L’intelligence artificielle en cybersécurité : Pourquoi on serait fou de s’en passer

L’intelligence artificielle en cybersécurité : Pourquoi on serait fou de s’en passer

Passionné de technologie depuis plus de 25 ans, la cybersécurité est au cœur des services et de la réflexion de René-Sylvain Bédard, fondateur et PDG d’Indominus. Dans cette chronique, il vous propose de considérer plusieurs aspects clés de l’innovation en intelligence artificielle (IA) propre à la cybersécurité.

Le 29 mars dernier, 1001 experts en intelligence artificielle (IA), dont notre très renommée sommité locale et chercheur émérite, Yoshua Bengio, ont signé une lettre demandant un moratoire de six mois sur les développements en IA. Je ne suis ni chercheur ni expert de l’IA, mais je crois tout de même que certains points doivent être pris en compte dans le processus, notamment en ce qui a trait à la cybersécurité. Les voici.

Les craintes exprimées par les experts

À la suite de la publication d’une photo générée par l’IA du pape François, devenue virale, les esprits se sont enflammés. À l’époque des fausses nouvelles et de la désinformation, des modèles IA tels que GPT-4 sont des sources de confusion additionnelles pour le grand public.

Étant donné qu’une poignée d’entreprises américaines, en qu’acteurs majeurs du secteur privé, sont soumises aux lois du marché, la crainte de l’appât du gain et du profit à tout prix est une réalité.

« (…) le modèle capitaliste est, selon moi, en majeure parti responsable de l’effondrement de la qualité de notre environnement, et de notre planète. Si l’on part de ce principe, est-ce une bonne idée de leur donner (aux entreprises) toujours plus puissants, sans garde-fou ? »

Après tout, le modèle capitaliste est, selon moi, en majeure parti responsable de l’effondrement de la qualité de notre environnement, et de notre planète. Si l’on part de ce principe, est-ce une bonne idée de leur donner des outils toujours plus puissants, sans garde-fou ? La réponse rapide est non, bien sûr.

Au chapitre des craintes, l’histoire se répète…

Mes craintes à ce sujet sont davantage liées aux utilisateurs de la technologie plutôt qu’à la technologie elle-même.

Comme je l’ai déjà démontré en conférence, si je demande à un groupe de 100 personnes si certaines parmi elles se souviennent du dernier coup de téléphone qu’elles ont fait ou du numéro de cellulaire de leur conjoint(e), nous verrons que la majorité d’entre elles n’en sauront rien. En contraste, si nous remontons jusqu’à il y a à peine 25 ans, si vous souhaitiez joindre quelqu’un, soit vous connaissiez son numéro par cœur, soit vous l’aviez noté quelque part pour vous en rappeler. Cette faculté mentale a disparu avec l’apparition du téléphone intelligent. Tout comme le calcul mental à disparu avec la prolifération des calculatrices.

Donc, en mettant sur le marché des outils qui peuvent créer à notre place, est-ce que nous nous exposons à ne plus avoir cette capacité ? Si nous leur déléguons la prise de décisions, allons-nous devenir une race d’individus incapables de prendre ses propres décisions ?

Je partage ces craintes.

L’existence de guides non contraignants

La déclaration de Montréal pour l’IA responsable (lien)

Cette initiative par l’Université de Montréal est un superbe exemple du génie résidant au Québec. Bien avant les événements et développements récents, nos experts avaient déjà mis en place un cadre pour que l’IA soit développée de façon responsable.

Le guide démontre comment les efforts doivent être alignés pour assurer que l’IA ne soit pas utilisée contre l’humanité et qu’elle profite au bien commun et, surtout, de façon responsable.

Le seul défaut de la déclaration réside dans le fait que celui qui la signe n’est pas contraint d’en suivre les lignes directrices.

Responsible AI par Microsoft (lien)

Prenons l’exemple de Microsoft, à défaut d’un équivalent en Amazon ou Google.

Microsoft a mis en place un portail complet pour démontrer son engagement envers l’IA. L’entreprise y publie ses politiques internes pour l’utilisation et le développement de solutions IA, de guides à suivre pour évaluer l’impact des solutions IA externes qui utiliseraient des solutions MS (ou OpenAI sur Azure) ainsi que des Notes de transparence, qui mettent en évidence, pour chaque produit, l’intention, les capacités et l’utilisation prévues pour les divers services proposés par Microsoft.

Mais, encore une fois, les pouvoirs de contrainte de Microsoft sont limités à leurs employés externes et aux ententes qui les lient à leurs utilisateurs. Si Microsoft découvrait qu’un acteur tentait de déstabiliser un compétiteur, par exemple, avec son outil, alors, Microsoft aurait l’autorité de le stopper.

Mais, encore une fois, pas de pouvoir global de contraindre.

Pendant ce temps, du côté obscur…

Voici ce qui m’inquiète. De l’autre côté du spectre, nous avons des groupes criminels organisés, certains financés par des états (Russie, Chine, Corée du Nord, pour ne nommer que ceux-ci), qui n’ont pas de défis liés au budget en recherche et développement, n’ont que très peu à faire de l’éthique et qui ne souhaitent qu’une chose : semer le chaos et déstabiliser le système.

