Intelligence Artificielle & Comex, mais aussi responsabilité de l’IA, et sécurité des environnements OT … Des sujets au cœur des réflexions des équipes cybersécurité. Raphaël Marichez, CSO France et Europe du Sud chez Palo Alto Networks s’est prêté au jeu des Questions/Réponses.
L’IA comme levier d’évangélisation du COMEX à la cybersécurité
L’IA est perçue comme levier d’évangélisation du COMEX à la cybersécurité. Pourquoi ?
C’est une approche originale : tout le monde parle des conséquences de l’IA sur les emplois, sur les cyber-attaques, sur les fuites d’informations, et du rôle du RSSI. Étant moi-même CSO (Chief Security Officer), après avoir échangé avec plusieurs DSI en 2023, je voulais justement pousser la réflexion plus loin sur ce sujet.
Plusieurs DSI m’ont spontanément interrogé sur le thème : “je dois mettre en place de l’IA dans mon entreprise, je sais que cela peut présenter des risques, j’ai vu que vous faisiez déjà de l’IA chez Palo Alto Networks ainsi que pour vos clients : pouvez-vous me conseiller sur la bonne approche à adopter pour déployer de l’IA sans mettre mon entreprise en danger ?”
Or, quand on pense aux risques d’un mésusage de l’IA en entreprises, ce ne sont pas des risques cyber classiques : bien sûr il y a le risque de fuite d’informations sensibles. Début 2023, plusieurs RSSI m’ont avoué avoir interdit, temporairement, les usages en ligne de ChatGPT, en concédant que cette posture n’était pas tenable : un sondage IFOP au printemps 2023 montrait que deux tiers des usages de l’IA en ligne au travail étaient réalisés spontanément par les salariés sans en parler à leur employeur.
Si 2023 correspond au point le plus haut de la courbe de “hype” du Gartner pour l’IA générative, nous entrons en 2024 dans la phase de désillusion ou plutôt de réalité : les entreprises veulent des garanties de bénéfices risques/opportunités avant de déployer de l’IA. Et s’agissant des risques, à mon sens, la cybersécurité de l’IA ne s’arrête pas à la protection des informations.
Il serait plus correct de parler de sûreté de l’IA, combinant sûreté de fonctionnement, sécurité de l’information bien sûr, mais aussi de fiabilité (ou responsabilité) de la décision sur laquelle s’appuient les processus métier de l’entreprise.
Par exemple, j’aime prendre l’exemple du risque de délit d’initié, dont un investisseur dans une banque d’affaire peut se rendre coupable, sans même le savoir, si son chatbot d’assistant au trading lui conseille un très bon investissement, mais en utilisant des données non publiques collectées au sein des lacs de données internes de l’entreprise.
Parler des risques sur les activités opérationnelles des métiers, avec des impacts sur la productivité, des impacts juridiques, ou financiers, c’est parler aux responsables métiers eux-mêmes. Cela permet au RSSI de sortir de sa bulle informatique.
La démocratisation des usages de l’IA, notamment générative, en entreprise, par les métiers, donne l’opportunité à la cybersécurité de (re)nouer le dialogue avec les fonctions métiers de l’entreprise, dont les dirigeants siègent au ComEx, pour simplifier.
C’est une opportunité pour les RSSI de devenir des “business partners” lors de l’adoption de l’IA par les métiers, et de promouvoir les principes fondateurs de la cybersécurité : évaluation des risques, mesures de sécurité, arbitrages.
A qui revient la responsabilité de l’IA, des usages, des outils ?
L’IA est un outil. Et sauf si vous êtes vous-même une entreprise de l’IA, les coûts d’investissement dans l’IA sont tels que vous allez consommer l’IA fournie par des tiers, “as a service”.
En ce sens, il y a un parallèle avec l’adoption du cloud en son temps : délégation de responsabilité mais n’excluant pas le contrôle, d’autant que l’IA s’appuie sur des infrastructures cloud dont on sait aujourd’hui contrôler “by design” les postures de sécurité et l’intégrité de fonctionnement.
