Les chefs de la cybersécurité gèrent les risques liés à l’IA et les récompenses potentielles
Les chefs de la sécurité affirment que les avantages de l’intelligence artificielle sont clairs, mais que les promesses et les risques d’une IA générative précoce sont exagérés.
Les chefs de la sécurité affirment que les avantages de l’intelligence artificielle sont clairs, mais que les promesses et les risques d’une IA générative précoce sont exagérés.
Les plates-formes d’IA génératives telles que OpenAIs ChatGPT ont attiré l’attention pour leur capacité à répondre à des questions conversationnelles, à rédiger des essais et à effectuer d’autres tâches de manière humaine.
Salut! Vous lisez un article premium
Les plates-formes d’IA génératives telles que OpenAIs ChatGPT ont attiré l’attention pour leur capacité à répondre à des questions conversationnelles, à rédiger des essais et à effectuer d’autres tâches de manière humaine.
Les fournisseurs de sécurité vantent les avantages de la technologie, affirmant qu’elle peut augmenter les analystes humains en analysant et en distillant des données provenant de sources extrêmement différentes dans un rapport digeste. Google a lancé en avril un produit d’IA générative axé sur la sécurité, rejoignant des fournisseurs de cybertechnologies tels que SecurityScorecard et ZeroFox.
Certains responsables de la sécurité de l’information voient le potentiel de la technologie mais ne sont pas convaincus que dans sa forme actuelle, elle fasse quelque chose de nouveau. La technologie d’apprentissage automatique est en place depuis des années dans des domaines tels que les unités de surveillance du marché des bourses, exécutant des fonctions d’analyse de données similaires, et dans les équipes de cybersécurité de grandes entreprises telles que le détaillant Walmart.
À l’heure actuelle, nous examinons essentiellement chaque résultat et essayons de comprendre si nous pouvons faire confiance non seulement au travail qui a abouti au résultat, en termes de sources à partir desquelles il a été formé, mais aussi au résultat lui-même », a déclaré Justin Shattuck, CISO chez l’assureur Resilience. Les systèmes d’IA générative sont connus pour donner des résultats inexacts ou trompeurs, parfois à partir d’invites trop vagues, mais aussi de sources de données médiocres. Les limites de la technologie signifient qu’elle peut rencontrer des problèmes sur des requêtes relativement simples, telles que solutions à des problèmes mathématiques exprimés de manière conversationnelle.
Shattuck a déclaré que son équipe avait expérimenté l’IA générative pour analyser les informations de sécurité générées par ses systèmes. L’IA peut identifier les points de données d’intérêt qui peuvent être manqués par les analystes humains lisant des tonnes d’alertes.
Nous avons constaté que nous pouvions lui faire confiance pour ce type de charge de travail », a-t-il déclaré.
Les responsables gouvernementaux affirment qu’ils évaluent toujours l’impact que les variantes d’IA telles que les applications génératives pourraient avoir à l’avenir avant de publier des recommandations. John Katko, ancien membre du Congrès du 24e district de New York et membre éminent du House Homeland Security Committee jusqu’au début de cette année, a déclaré que le véritable potentiel de la technologie n’a pas encore été réalisé, compte tenu de la vitesse de développement.
Où en sera l’IA dans six mois, et comment cela va-t-il changer les choses ? Regardez à quel point cela a changé au cours des trois derniers mois », a-t-il déclaré, faisant référence à son adoption généralisée par les fournisseurs de logiciels.
Pour Lucia Milic Stacy, CISO résidente mondiale de la société de cybersécurité Proofpoint, la rapidité du développement et la fascination du public pour la technologie ont conduit à une vague de déploiements d’IA générative par les fournisseurs de technologie. Parfois, cela découle d’un impératif commercial, mais aussi de la crainte que s’ils ne l’utilisent pas, les pirates le feront, a-t-elle déclaré.
Notre travail en tant que responsables de la sécurité est de gérer ce risque, et chaque fois qu’il y a une nouvelle technologie, il y a une nouvelle opportunité pour cet acteur menaçant d’en tirer parti pour pénétrer dans mon environnement », a déclaré Milic Stacy.
Il ne fait aucun doute que l’IA générative est une aubaine pour les attaquants par hameçonnage, qui pourraient autrement être piégés par des e-mails frauduleux mal rédigés. ChatGPT peut écrire une copie grammaticalement correcte pour eux. La société de cybersécurité Darktrace a déclaré dans un rapport d’avril qu’elle avait observé une augmentation de 135% des spams aux clients entre janvier et février avec une grammaire et une syntaxe en anglais nettement améliorées. La société a suggéré que ce changement était dû au fait que des pirates informatiques utilisaient des applications d’IA génératives pour élaborer leurs campagnes.
Des entreprises telles que les géants de l’électronique Samsung Electronics et Apple, le prêteur JPMorgan Chase et la société de télécommunications Verizon Communications ont interdit ou restreint l’utilisation de ChatGPT et de programmes similaires par leurs employés. Les mesures ont été introduites par crainte que les employés ne collent des informations sensibles dans ces outils, qui pourraient ensuite fuir ou renvoyer des secrets commerciaux au modèle d’IA pour y être formés.
Les préoccupations devraient être gérables grâce aux procédures de protection des données existantes et à quelques nouveaux contrôles, a déclaré Supro Ghose, CISO chez Eagle Bancorp, une banque régionale en Virginie, Washington, DC et Maryland. La nouvelle génération d’outils d’IA n’entraîne pas nécessairement des risques qu’une bonne formation des employés et une classification des données ne peuvent contrer, a-t-il déclaré.
Les équipes de cybersécurité doivent analyser les réseaux de l’entreprise pour trouver où les employés utilisent ChatGPT et d’autres utilitaires d’IA gratuits, a déclaré Ghose. La sensibilisation est la première chose que vous devriez avoir », a-t-il déclaré. Les fournisseurs de détection et de réponse réseau, y compris ExtraHop Networks, ajoutent de telles fonctionnalités de visibilité à leurs outils.
Les entreprises devront à la fois former les employés à ne pas utiliser d’informations sensibles ou exclusives avec des outils d’IA génératifs et installer des filtres et des contrôles numériques pour empêcher les outils de prendre ces données, a-t-il déclaré. La réalité est que le risque est très, très similaire à l’envoi d’un e-mail », a-t-il déclaré.
Kim S. Nash a contribué à cet article.
Écrivez à James Rundle à james.rundle@wsj.com