Cette étude porte sur les applications et les usages de l’intelligence artificielle (IA) au niveau de la cybersécurité ainsi que dans une moindre mesure ses impacts sur les organisations humaines. La cybersécurité est définie ici et selon les termes de l’ANSSI1 comme « l’état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données ».
L'impact de l'intelligence artificielle sur la cybersécurité
Pour mesurer, l’impact de cette technologie sur la cybersécurité, il suffit de regarder les projections de valorisation du marché mondial de l'IA dans le domaine de la cybersécurité. Ce dernier est en effet valorisé à plus de 22 milliards de dollars pour l’année 2023. Et, le taux de croissance annuel du marché se situe autour de 23 %. Il devrait continuer à croitre jusqu’en 2030. À cette date, la valeur du marché est projetée à plus de 93 milliards de dollars. Ces chiffres à eux seuls traduisent le dynamisme de ce secteur d’activité.
Pour prendre un peu de hauteur par rapport au sujet, cette étude est initialement motivée par le fait que l’Humanité est probablement à un tournant de son Histoire. Pour la première fois, elle est en mesure d’envisager l’automatisation de ses processus cognitives après avoir automatisé une bonne part des processus manuels. Cette rupture est rendue possible par le développement de l’intelligence artificielle au niveau de tous les secteurs d’activité et s’appuie sur la convergence du réseau internet, de l’accumulation des données, et de l’explosion des moyens de calculs.
L’intelligence artificielle regroupe ici l’ensemble des théories et des techniques utilisées pour développer des programmes informatiques capables de simuler certains traits de l'intelligence humaine tels que le raisonnement, l’apprentissage, le traitement et l’intégration de l’information ou encore les fonctions expressives pour la simulation du langage et des conversations.
Les applications qu’elles soient militaires ou civiles n’ont de limites que notre imagination et des mouvements philosophiques tels que le transhumanisme y voit une opportunité pour augmenter les capacités humaines à moyen ou long terme. D’autres, tels que le physicien Stephen Hawkins2 y voit une menace existentielle pour l’Humanité et pensent que « le développement d’une intelligence artificielle complète pourrait mettre fin à l’humanité…Les humains limités à une lente évolution biologique ne pourraient rivaliser et seraient dépassés ».
Les logiques de puissance
Les grandes puissances de ce monde mais également les entreprises les plus importantes qui contrôlent nos données ne s’y trompent pas et développent des programmes ambitieux. Pour se convaincre de la portée de cette technologie, il suffit de se souvenir des propos de Vladimir Poutine3 prononcés en 2017 lors d’une conférence sur les nouvelles technologies : « L’intelligence artificielle représente l’avenir non seulement de la Russie, mais de toute l’humanité. Elle amène des opportunités colossales et des menaces imprévisibles aujourd’hui… celui qui deviendra le leader dans ce domaine sera le maître du monde. Et il est fortement indésirable que quelqu’un obtienne un monopole dans ce domaine ». La pertinence de cette analyse est confirmée par les investissements massifs consentis dans ce secteur par notamment les autorités chinoises et américaines dans le but de stimuler l’innovation.
À défaut d'innover, l'Union européenne semble porter le combat sur le plan juridique. Elle a ainsi publié en 2021 une proposition de règlementation visant à tenir compte des risques associés à cette technologie. L’approche se focalise essentiellement sur la sécurité des systèmes et le respect des droits fondamentaux des citoyens. De son côté, la Chine soucieuse de préserver sa souveraineté a adopté un arsenal juridique dont la portée est limitée aux grandes entreprises, selon les principes qui ont guidé l'Union européenne. De façon intéressante, les États-Unis ne disposent pas encore de lois fédérales sur la protection des données personnelles, même si des projets sont actuellement à l’étude. Le droit en matière de confidentialité et de protection des données est un nouveau champ de bataille entre les États. Les normes régissant le flux des données sont définies par les États, certes pour une part en fonction de l'intérêt des citoyens mais également en fonction de leurs objectifs respectifs qu’ils soient économiques, politiques ou sociaux.
Plus modestement, l’usage de l’intelligence artificielle en cybersécurité est justifié par la promesse d’une meilleure protection et des gains de productivité, en prenant en charge les tâches chronophages et répétitives, via notamment une automatisation de l’analyse des données et des actions associées. Elle permet en effet à minima d’automatiser le triage des alertes en procédant à une analyse et en soumettant à l’attention des experts en cybersécurité les menaces qui nécessitent une analyse plus approfondie. Les applications de cette technologie se déploient au niveau de toutes les strates de protection de l’information, selon le concept de défense en profondeur qui est la doctrine de cyberdéfense la plus communément acceptée. Dans les faits, l’explosion des menaces de cybersécurité rend l'usage de l'intelligence artificielle quasiment incontournable. Elle est utilisée pour ses capacités de détection, de prédiction et de classification des menaces.