Le RSSI est évidemment garant de piloter les risques liés aux outils de l’IA, et de les exprimer aux leaders métier, responsables de l’utilisation qui est faite de l’IA en entreprise. C’est une démarche collective : certaines entreprises ont déjà mis en place des “comités d’éthique IA” préalables à toute mise en œuvre de l’IA sur leurs processus métier.
Peu importe le nom, le RSSI doit faire partie de ce comité. Les décisions ne peuvent pas être globales, elles doivent être prises au regard de l’évaluation risque/opportunité, sur chaque cas d’usage.
Or qui d’autre mieux que le RSSI, est à même, d’une part, d’assurer le cadre de conformité de l’outil IA à la politique de cybersécurité de l’entreprise, et d’autre part, de vulgariser auprès des leaders métiers les risques d’usages de l’IA mal maîtrisés ?
Le RSSI peut déjà commencer par révéler les usages spontanés de l’IA en entreprise (le “shadow AI”) au moyen d’outils techniques déjà en place sur les passerelles web ou sur le poste de travail. Il peut aussi souligner les situations de fuites d’information au moyen de DLP et les prévenir lors d’utilisation de terminaux non maîtrisés via un Entreprise Browser, par exemple.
Et la sécurité OT. Pourquoi la simplifier et consolider les solutions IT/OT ?
Notre dernière étude rapportée dans vos colonnes révèle la réalité, l’étendue des menaces de sécurité dans les environnements industriels. Près de 70 % des organisations industrielles ont subi des cyberattaques au cours de l’année écoulée. 1 organisation sur 4 a dû interrompre ses opérations en raison d’une attaque. L’IT est le principal vecteur d’attaque, avec 72 % des attaques qui y trouvent leur origine.
Une compromission de la sécurité OT peut avoir de lourdes conséquences (pertes de données, arrêt de production, perte de revenus, dégradation de l’image de l’entreprise). Les environnements OT sont devenus des cibles très attractives car ils représentent une manne financière ou peuvent avoir un impact politique immense. Les enjeux de sécurité sont importants notamment avec l’arrivée de la 5G, des solutions basées sur du cloud public, et de l’IA.
L’irruption de ces technologies modernes dans des environnements protégés de longue date selon des normes de sécurité industrielle reposant sur un modèle en plusieurs couches, fait voler en éclat les anciens modèles de sécurité, et oblige à penser la cybersécurité de l’OT via une intrication des technologies IT et OT, et une convergence des enjeux métiers : il n’existe pas de scénario de cyberattaque purement OT, il convient d’avoir aujourd’hui les moyens d’un pilotage unifié et consolidé de la cybersécurité IT et OT.
Sans cela, plus de 60 % des répondants soulignent la complexité des solutions de sécurité OT lors de l’achat de logiciels et d’équipements de sécurité OT, ce qui illustre le besoin de solutions de sécurité simplifiées et rationalisées. 7 répondants sur 10 ont l’intention de consolider les solutions IT et OT auprès du même fournisseur de cybersécurité.
La complexité des environnements OT est un défi majeur pour assurer leur sécurité. L’hétérogénéité, des équipements, des protocoles et des systèmes interconnectés est un frein majeur. En simplifiant et en rationalisant ces environnements et la sécurité des systèmes opérationnels (OT) les opérateurs pourront renforcer l’intégrité opérationnelle, la disponibilité et la fiabilité des systèmes OT. La maîtrise de la convergence IT/OT est également primordiale afin de réduire la surface d’attaque.
Dossiers complémentaires sur le thème de l’IA, avec les experts du site iTPro.fr
Les 10 tendances de l’IA à suivre en 2024
Observatoire IT & OT pour 2024
Gestion des risques : écarter les Cybermenaces grâce à une stratégie IT et OT centric
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
