L’IA bouleverse le paysage de la cybersécurité

D’une part, les menaces qui pèsent sur la cybersécurité sont augmentées par l’IA. N’étant plus limités par les contraintes humaines, les cybercriminels intensifient et automatisent leurs attaques, exploitent davantage les vulnérabilités et ciblent plus précisément le phishing. D’autre part, les organisations doivent intégrer l’IA dans l'ensemble de leur écosystème de cybersécurité pour déployer des contre-mesures adaptées . Le rôle et les responsabilités des CISO s’en trouvent bouleversés. Un glissement s’opère du réactif ou proactif, notamment grâce à la threat intelligence et à l’analyse automatisée des logs.

“Les attaques de phishing, par exemple, se font dans plusieurs langues, dans un langage abouti”, explique Fabrice Clément, CISO du groupe Proximus. “En ne s’appuyant plus uniquement sur des règles, mais aussi sur des comportements, l’IA permet aux entreprises de détecter des changements de modèles et d’automatiser les actions, notamment en gérant les alertes et en redirigeant les victimes potentielles vers des pages d’avertissement.”

---

---

Une question d’efficacité

Fabrice est convaincu que l’efficacité de l’intelligence artificielle constitue le défi majeur des CISO face aux menaces. “Grâce à l’IA, les adversaires humains auxquels nous sommes confrontés sont de plus en plus efficaces. Ils sont capables d’exploiter un grand nombre de données, notamment via les techniques de social engineering ou via les données de reconnaissance des organisations, pour mieux cibler et guider leurs attaques. L’enjeu de la cybersécurité consiste à nous montrer plus efficaces que nos adversaires.”

---

---

Le profil des cybercriminels évolue

Dans le passé, les hackers avaient besoin de compétences spécialisées, mais la donne a changé. “Il y a quelques années, il suffisait de demander à ChatGPT comment créer un keylogger pour qu’il donne le code”, se souvient Benoît Hespel, Head of AI chez Proximus ADA. “Depuis, des systèmes de protection ont été mis en place dans les LLM grand public afin d’éviter ce type de dérive. En revanche la menace continue de grandir, sur le Dark web, où des criminels créent, utilisent et partagent d’autres grands modèles de langage pour créer des malwares.”

Aujourd’hui, tout individu mal intentionné peut trouver un outil lui permettant de mener une attaque. Résultat ? Plus d’attaquants, plus d’automatisation et plus d’entités ciblées en une fois par des agents IA spécialisés.

Tactiques offensives augmentées par l’IA

En plus de doper le social engineering, l’IA personnalise aussi le phishing et peaufine les deep fakes. “Qu’il s’agisse de texte, de vidéo, de son, d’image ou de QR code, il devient de plus en plus difficile de distinguer le vrai du faux. Des bots parviennent même à se connecter sur Teams pour usurper une identité et collecter des informations”, souligne Benoît. “Certains malwares peuvent aussi devenir évolutifs et apprendre de l’environnement dans lequel ils se trouvent au moment où ils sont déployés, causant des dégâts plus importants et étant plus compliqués à détecter.”

Attaques adversariales

Dans les entreprises, les projets IA sont souvent gérés par d’autres personnes que l’équipe IT. Pour Benoît, cela constitue un nouveau canal de menaces : “Les modèles d’IA font l’objet de beaucoup moins de contrôles et de directives que les projets IT conventionnels. Or, une personne accédant à ce modèle peut l’utiliser contre son créateur, en injectant des prompts dans les grands modèles de langage ou en empoisonnant les données pour que le modèle ne détecte plus un certain type de fraude, d’activité ou de corrélation.” C’est ce qu’on appelle des attaques via IA adversariale.

Il arrive que des développeurs demandent à ChatGPT quelle librairie open source utiliser pour développer un programme. ChatGPT leur donne trois noms, dont un est totalement inventé. C’est le phénomène d’hallucination inhérent aux LLM. Mais un hacker peut créer cette librairie fictive en y insérant une porte dérobée ou un malware. Il suffit alors qu’un développeur installe la librairie pour que le loup entre dans la bergerie.

---

Fabrice Clément, Chief Information Security Officer (CISO) chez le groupe Proximus

---

Hygiène défensive de base

“Pour se protéger des attaques générées ou améliorées par l’IA, les fondamentaux de la cybersécurité, comme la gestion des accès ou le double facteur d’authentification, restent essentiels”, affirme Fabrice. “Il convient cependant de garder le triangle viral à l’esprit. Les aspects liés à l’humain et aux processus sont tout aussi importants que l’aspect technologique. Dans cette optique, la security by design, la gestion des vulnérabilités et les back-ups sont indispensables.”

Fabrice est convaincu qu’il faut aussi pouvoir se préparer aux attaques en ayant une équipe et des systèmes de détection et de réponse aux incidents, en automatisant davantage et en s’appuyant sur l’IA. La gestion des renseignements issus de différentes sources est une autre mesure offensive capitale, largement facilitée par l’intelligence artificielle, notamment grâce à l’IA générative qui permet d’actionner les informations. Pour finir, la défense offensive, qui consiste à attaquer sa propre infrastructure pour vérifier l’absence de failles, est primordiale.