Nous avons déjà eu un exemple de création de logiciels malveillants par l’utilisation de Chat GPT. Un chercheur américain de la firme HYAS, Jeff Sims, en a fait une preuve de concept. Il a réussi à créer, avec l’aide de l’IA,  Black Mamba. Il s’est révéré être un ver fort redoutable, qui passait outre les EDR existants, et allait s’installer comme un enregistreur de touche de clavier, permettant ainsi d’avoir un accès intégral à vos noms d’utilisateurs, vos mots de passe et même votre historique.

Imaginons un scénario où tous les pays souhaiteraient protéger la planète, et arrêteraient pendant six mois tout développement pour faire avancer le modèle GPT. Que se passerait-il du côté obscur, et dans les pays qui sont opposés à la démocratie ? Ce serait la fête !

L’évolution de GPT arriverait tout de même, mais l’outil ne serait pas utilisable pour faire le bien. Il le serait uniquement pour servir les desseins de ces groupes et de quelques pays. Ce n’est pas un risque que je serais prêt à prendre.

Est-ce que l’on peut imaginer que dans six mois, la Russie ait entre les mains GPT-5 ou même 6, et que nous commencions à faire la recherche sur la version 4.1. Un cauchemar. Vous verriez s’exécuter des campagnes de désinformation massives pour déstabiliser le réseau de l’OTAN, l’Union Européenne, etc.

Nous avons besoin que ces outils nous soutiennent également pour défendre ce qui est important.

Le contexte actuel en cybersécurité

Nous avons découvert, au fil de nos expériences, qu’un segment complet de notre économie ne peut trouver ou se payer d’experts en cybersécurité, simplement.

Les PME n’ont pas accès à ce genre de service. C’est l’équivalent de dire que vous avez beau avoir travaillé durant les 20 dernières années pour faire construire la maison de vos rêves, mais qu’il vous en coûtera $100,000 et deux ans d’attente pour faire installer un détecteur de fumée et le faire relier à une centrale d’alarme.

À ce jour, il y a 3.5 millions de postes ouverts en cybersécurité, globalement, tandis que le nombre d’attaques a augmenté de 300 % au cours des deux dernières années.

L’exemple le plus récent : Microsoft Security Co-Pilot

Microsoft a annoncé, le 29 mars dernier, l’implantation des modèles GPT 4 à l’univers de la cybersécurité dans le nuage de Microsoft. Ils ont pris comme fondation un modèle GPT existant, et y ont ajouté toute une liste de règles d’apprentissage-machine et de détection, qu’ils utilisaient à l’interne pour faire la chasse aux cybercriminels.

Ce que cela signifie pour nous, partenaires de votre cybersécurité?

Prenons un exemple concret : une PME moyenne va générer entre 10,000 et 100,000 signaux par jour.

Si nous demandons à un cyberdéfenseur de valider l’entièreté des signaux de cette PME et de nous indiquer toutes les corrélations, cela lui prendrait entre trois et sept jours. Vous pouvez immédiatement voir le problème. Dans un premier temps, il y aura toujours plus de travail que de temps disponible pour le faire. Ensuite, comment répondre à plusieurs clients dans ce contexte ?

Pour répondre à ces enjeux, nous utilisons des outils de corrélation comme Microsoft Sentinel, qui nous permettent d’automatiser une grande partie de cette corrélation, et nous permettent également d’accéder au réseau d’intelligence de menaces de Microsoft.

Imaginons donc, pendant un instant, que je sois en mesure de réduire et de rendre fortement plus efficace n’importe quel membre de l’équipe, en lui donnant des outils de corrélation et de chasse encore plus performants. Quel en sera le résultat ? Réponse simple : nous serons en mesure de mieux vous protéger.

Un aspect oublié : L’éducation du grand public

Ne perdons jamais de vue que la technologie en soi n’est jamais bonne ou mauvaise. Son utilisation est ce qui en fait quelque chose de bon ou mauvais.

Il est donc impératif de s’assurer que nos jeunes soient conscients de l’impact de ces outils, de ce qui constitue une utilisation éthique de la chose et, surtout, de comment s’en servir convenablement.

Parallèlement, j’invite nos gouvernements à légiférer pour s’assurer que oui, nos données soient protégées, et surtout, pour s’inspirer des politiques et des cadres proposés afin de rendre l’utilisation de l’IA plus responsable, puis, introduire des conséquences graves, à portée internationale pour ceux qui y dérogeraient.

Comment pouvons-nous vous aider ?

Un formulaire en 11 questions vous permet d’ailleurs d’avoir une vue éclairée quant à la protection de vos appareils.

À lire également :

[ÉDITORIAL] : Pourquoi une partie de la planète IA veut-elle se mettre (aujourd’hui) en pause ?

Crédit Image à la Une : Mati Mango et Lucas Andrade