L'adoption de l'IA révèle de nouvelles menaces en matière de cybersécurité

Un expert en cybersécurité a révélé que l'IA représente une menace sérieuse pour la sécurité des entreprises qui l'utilisent comme service, non seulement à travers des attaques menées par des criminels, mais aussi de manière légitime.

vulnérabilités cybernétiques de l'IA

Si la menace que représentent les acteurs malveillants utilisant l'IA pour mener des attaques a été largement débattue, Peter Garraghan, PDG et directeur technique de Midgard, une entreprise spécialisée dans la cybersécurité pour l'IA, déclare : « Le problème auquel je fais référence est une menace de cybersécurité pour l'IA, et c'est précisément ce dont il est question. »

Sans surprise, l'utilisation la plus courante, et donc la plus risquée, de l'IA par les entreprises concerne les chatbots de service client, dont le ton et les données sont généralement personnalisés pour les organisations qu'ils représentent. C'est dans ce contexte que le Dr Garraghan, professeur d'informatique à l'université de Lancaster, spécialisé dans la sécurité et les systèmes d'IA, a décidé de fonder Mindgard en 2022. « L'IA n'est pas magique », explique-t-il. Il s'agit simplement d'une combinaison de code, de données et de matériel supplémentaires. Face aux cybermenaces actuelles, toutes ces menaces peuvent également se manifester au sein de l'IA.

Prenons un exemple : supposons qu’un attaquant utilise une technique appelée injection SQL. Il peut ainsi exploiter les vulnérabilités des formulaires web, comme les formulaires de connexion ou de contact. L’ingestion de prompteur, ou injection de prompt, est une autre méthode d’utilisation courante dans les applications publiques. Avant tout, si la sécurité n’est pas correctement assurée, les outils d’IA peuvent être facilement manipulés pour divulguer leur code source, leurs instructions, la propriété intellectuelle de l’entreprise ou les données clients. Ensuite, comme tout logiciel, ces outils peuvent être rétro-ingénierés afin d’dentleurs failles.

Sécurisation des systèmes d'IA

Garraghan souligne la gravité du problème : dans un avenir proche, d’ici quelques années, la sécurité nationale pourrait être en jeu, et les populations marginalisées pourraient être menacées. Ces nouvelles informations sonnent comme un avertissement : les entreprises doivent se méfier des données divulguées.

Garraghan affirme : « De plus, l’IA peut servir d’outil de cyberattaque et permettre la fuite de données ; le modèle sera capable de fournir les données que vous avez si gentiment demandées. » En janvier, la plateforme de médias sociaux d’extrême droite Gab a donné un exemple : elle a recherché des tutoriels qui ontdentbasée sur GPT, OpenAI, a également vu ses modèles utilisés à mauvais escient.

Garraghan affirme que des informations peuvent être obtenues via des attaques VoIP non autorisées. De plus, l'IA peut être rétro-ingénierée et le système peut être contourné ou trompé afin d'obtenir un accès ouvert à d'autres systèmes. Ainsi, les fuites d'informations pourraient constituer un problème majeur pour tous les secteurs d'activité, y compris ceux exposés à des menaces externes ou internes. Il énumère également d'autres risques, tels que la manipulation de modèles, où le modèle est mal orienté ou délibérément contourné par la fabrication de données falsifiées.

Garraghan a souligné que l'insertion de commandes malveillantes ou la corruption de données par des solutions mal conçues dans tracaudio constituent une autre menace. Il note également que l'impact cybernétique général se traduit par une atteinte à la réputation, fréquemment subie après une cyberattaque. De même, les secteurs les plus exposés aux conséquences négatives de ce type de cyberattaque sont ceux où les enjeux sont les plus importants. Pour de nombreuses industries et institutions opérant en ligne, la sécurité publique et la protection des informationsdent, par exemple, sont des valeurs essentielles que les secteurs de la finance et de la santé doivent privilégier.

Garraghan affirme : Le lien est le suivant : plus votre secteur est structuré et contrôlant, et plus vous êtes exposé aux risques liés à l’IA (et l’expérience le confirme : moins vous utilisez l’IA, moins vous l’adoptez), plus votre IA est mauvaise. Peut-être ne sont-ils pas plus paresseux. Par exemple, ils traversent peut-être simplement une période très difficile de leur vie.

Mesures de sécurité proactives en matière d'IA

L'IA permettra de gérer ces risques au sein de chaque entreprise, même si, selon lui, elle nécessitera plusieurs niveaux de sécurité (car l'IA en entreprise en a déjà besoin) pour la protection des utilisateurs. « Il existe déjà des outils de cybersécurité spécialisés dans différents secteurs », explique Garraghan. « Ce sont des outils de gestion de la posture de sécurité, des outils de détection et de réponse, des pare-feu et des solutions pour la conception en amont, comme l'analyse du code. Bientôt, l'IA à la transformation numérique. » Ce genre se concentre exclusivement sur l'IA et l'apprentissage automatique, tandis que les systèmes comme les réseaux neuronaux ne sont mentionnés que ponctuellement.

Vous aurez besoin d'un scanner d'applications pour réseaux neuronaux, d'un système de réponse pour tous types de réseaux neuronaux, de tests de sécurité et d'une équipe rouge pour un meilleur contrôle entre les applications. Il est plus facile de corriger les problèmes en amont plutôt que de gérer les incidents en cours d'exécution. Toutefois, la meilleure pratique que nous recommandons aux organisations utilisant des modèles d'IA ou des applications et services d'IA consiste à résoudre tous les problèmes des modèles avant leur mise en production. Ainsi, une fois en production, seuls les problèmes nécessitant une correction pourront êtredent.