Risques IA et cybersécurité : les RSSI britanniques attendent de voir

Alors que l’utilisation de l’intelligence artificielle (IA) par les acteurs de la menace se limite essentiellement à la création de leurres d’ingénierie sociale et de phishing plus efficaces, et que les attaques de ransomware orchestrées par l’IA sont encore loin d’être une réalité – si elles se produisent un jour – 63 % des responsables britanniques de la sécurité des informations (CISO) estiment que, bien que la menace potentielle des cyberattaques par l’IA soit élevée ou critique, et que 62 % reconnaissent qu’ils ne sont pas équipés pour y faire face, les plus grandes menaces pour leurs organisations restent les ransomwares, les attaques de la chaîne logistique et les vulnérabilités logicielles.

C’est ce qui ressort d’une enquête menée auprès des membres du ClubCISO, qui met en avant le fait que 40 % des responsables de la sécurité ne veulent pas modifier leurs priorités en matière de dépenses, et que 77 % n’ont pas encore modifié leurs plans de dépenses pour simplement tenir compte de l’IA.

« Notre enquête auprès des membres montre que, contrairement à certains rapports sur l’IA, les RSSI adoptent une approche mesurée et attentiste avant de prendre des décisions d’investissement importantes », commente Rob Robinson, responsable de Telstra Purple EMEA, qui gère la communauté ClubCISO.

« Bien que l’IA ait le potentiel d’améliorer une série de tactiques d’attaque, comme la création d’attaques d’ingénierie sociale plus convaincantes, les RSSI sont clairement plus préoccupés par les menaces telles qu’elles se présentent aujourd’hui. »

Selon Robinson, cela peut refléter l’évolution du rôle du RSSI au cours des dernières années pour devenir davantage un « chef d’orchestre stratégique » par opposition aux experts techniques. Ils sont désormais plus en mesure d’équilibrer leur réaction face aux nouvelles menaces et de tenir compte de facteurs tels que la macroéconomie, le risque et les compétences. 

Concernant l’IA, pour ceux qui ont choisi de s’en préoccuper dès à présent, ils ont surtout pris des mesures de précaution contre les cyberattaques qui s’appuieraient sur la GenAI. Il s’agit essentiellement d’intégrer les IA à des formations renforcées en matière de cybersécurité – apprenant aux équipes de sécurité à reconnaître les signes des cyberattaques basées sur l’IA et à se défendre contre elles, ou à tirer parti de leurs capacités défensives. Moins nombreuses sont celles qui investissent réellement dans des solutions technologiques en réponse aux problèmes spécifiques qui pourraient survenir.

Les résultats de l’enquête suggèrent également que la lutte contre les futures cyberattaques basées sur l’IA ne nécessitera peut-être pas un changement radical des priorités ni une amélioration spectaculaire des compétences, ce qui contraste avec l’opinion d’autres observateurs. Le ClubCISO explique ainsi que ses membres « maintiennent le cap » sur leurs plans de résilience, et la croissance de l’IA en tant que vecteur de menace peut encore être gérée en optimisant les capacités et les processus existants.

En effet, bien que l’on parle souvent d’un déficit de compétences en matière d’IA comme de cybersécurité en général, seuls 6 % des responsables de la sécurité recrutent davantage de personnel ayant les compétences nécessaires pour reconnaître et gérer les cyberattaques liées à l’IA, et ils sont à peine plus nombreux (7 %) à recruter du personnel ayant les compétences nécessaires pour déployer l’IA de manière défensive.

En France, une brève histoire des relations IA et cybersécurité montre que, si les RSSI se sont montrés également circonspects au départ, l’IA est peu à peu en train d’infuser les stratégies.