L’intelligence artificielle (IA) de pointe regroupe les modèles les plus récents, les plus performants et les plus avancés disponibles. Ces modèles possèdent des capacités accélérées, et leur performance a dépassé les attentes dans le domaine de la cybersécurité.
Les capacités des modèles de pointe continueront de se développer rapidement et dépasseront vraisemblablement les attentes de l’industrie. Plusieurs modèles plus récents ont démontré des capacités sans précédent en matière de découverte autonome de vulnérabilités, de génération d’exploits de vulnérabilités du jour zéro et d’orchestration de cyberattaques en plusieurs étapes.
Les organisations peuvent voir l’IA de pointe sous deux angles :
- un risque pour les technologies de l’information (TI) nécessitant des mesures d’atténuation robustes;
- un outil pouvant servir à atténuer les cybermenaces.
La présente publication offre aux organisations des précisions additionnelles sur l’IA de pointe, les risques connexes et des mesures d’atténuation proposées afin de renforcer leur posture de cybersécurité.
Sur cette page
L’IA de pointe expliquée
Les modèles de pointe sont de plus en plus accessibles et disponibles à grande échelle, ce qui accroît les menaces pour les organisations. Des auteurs de menace dont l’expertise technique est limitée peuvent utiliser à des fins malveillantes des modèles d’IA de pointe mis à la disposition du public. Les organisations devraient supposer que l’exploitation propulsée par l’IA est susceptible de contourner les contrôles préventifs, de devancer largement la capacité des fournisseurs de publier des correctifs et de mettre à l’épreuve la capacité des organisations de déployer ceux-ci. Par conséquent, un grand nombre d’organisations, en particulier celles du secteur des infrastructures essentielles, devront se préparer à fonctionner en situation de compromission ou de perte de connectivité.
Bien que les risques soient évidents, les responsables de la cyberdéfense ont eux aussi l’occasion de tirer avantage des outils d’IA de pointe.
Risques liés à l’IA de pointe
Les organisations de tous les secteurs devraient se tenir au courant des risques liés à l’IA de pointe. La section suivante donne des précisions sur les risques qu’il convient de prendre en considération.
Découverte automatisée de vulnérabilités
Les modèles d’IA ont la capacité d’ingérer de grandes quantités de données, y compris du code. Ils sont capables d’identifier avec une précision croissante les failles dans le code, les mécanismes de contournement possibles ou les problèmes de corruption. À mesure que ces modèles évoluent, leur capacité de lire et de manipuler le code améliore leur capacité de découvrir des vulnérabilités et de les exploiter.
Cette capacité pose un risque considérable pour la chaîne d’approvisionnement numérique, car il est possible de cerner les vulnérabilités facilement et de les exploiter rapidement. Les attaques de la chaîne d’approvisionnement propulsées par l’IA peuvent entraîner de graves répercussions, car elles peuvent être maintenues plus longtemps sur des réseaux connectés et causer des dommages plus importants.
Cyberattaques accrues
À mesure que les modèles de pointe évoluent, les méthodes et les capacités permettant de mener des cyberattaques progressent également. Ces modèles peuvent rapidement exécuter ou enchaîner des opérations. Les modèles d’IA de pointe peuvent apprendre à partir d’erreurs consignées et de résultats de tests afin d’évaluer et de relancer rapidement une attaque avec des charges utiles modifiées.
Le fait de pouvoir parcourir des sources d’information ouvertes largement utilisées et d’en extraire d’importants volumes de données leur permet également de lancer des tentatives d’hameçonnage et de harponnage personnalisées et hautement sophistiquées. Ces tentatives peuvent être exécutées rapidement et sur une longue période, contrairement aux arnaques d’hameçonnage conventionnelles de faible qualité et à usage unique.
Déséquilibre des capacités offensives et défensives
Les organisations devraient supposer que des auteurs de menace de tous les niveaux pourraient accéder à des outils d’IA dotés de capacités accrues. Les responsables de la cyberdéfense risquent d’avoir de la difficulté à suivre le rythme si ces modèles évoluent rapidement. Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) encourage les responsables de la cyberdéfense à tirer parti de ces outils et capacités d’IA pour renforcer la sécurité et la protection de leurs réseaux et systèmes.
Responsabilité et gouvernance
À mesure que les systèmes d’IA gagnent en autonomie, les organisations demeurent responsables des résultats.
