Cet article fait partie de notre guide: La cybersécurité à l’heure de l’IA générative

Cyber et GenAI : des liaisons dangereuses ?

L’IA générative, dont on découvre les capacités en même temps que les (dys)fonctionnements, alimente quantité de fantasmes sur ses dérives supposées… ou réelles. Dans ce contexte, parler de l’utilisation de la GenAI en cyber demande une certaine réserve.

Une étude sur l’« état de l’art de l’IA en cybersécurité » (en anglais « State of AI in Cybersecurity Survey ») – menée par la firme américaine Crowdstrike en collaboration avec l’institut de recherche ViB auprès de 1 022 professionnels de la cybersécurité et de l’IT au cours de l’année 2024 – éclaire sur le manière dont ils appréhendent l’impact de l’IA générative sur la cybersécurité. 

Les répondants sont majoritairement situés en Amérique du Nord (77 %), l’Asie/Pacifique (11 %), et la zone Europe/Proche-Moyen-Orient (EMEA selon la terminologie nord-américaine) pour 9 %.

La GenAI : « un outil et une aide »

Dans le contexte de l’étude, la GenAI (ou IA générative en français, ou IAGen) en cybersécurité se définit par l’ensemble des systèmes d’intelligence artificielle pouvant générer par eux-mêmes des scenarii d’analyse de menaces ou d’attaques, comme des modèles de détection de menaces, des réponses automatiques aux incidents, et des simulations d’e-mail de phishing. 

Ces systèmes utilisent pour cela des bases de données à grande échelle, à partir desquelles ils construisent des modèles sur qui seront fondées leurs capacités d’analyse.

« On utilise [l’IA] depuis que l’on parle de réseaux neuronaux dotés de capacités d’apprentissage, de machine learning, de deep learning ou d’analyse comportementale, mais la dimension “générative” induit une composante supplémentaire. »
Benoît GrünemwaldDirecteur des affaires publiques, Eset

Ce n’est « que » cela, mais c’est bien cela dont on parle : la capacité d’une IA générative à identifier et qualifier des attaques et menaces, à partir de modèles suffisamment élaborés pour qualifier des comportements, et d’en déduire (et proposer) des scénarii de réponses possibles.

 « Il s’agit donc, et avant tout, d’un outil et d’une aide », précise d’emblée Benoît Grünemwald, directeur des affaires publiques d’Eset. « En fait », souligne-t-il, « l’IA dans la cyber ne date pas d’hier : on l’utilise depuis que l’on parle de réseaux neuronaux dotés de capacités d’apprentissage, de machine learning, de deep learning ou d’analyse comportementale, mais la dimension “générative” induit une composante supplémentaire ». On ne demande donc plus seulement à l’IA de piocher dans des bases de données pour qualifier une attaque et la caractériser, mais aussi d’être capable de l’analyser et éventuellement de fournir des trames de réponses possibles. 

63 % prêts pour la GenAI ?

Une analyse confortée par le fait que, dans l’étude mentionnée, 74 % des répondants ont connu une attaque ou s’attendent à être vulnérables à une attaque dans les 12-18 mois qui viennent. Conséquence directe, les répondants s’intéressent de près à une solution déjà éprouvée et pérenne en IA : 64 % recherchent à l’heure actuelle un outil d’IA et 7 répondants sur 10 prévoient d’en faire l’acquisition dans les 12 mois qui viennent. 

À 80 %, ils préfèrent une solution IA commercialisée par une plateforme et 63 % sont prêts à aller vers un offreur de solution cyber qui propose une couche IA dans son offre. 

Ces chiffres n’engagent que ceux qui les donnent : le domaine est encore relativement émergent et les réponses ne peuvent être considérées que comme (très) indicatives, et absolument pas comme une vérité du marché.

Les attentes des répondants reflètent cette tendance et ces précautions d’usage : il s’agit bien d’une « aide » aux différentes composantes de l’analyse de menaces cyber. 

« Détecter, répondre, prévenir », précise Benoît Grünemwald. L’IA est bien utilisée dans ces domaines de compétences que précise l’étude : analyse et renseignement sur les menaces, assistance à l’analyse et l’investigation, réponses sur les fonctionnalités du produit, assistance à l’écriture de scripts de réponses, assistance à la correction de vulnérabilités existantes.

Les raisons pour lesquelles le domaine cyber fait appel à l’IA sont aussi bien identifiées et somme toute classiques : l’optimisation des coûts via l’utilisation d’une plateforme pour rendre les outils d’analyse plus efficaces arrive en tête avec 31 % des réponses. 

En outre, 30 % des répondants veulent réduire le nombre des incidents de sécurité, et 26 % passer moins de temps sur les outils de sécurité. L’argument de cycles de travail plus courts avec des coûts associés (donc réduits) n’est mentionné que par 13 % des répondants. 

Parfois, l’IA « hallucine »…

Pour autant, il ne faut pas se cacher que la dimension IA ajoute en elle-même des incertitudes, voire des dangers supplémentaires. 

D’une part, les pirates eux-mêmes savent utiliser l’IA pour affiner leurs attaques. Elle devient alors un outil redoutable : on peut maintenant aisément contrefaire une voix ou une image et développer un scénario très pointu pour élaborer une opération d’ingénierie sociale

Surtout, le fonctionnement de l’IA génératrice est lui-même générateur de risques supplémentaires, liés aux modèles linguistiques sous-jacents utilisés, incapables, à l’heure actuelle, de se corriger spontanément en cas d’erreur. 

Ce qui aboutit à ce que les spécialistes appellent poétiquement une « hallucination » de l’IA : en d’autres termes, le fait que l’IA soit capable de produire, malgré une recherche documentaire élaborée, une analyse cohérente et une syntaxe correcte et fluide, une aberration. Inacceptable dans le cadre de l’analyse d’une menace ou d’un incident de cybersécurité, et encore moins pour la recommandation d’actions de remédiation.

Pour approfondir sur IA appliquée à la cybersécurité