Comment protéger la main-d’œuvre de la cybersécurité avec l’IA
L’automatisation n’est pas nouvelle. Depuis la révolution industrielle, des emplois ont été transformés, créés et supprimés à cause d’elle. Désormais, l’automatisation sous forme d’intelligence artificielle arrive dans le secteur de la technologie, et plus particulièrement dans la cybersécurité.
L’enthousiasme suscité par l’IA dans la cybersécurité était pleinement visible lors du rassemblement annuel des professionnels de l’infosec à San Francisco, connu sous le nom de conférence RSA. Lors de l’événement de cette année, plusieurs discours d’ouverture se sont concentrés sur le potentiel de l’IA pour chasser efficacement les risques numériques et automatiser les protocoles de réponse aux menaces. L’IA promet également d’atténuer le stress associé à de nombreux emplois en cybersécurité, tels que les premiers intervenants. Mais tout comme il y a du potentiel, il y a des inconvénients. Alors que les outils d’IA commencent inévitablement à évoluer et à résoudre des problèmes de cybersécurité plus complexes, l’impact sur la main-d’œuvre est gênant et dangereux.
Nous ne pouvons pas laisser le potentiel de l’IA éclipser la valeur des professionnels de la cybersécurité humaine. Alors que l’IA excelle dans les tâches de reconnaissance de formes telles que la détection des attaques de logiciels malveillants, les machines ne peuvent pas prendre en compte le contexte expliquant pourquoi une attaque peut se produire. L’IA peut être incroyable pour automatiser certains aspects du raisonnement, mais les algorithmes ne peuvent pas remplacer les gens lorsqu’il s’agit de la créativité nécessaire pour trouver des solutions uniques. Les chatbots ne peuvent pas reproduire toutes les compétences humaines essentielles à la cybersécurité. Ainsi, sans une approche mesurée – et prudente – de l’IA, notre secteur risque de se diriger vers l’insécurité.
Bien qu’il soit rassurant de voir une conversation croissante sur les dangers potentiels de l’IA et les efforts pour mettre en place des garde-corps de bon sens pour réguler son déploiement, comme la réunion du président Biden cette semaine avec les critiques de Big Tech à San Francisco, il n’y a toujours pas assez d’attention sur l’impact potentiellement dévastateur que les outils d’IA pourraient avoir sur la main-d’œuvre américaine.
Goldman Sachs estime qu’aux États-Unis et en Europe, environ un quart des travaux actuels peuvent être remplacés par l’IA générative. Il est peu probable que des fonctions entières soient éliminées, mais moins de personnes seront nécessaires pour maintenir un niveau de travail de base. De plus, certaines recherches postulent que les emplois hautement qualifiés pourraient être davantage touchés parce que les capacités prédictives de l’IA imitent les compétences d’analyse et d’optimisation essentielles à de nombreux emplois plus qualifiés. Dans le cadre de la cybersécurité, ceux-ci peuvent inclure des individus dans un certain nombre de fonctions telles que les analystes SOC pour agréger efficacement les données d’activités suspectes, ou les équipes rouges qui codent et testent les vulnérabilités.
Ce qui mérite plus d’attention au-delà du nombre d’emplois, ce sont les impacts économiques sur la main-d’œuvre en cybersécurité. Les données empiriques examinant les changements salariaux et l’automatisation entre 1980 et 2016 suggèrent qu’environ 50 % des changements salariaux sont dus au déplacement des tâches et exacerbent en fait les inégalités salariales. L’étude n’est pas spécifique à un secteur, mais si les principales entreprises de cybersécurité vantent le potentiel de l’IA pour effectuer efficacement des tâches telles que les protocoles automatisés de détection des menaces, la cybersécurité ne sera pas à l’abri de ces changements.
Nous devons également tenir compte des impacts sur la diversité. Des efforts louables ont été déployés ces dernières années pour réduire les obstacles à l’entrée dans la cybersécurité, notamment des programmes de bourses qui réduisent le coût d’entrée dans le domaine, et des associations professionnelles telles que Black Girls Hack ou Women in Cybersecurity qui contribuent à favoriser l’appartenance et la rétention dans le secteur. . La stratégie nationale de cybersécurité souligne en outre à quel point la diversité est essentielle pour la main-d’œuvre dans la cybersécurité à long terme. Mais nous sommes à un carrefour critique car les licenciements dans tous les secteurs, en particulier dans la technologie, réduisent les efforts de diversité, d’équité et d’inclusion. Si l’histoire suggère que le déplacement d’emplois par l’automatisation est à l’horizon, l’IA peut encore ralentir nos progrès durement gagnés.
Il est impératif que les investisseurs et les défenseurs de la main-d’œuvre cybernétique tiennent compte des ramifications potentielles de l’IA, y compris sur ses membres les moins représentés. Heureusement, les États-Unis disposent d’un écosystème croissant de programmes de développement de la main-d’œuvre cybernétique conçus pour faire entrer les individus dans le secteur de la cybersécurité afin que nous puissions recadrer les priorités de la main-d’œuvre plutôt que d’inventer une nouvelle roue.
Mais il reste encore beaucoup à faire pour rendre les travailleurs de la cybersécurité à l’épreuve de l’IA. Pour commencer, bon nombre des nouveaux efforts de cyberéducation peuvent se concentrer sur des compétences non techniques qui ne peuvent pas être automatisées. L’IA générative peut automatiser de nombreuses tâches, mais des compétences telles que la créativité, l’intelligence émotionnelle et l’intuition sont difficiles à remplacer. Qu’il s’agisse de concevoir des programmes de formation ou des pratiques d’embauche, mettez l’accent sur ces compétences pour vous assurer que votre personnel de cybersécurité peut résoudre des problèmes difficiles, mais aussi avoir les capacités de compléter les défis et les potentiels de l’IA.
Plusieurs grandes entreprises technologiques ont des pistes de développement professionnel qui améliorent les compétences de leur personnel et d’autres associations offrent une formation et des certifications supplémentaires à un prix élevé, mais il existe des opportunités pour d’autres organisations à but non lucratif d’étendre leur programmation pour inclure l’IA. Les organisations à but non lucratif qui ont d’excellents antécédents en matière de formation technique ont la possibilité d’intervenir et de créer des voies équitables pour que les travailleurs de la cybersécurité puissent poursuivre leur carrière technique, et il y a de la place pour que les philanthropies et les entreprises investissent dans le développement de ces programmes.
Nous devons également repenser ce que signifie avoir une « carrière en cybersécurité ». La cybersécurité va au-delà de la correction des vulnérabilités et de la détection des menaces. Les analystes politiques contextualisent désormais les séries de cyberattaques dans un conflit géopolitique plus large. Les développeurs contribuent leurs expériences vécues à la conception de solutions technologiques aux défis pressants de la société. Tout en élargissant notre définition d’un expert en cybersécurité, nous devons nous assurer que ces professionnels communiquent. Des programmes tels que la bourse #ShareTheMicInCyber ou TechCongress visent à combler le fossé entre les experts techniques en cybersécurité et la technologie pour éclairer une meilleure élaboration des politiques.
Il ne fait aucun doute que l’IA générative aura un impact transformateur. Nous avons la possibilité de préparer la cyber main-d’œuvre à un avenir tout aussi prometteur, et nous devons commencer maintenant.
Bridget Chan est responsable de programme chez New America pour la bourse #ShareTheMicInCyber, un programme faisant progresser DEI dans la cybersécurité.