Pour gérer ce risque, les organisations devraient faire ce qui suit :
- définir clairement la responsabilité des activités liées à l’IA;
- maintenir une intervention humaine pour les décisions à plus grande incidence;
- établir des limites quant à ce que les systèmes automatisés peuvent faire de manière autonome;
- mettre en œuvre une authentification forte et des contrôles d’accès pour les identités non humaines, comme les agents d’IA;
- assurer la journalisation, les essais ainsi que la capacité d’intervenir ou de désactiver les actions automatisées au besoin.
Considérations liées aux infrastructures essentielles
Les organisations du secteur des infrastructures essentielles représentent des cibles de premier plan pour les auteurs de menace. À mesure que les modèles de pointe évoluent et que les auteurs de menace améliorent leurs capacités, les propriétaires et exploitants d’infrastructures essentielles devront renforcer leur posture de cybersécurité. Cette préparation comprendra des capacités de détection, de défense et d’intervention face à des attaques plus sophistiquées et imprévisibles.
Comme l’indique le National Cyber Security Centre du Royaume-Uni (NCSC-UK) dans son blogue récent intitulé Why cyber defenders need to be ready for frontier AI(en anglais seulement), bien que les capacités de l’IA dans des attaques complexes visant des systèmes de contrôle industriels demeurent encore limitées, les modèles récents ont déjà démontré des progrès constants et, dans certains cas, mis au jour des vecteurs d’exploitation que les conceptrices et concepteurs du scénario n’avaient pas anticipées.
En réponse à l’évolution de ce paysage de menaces, les organisations d’infrastructures essentielles devraient à tout le moins :
- se préparer à isoler les systèmes pour une durée pouvant aller jusqu’à trois mois;
- élaborer et tester des plans d’intervention pour leur permettre de fonctionner de manière indépendante;
- concevoir des plans de reconstruction des systèmes pour intervenir en cas de cyberincidents graves.
Les organisations d’infrastructures essentielles doivent soutenir ces efforts en effectuant ce qui suit :
- le renforcement des systèmes;
- la surveillance des réseaux;
- l’examen et la mise à l’essai des plans d’intervention en cas d’incident et de continuité des activités en privilégiant l’isolement;
- la mise en œuvre d’autres mesures de cybersécurité de base décrites dans les Objectifs relatifs à l’état de préparation en matière de cybersécurité.
Mesures d’atténuation recommandées
Les mesures d’atténuation ci-dessous peuvent permettre à votre organisation de renforcer sa posture de cybersécurité. Il est important de noter que votre organisation continuera de bénéficier de l’adoption de bonnes pratiques de cybersécurité.
Appliquer les correctifs fréquemment
Il faut s’attendre à ce que les fournisseurs augmentent la fréquence de leurs correctifs, car ils devront accélérer l’identification et la correction des vulnérabilités. Comme l’indique le NCSC du Royaume-Uni dans sa publication Preparing for a ‘vulnerability patch wave’ (en anglais seulement), les organisations devraient s’attendre à une augmentation du volume et du rythme des mises à jour. Votre organisation devrait donc mettre à jour et corriger ses systèmes d’exploitation, ses applications, son matériel et ses micrologiciels plus fréquemment. Il est recommandé d’intégrer l’application des correctifs à des vérifications quotidiennes afin de demeurer à jour par rapport aux versions les plus récentes publiées par les fournisseurs.
Si la demande en matière de correctifs dépasse la capacité de votre organisation, il est recommandé d’accorder la priorité aux correctifs et aux mises à jour pour les systèmes et les appareils exposés à l’externe et en périphérie, car ils sont plus susceptibles d’être ciblés et exploités.
Pour suivre l’accélération du rythme de la publication de correctifs, vous devriez prévoir des périodes d’application de correctifs et d’interruptions prévues plus fréquentes. Il est recommandé de rajuster votre tolérance au risque actuel dans le contexte de la mise à l’essai des correctifs et de réduire la durée de ces mises à l’essai avant le déploiement.
En plus d’appliquer les correctifs, votre organisation devrait mettre hors service les logiciels et les appareils qui ne sont plus pris en charge par les fournisseurs.
Pour en savoir plus sur l’application de correctifs, prière de consulter la publication Les 10 mesures de sécurité des TI : No 2 – Appliquer les correctifs aux systèmes d’exploitation et aux applications (ITSM.10.096).
Réduire la surface d’attaque
Bien que l’exposition des systèmes à des réseaux externes et à Internet puisse améliorer la connectivité et les fonctionnalités, il est fortement recommandé d’identifier et d’analyser les systèmes de votre organisation qui sont ainsi exposés. La connectivité n’est pas toujours nécessaire pour assurer la fonctionnalité, et le fait de limiter le nombre de systèmes exposés peut permettre de mieux protéger votre organisation.
