J’anime la plus grande conférence au monde sur la cybersécurité. Voici ce qui préoccupe actuellement les experts en sécurité
Vous ne le savez peut-être pas, mais le monde de la cybersécurité est sur le point de vivre son Super Bowl. Plus de 40 000 personnes de plus de 130 pays se rendront à San Francisco la semaine du 6 mai pour la 33e conférence annuelle de la RSA sur la cybersécurité. Ce sera ma 16e année en tant que président de la Conférence RSA, et il y a une intensité et une urgence avant l’événement de cette année que je n’ai jamais vu auparavant. Pour comprendre pourquoi, mon équipe a analysé les milliers de propositions d’intervenants provenant des défenseurs mondiaux du cyberespace. Trois thèmes se sont démarqués : l’intelligence artificielle, la manipulation de l’information et l’épuisement professionnel.
Les nouvelles technologies d’IA comportent de nouveaux risques
Alors que l’empreinte de l’IA s’étend dans les entreprises et la société (près d’un conférencier sur cinq y a consacré cette année), chaque industrie essaie de comprendre comment exploiter la puissance des systèmes basés sur l’IA. Parallèlement, les professionnels de la sécurité découvrent de nouveaux risques. L’un de ces risques est que ces systèmes puissent divulguer les données de l’entreprise et des utilisateurs. Une autre préoccupation est la précision. Les systèmes basés sur un grand modèle de langage (LLM) sont probabilistes, ce qui signifie que vous pouvez poser la même question plusieurs fois et obtenir des réponses légèrement ou significativement différentes à chaque fois. Cela peut être acceptable pour générer une histoire courte, mais que se passe-t-il si votre nouveau chatbot de service client basé sur l’IA fournit occasionnellement des informations extrêmement inexactes ou fictives aux clients ?
En matière de cybersécurité, nous essayons de gérer les risques avec contrôles compensatoires: technologies et processus pour limiter ou atténuer ces risques. Le défi est que bon nombre de ces technologies d’IA sont nouvelles et que les contrôles compensatoires appropriés pour gérer les risques émergents viennent tout juste d’être mis en place. De plus, la réglementation de l’IA suscite des inquiétudes. Plusieurs pays ont récemment publié des orientations ou émis des réglementations en matière d’IA, notamment la loi de l’Union européenne sur l’IA et le décret de la Maison Blanche des États-Unis sur le développement et l’utilisation sûrs, sécurisés et dignes de confiance de l’intelligence artificielle. Une modification des futures réglementations – une restriction interdisant à ces systèmes d’IA de raisonner sur l’état émotionnel d’un client, par exemple – pourrait conduire au démantèlement des chatbots de support client alimentés par l’IA.
La crise de la manipulation de l’information
Il y a quelques années à peine, il fallait à la fois un sens technique et une intention pour créer des deepfakes ; maintenant, vous n’avez besoin que d’une intention. D’un point de vue sociétal, les experts en cybersécurité craignent que la prochaine élection présidentielle américaine n’engendre un raz-de-marée de deepfakes pour influencer l’opinion publique. D’un point de vue commercial, les deepfakes ont renforcé la capacité des cybercriminels à commettre des fraudes. Dans un exemple récent, un employé financier d’une grande entreprise multinationale à Hong Kong participait à une vidéoconférence avec un groupe de collègues et, au cours de cette réunion, il lui a été demandé de virer 25 millions de dollars de l’entreprise dans le cadre d’une transaction. Malheureusement, ces collègues de confiance étaient en réalité des deepfakes, des représentations synthétiques de vrais employés contrôlés par un fraudeur.
Les problèmes de manipulation d’informations vont bien au-delà de la modification de la vidéo et de l’audio. Un exemple insidieux récent vient du monde du logiciel, où des acteurs malveillants ont réussi à implanter une porte dérobée dans une application très couramment utilisée appelée XZ Utils. Si cet implant logiciel n’avait pas été découvert par un développeur de logiciels chez Microsoft, des dizaines de milliers d’entreprises auraient pu être compromises.
Le burn-out est de nouveau en hausse
Outre les défis posés par l’IA et la manipulation des données, la communauté de la cybersécurité a été témoin d’une série d’attaques de ransomwares très médiatisées, comme celle qui a fermé les hôtels MGM à la fin de l’année dernière. Nous avons examiné plus de 10 000 conférenciers au cours des cinq dernières années et le sujet de l’épuisement professionnel a été abordé à deux reprises. La première a eu lieu en 2021, lorsque le COVID a fait un bond et que les cybertravailleurs ont dû s’adapter rapidement pour sécuriser une main-d’œuvre entièrement distante. Le sujet du burn-out est ensuite revenu à des niveaux normaux en 2022 et 2023, mais a de nouveau augmenté en 2024. Ce n’est pas seulement la récente vague d’attaques qui pèse sur les professionnels de la cybersécurité ; on craint de plus en plus que les responsables de la sécurité de l’information (RSSI) puissent être tenus personnellement responsables des violations de l’entreprise. Deux cas en particulier ont soulevé le spectre d’une telle responsabilité, et de nouvelles pressions s’exercent sur les entreprises pour qu’elles communiquent rapidement les détails d’un compromis.
Le pouvoir de la communauté
Parcourez votre journée et pensez à tous les points de contact que vous avez avec la technologie. Votre voiture est un ordinateur, votre banque est une application sur votre téléphone, la technologie est partout, ce qui signifie que les pirates sont partout aussi. J’ai passé toute ma carrière dans la cybersécurité : depuis l’écriture de certains des premiers livres sur la façon de trouver les vulnérabilités logicielles, jusqu’à l’enseignement de la sécurité informatique à l’Université de Columbia, en passant par mon mandat de CTO de Symantec. Ce que la plupart des gens n’apprécient pas chez les professionnels de la cybersécurité, c’est que nous faisons partie d’une communauté axée sur une mission. Les attaquants travaillent souvent dans un quasi-isolement ; les cyber-professionnels collaborent. L’élite de la communauté mondiale de la cybersécurité est sur le point de se réunir à la conférence RSA, mais c’est bien plus qu’un simple rassemblement. C’est la convocation d’une communauté.
Hugh Thompson, Ph.D.,estprésident exécutif de la conférence RSA.
Plus de commentaires incontournables :
Les opinions exprimées dans les commentaires de Fortune.com sont uniquement les opinions de leurs auteurs et ne reflètent pas nécessairement les opinions et les croyances deFortune.