restreint l’utilisation externe des sites d’intelligence artificielle.

Toutefois, une menace plus importante se profile, ce que M. Fernandes appelle l’« armement par l’intelligence artificielle ». Il s’agit de cas où des acteurs malveillants utilisent l’intelligence artificielle générative pour imiter des personnes réelles, par exemple en créant de fausses vidéos ou en reproduisant la voix de personnes. Bien que de tels cas se produisent aujourd’hui, ce n’est pas encore très répandu, a-t-il dit. Mais cette situation pourrait changer au cours des prochaines années, à mesure que cette technologie évoluera.

À l’heure actuelle, les auteurs de menaces préfèrent emprunter la voie de la moindre résistance pour commettre leurs crimes, et l’intelligence artificielle est encore trop compliquée pour eux. Mais cela devrait changer.

À cette fin, nous constatons que l’intelligence artificielle peut être un outil efficace pour prévenir la fraude. Par exemple, dans une situation donnée, une personne a appelé notre centre d’appels en disant qu’elle était une nouvelle cliente et que le guichet automatique qu’elle voulait utiliser ne fonctionnait pas. Un modèle d’intelligence artificielle que nous avons créé génère une cote de risque relative aux appels entre 0 et 100, où 100 correspond à une fraude. Dans ce cas-ci, comme le modèle soupçonnait une fraude, nous avons demandé à cette personne de se rendre à la succursale la plus proche. Peu de temps après, le modèle d’intelligence artificielle a détecté la voix du même appelant, mais cette fois-ci en prétendant que ses chèques étaient bloqués. Sans l’intelligence artificielle, nous n’aurions peut-être pas arrêté cette personne.

Se préparer à une attaque potentielle  

Le moment est venu de préparer votre entreprise à une possible attaque. Comme on le dit dans le monde de la cybersécurité, la question n’est pas de savoir si une attaque se produira, mais plutôt quand elle se produira. Gillian Kerr, de l’équipe Litiges de McCarthy Tétrault, a fait remarquer qu’on fait souvent appel à ses services lorsqu’un problème survient. Elle conseille plutôt aux entreprises de s’adresser à des avocats dès l’élaboration d’un plan de sécurité. Elle a également suggéré que les entreprises déterminent les fournisseurs internes et externes dont elles pourraient avoir besoin pour faire face à un problème de cybersécurité, y compris les relations publiques, certains experts techniques et d’autres spécialistes. Les incidents peuvent se produire rapidement et faire beaucoup de dégâts, a-t-elle dit, par conséquent, il convient d’établir dès à présent des contrats avec des professionnels.

De mon point de vue, beaucoup d’entreprises se concentrent sur l’élaboration de stratégies sur la façon de traiter une brèche de sécurité selon son aspect technique. Cet aspect est en effet important, et une équipe d’élite peut vous aider à élaborer de telles stratégies. Néanmoins, d’après les nombreux incidents que j’ai observés, l’un des plus grands risques liés à une violation est celui de l’atteinte à la réputation, c’est-à-dire ce qui arriverait à votre entreprise aujourd’hui si elle était attaquée et ce qu’un piratage signifierait pour votre entreprise dans un mois ou même dans un an. Quel est le risque de contrepartie pour votre entreprise? Comment les employés pourraient-ils réagir à une brèche de sécurité?

D’ailleurs, la communication est essentielle, et j’ai constaté que c’est la partie la plus difficile. Les dirigeants doivent avoir un plan de communication à l’intention de leurs employés au sujet d’une brèche et de la façon dont elle s’est produite. De nombreux employés pourraient se demander s’ils ont toujours un emploi ou s’ils devraient se rendre au travail le lendemain. Et s’ils n’ont plus d’accès à distance? Je dis également aux chefs de direction de se préparer à appeler leurs dix principaux clients à la suite d’une brèche. Il faut aussi réfléchir à l’avance à la manière dont vous allez communiquer avec les autorités et les médias. Il faut prévoir tout cela avant qu’un incident ne se produise. Il faut y penser à l’avance et s’exercer à y répondre.