Si vous devez absolument maintenir les connexions actuelles de vos systèmes, votre organisation devrait segmenter les réseaux internes afin de limiter la capacité d’un auteur de menace ou d’une attaque propulsée par l’IA de se propager aux parties les plus sensibles de votre réseau.
Il convient d’adopter une approche axée sur les « joyaux de la couronne », en protégeant les actifs les plus précieux au moyen de la segmentation et de la microsegmentation. Au moment d’appliquer cette approche à la segmentation, il est recommandé de prendre les mesures suivantes :
- restreindre le trafic;
- isoler les environnements de développement des environnements de production;
- vérifier si les fournisseurs disposent d’un accès à distance et couper cet accès si c’est le cas.
Il convient également d’examiner les produits de fournisseurs et de déterminer où ces produits devraient se trouver dans le réseau et quelles solutions ont accès aux données.
Pour en savoir plus sur la segmentation de réseau, consultez la publication Les 10 meilleures mesures de sécurité des TI : No 5, Segmenter et séparer l’information (ITSM.10.092).
Mettre en œuvre l’authentification renforcée
Pour renforcer la sécurité des systèmes, il est recommandé de mettre en œuvre l’authentification multifacteur (AMF) résistante à l’hameçonnage pour tous les comptes ainsi que la vérification cryptographique des communications internes. Ces mesures permettront à votre organisation de se défendre contre des attaques par piratage psychologique propulsées par l’IA.
Surveiller l’environnement en continu
Votre organisation devrait assurer la surveillance continue de son environnement. Vous devriez déployer des systèmes de gestion de la posture de sécurité des données et de prévention de la perte de données afin de surveiller en continu vos référentiels en nuage. Cette mesure limitera le risque d’exposer involontairement des données. Votre organisation devrait passer de la détection fondée sur des signatures à une détection basée sur le comportement. Cela vous permettra de mieux détecter toute anomalie par rapport aux tendances et aux comportements habituels et d’assurer une chasse aux cybermenaces en continu.
Mettre en œuvre l’architecture à vérification systématique
L’architecture à vérification systématique repose sur le principe selon lequel aucun élément (par exemple, une application, une utilisatrice ou un utilisateur, ou un appareil) d’un système d’information n’est digne de confiance par défaut. Il faut réévaluer et vérifier la confiance chaque fois qu’un élément demande l’accès à une nouvelle ressource.
Il convient de mettre en œuvre l’architecture à vérification systématique pour toutes les identités non humaines, y compris les agents d’IA. Il est également recommandé d’inclure l’échange dynamique de jetons Oauth et des limites de privilèges des scripts.
Pour en savoir plus sur la mise en œuvre d’une architecture à vérification systématique, consultez la publication Approche à vérification systématique pour l’architecture de sécurité (ITSM.10.008).
Intégrer les capacités défensives de l’IA
Dans la mesure du possible, il est recommandé aux organisations d’intégrer des capacités défensives propres à l’IA, comme des mécanismes de renforcement défensif et des agents de centres utilisés dans les opérations de sécurité conçus pour contrer l’hameçonnage. Ces outils sont mieux adaptés à la défense contre les menaces propulsées par l’IA, car ils peuvent suivre la cadence et présenter un niveau de sophistication équivalent.
S’inscrire à des services et à des abonnements
Votre organisation devrait explorer les services et les abonnements conçus pour vous tenir au courant des nouveautés et de l’évolution des modèles d’IA de pointe et des vulnérabilités.
Le Centre pour la cybersécurité offre aux organisations la possibilité de s’abonner à un service d’avertissement rapide appelé Système national de notification de cybermenace. Ce système fournit des notifications opportunes sur les cybermenaces potentielles qui pèsent sur les systèmes, y compris des vulnérabilités techniques, la compromission de systèmes et des infections par maliciel.
Pour en savoir plus
- Les 10 mesures de sécurité en matière d'intelligence artificielle : Introduction (ITSAP.10.049)
- Bulletin conjoint sur les principes d'intégration sécurisée de l'intelligence artificielle dans la technologie opérationnelle
- Bulletin conjoint sur l’adoption prudente des services d’intelligence artificielle agentive
- Why cyber defenders need to be ready for frontier AI (en anglais seulement)
- Frontier models and their impact on cyber security (en anglais seulement)
- G7 Software bill of material for AI (PDF) (en anglais seulement)
- Empowering Defenders: AI for Cybersecurity (en anglais seulement)