Défenses enrichies par l’IA

L’intelligence artificielle enrichit les défenses à bien des égards. En termes d’identification, elle aide par exemple à détecter les vulnérabilités dans des contextes précis et à élaborer des scénarios dans les tests de pénétration.

Dans la protection ou la détection et la réponse aux incidents, l’IA offre un coach aux professionnels. Un chatbot répond à leurs questions très pointues en tenant compte de l’ensemble de la documentation à disposition. Proximus ADANouvelle fenêtre développe actuellement ce coach IA en interne, d’abord à destination des Security Analysts, puis des développeurs. Le coach vérifie que leur implémentation, leur design et leurs solutions ne comportent pas de risques majeurs de sécurité par rapport aux différentes directives en vigueur.

Enfin, l’intelligence artificielle intervient dans le domaine de la gouvernance, où elle peut contribuer à assurer la conformité au cadre légal.

---

Benoît Hespel, Head of AI chez Proximus ADA

---

Proximus donne le ton

Le groupe Proximus est en première ligne de la cybersécurité fondée sur l’IA. “Nous utilisons bien sûr des agents IA pour la détection du phishing au niveau des e-mails, du smishing au niveau des SMS et de la fraude à travers les appels téléphoniques”, indique Fabrice.

“En termes de CLI spoofing, nous allons au-delà des white lists et des black lists. Un modèle IA basé sur un historique assez récent analyse le comportement de ces numéros pour donner un score de confiance pour ces CLI (calling line identification), améliorant la gestion des fraudes entre opérateurs”, ajoute Benoît.

Proximus va également très loin dans l’analyse automatisée des logs. Les données de différents systèmes sont réconciliées pour obtenir plus de corrélations. Grâce à des algorithmes basés sur les graphes, ces données sont ensuite représentées sous forme de réseau pour identifier les interactions et détecter des anomalies par rapport à des comportements normaux et ainsi potentiellement révéler des activités suspicieuses.

Sensibilisation du personnel

Dans l’inventaire des mesures défensives, la formation et la sensibilisation des employés à la cybersécurité sont cruciales. L’IA permet une grande personnalisation de ces formations. ”Chez Proximus, nous générons déjà des campagnes de phishing internes pour former et sensibiliser le personnel. À l’avenir, lorsqu’une personne se fera hameçonner, elle recevra un e-mail lui expliquant très précisément les indices qui auraient pu lui faire prendre conscience qu’il s’agissait de phishing”, développe Benoît.

Ces campagnes ultra personnalisées avec un feedback concret sont plus efficaces que les campagnes standardisées. Elles permettent de rester dans la course. Elles conscientisent également sur les deep fakes afin d’encourager les utilisateurs à garder l’esprit critique. La formation étant gamifiée et interactive, le message passe mieux et les collaborateurs se sentent plus engagés.

L’agentic AI, une tendance d’avenir

Les agents IA sont des LLM comme ChatGPT, mais capables d’utiliser des outils, par exemple en interagissant avec un calendrier Outlook, en envoyant des e-mails ou en accédant à une API. Certaines tâches peuvent être automatisées rien qu’en parlant avec un agent IA. “Ces agents sont promis à un bel avenir”, pense Benoît, “notamment pour l’analyse de corrélations ou la réponse à certains incidents. L’automatisation de la surveillance permettra de se focaliser sur les cas plus complexes qui nécessiteront toujours une expertise humaine.”

---

Benoît Hespel, Head of AI chez Proximus ADA

---

Omniprésence de l’IA

“À l’avenir, l’IA s’insinuera partout dans le tissu de la cybersécurité, tant du côté des cybercriminels que des organisations”, précise Fabrice. “L’automatisation sera de plus en plus poussée, tandis que l’assistance et le pilotage gagneront en efficacité. L’IA sera aussi plus autonome dans l’exécution de tâches et dans les interactions. Les collaborateurs pourront se concentrer sur des tâches à valeur ajoutée, là où l’intelligence humaine fait toute la différence. Et comme l’IA sera également omniprésente du côté des adversaires, nous assisterons à une course à l’efficacité.”

“C’est pour cette raison que Proximus ADA allie IA et cybersécurité”, ajoute Benoît. “Dans la cybersécurité, l’intelligence artificielle est une nécessité pour rester dans la course, tandis que la sécurisation des applications IA ne peut être prise à la légère. En se généralisant, l’IA devient comparable à n’importe quelle application IT et doit être sécurisée de manière appropriée.”

---

Fabrice Clément, Chief Information Security Officer (CISO) chez le groupe Proximus

---

Plan par étapes et gouvernance

Fabrice recommande aux entreprises qui souhaitent intégrer l’IA dans leur stratégie de cybersécurité de procéder par étapes. “Je leur conseille de d’abord définir une vision claire de leurs besoins et une roadmap. Je les invite ensuite à intégrer des capacités IA dans leurs processus et leur architecture, en s’entourant des partenaires adéquats. Enfin, la formation des équipes et l’accompagnement du changement, en mettant en place une gouvernance intégrant les aspects éthiques, sont essentiels.”

“L’IA se démocratisant, chacun peut facilement créer ses petits modèles d’IA spécifiques. Cette forme de shadow IA peut poser un risque pour la cybersécurité et ouvrir des portes d’accès vers l’extérieur. Le risque est d’autant plus grand avec l’émergence de l’agentic AI. La gouvernance est donc cruciale”, conclut Benoît.