L'IA au service de la défense pais aussi de l'attaque
Bien évidemment si cette technologie est déjà utilisée par les cyberdéfenseurs, elle l’est également par les cyberattaquants. En la matière, il s’agit d’une course sans fin. S'agissant plus spécifiquement de cyberdéfense, les usages de l'IA sont multiples et sont développés depuis plusieurs années afin de renforcer la sécurité des systèmes. Les premières applications ont concerné les solutions de filtrage de courriels ou encore la détection d’URL d’hameçonnage. Par la suite, elles se sont étendues à la détection des virus/malwares informatiques. De son côté, la détection d'intrusion sur les réseaux internes fait l'objet de recherches depuis les années 90 et des solutions sont également commercialisées. Le suivi du comportement des utilisateurs ou encore leur authentification, l'étude et le suivi des corrélations des évènements se produisant sur les systèmes d'information sont des domaines où l'intelligence artificielle prospère. L'identification des fraudes bancaires a également largement bénéficié de cette technologie. Ces applications font appel classiquement aux techniques d'apprentissage supervisé ou non ainsi qu'à l'apprentissage par renforcement. En définitive, il s'agit d'une nouvelle façon de faire des statistiques. Les intelligences génératives pourraient également être employées pour l’assistance à la résolution d’incidents de sécurité en proposant par exemple des procédures de résolution. L'usage et le développement de cette technologie sont relativement "simples" d'accès, et la barrière se situe essentiellement au niveau de l'accès aux données et de la puissance de calcul nécessaire, sachant que les algorithmes utilisés sont implémentés dans des bibliothèques en logiciels libres (open source), et qu’ils font l’objet de publications scientifiques ouvertes. Il n'y a pas difficultés conceptuelles particulières même pour ce qui concerne les aspects relatifs au calcul parallèle. Pour "démontrer" cette affirmation nous avons mené à bien une expérimentation via l'implémentation d'un script simple pour la détection statique de virus/malwares, afin d'illustrer techniquement les concepts mis en œuvre et de montrer que même des non-experts peuvent s’approprier ce type de technologie.
Concernant les cyberattaques, l’intelligence artificielle devrait permettre aux cyberattaquants de réduire de manière substantielle les coûts d’une cyberattaque ciblée en réduisant le travail humain nécessaire, le niveau d’expertise requis, et en simplifiant la phase de collecte d’informations. Par exemple, il a ainsi été démontré que l’intelligence artificielle pouvait être utilisée pour rendre les malwares furtifs et donc plus difficilement détectables. Les fonctions Deepfake audio et vidéo ont déjà été utilisées pour mener à bien des escroqueries. Des solutions pour tromper les systèmes de sécurité CAPTCHA sont déjà commercialisées sur le dark web. Des applicatifs pour la découverte des mots de passe sont améliorés par l’usage de l’intelligence artificielle. Des solutions existent déjà pour automatiser les attaques via des outils de test d'intrusion automatique utilisant l'apprentissage par renforcement. Les intelligences artificielles génératives généralistes, quant à elles, abaissent déjà le niveau requis pour mener à bien des cyberattaques. Le développement d’IA génératives spécialisées dans les cyberattaques ne pose pas de problème technique et elles ne manqueront pas de voir le jour.
La fragilité sécuritaire potentielle de l'IA
Si l’usage de l’intelligence en cybersécurité apparaît comme l’avenir pour améliorer de façon substantielle les solutions de sécurité ou pour la génération d’attaques, il n’en reste pas moins que cette technologie peut, elle-même faire l’objet de nouvelles attaques qui doivent être prises en compte. Ainsi L'intelligence artificielle est elle-même sensible à toutes les cyberattaques répertoriées et à différentes attaques plus spécifiques telles que l’empoisonnement des données visant l'altération du processus de décision. L'empoisonnement du modèle vise essentiellement la corruption des modèles pré-entrainés largement utilisés pour accélérer le processus d'apprentissage, dans le but de contourner le processus de décision. L'extraction de données est l'une des attaques les plus simples à mener sur ce type de système puisqu'il s'agit essentiellement d'observer le comportement du modèle en l'interrogeant afin de prédire son comportement et de trouver une faille. Une attaque plus complexe à mener est l'extraction de modèle, il s'agit ici de créer une copie du modèle en disposant d'un jeu de données d'entrée/sortie afin d'étudier les solutions de contournement du modèle. L'attaque par évasion de modèle vise à forger des entrées modifiées au fur et à mesure et à analyser l'impact des modifications effectuées. Le but est ici de créer des exemples capables d'échapper au système.
L'ensemble de ces attaques fait heureusement l'objet d'une documentation au niveau du référentiel public MITRE ATLAS. Il s'agit en effet d'une base de connaissances sur les tactiques, techniques et études de cas adverses fondés sur des observations du monde réel, des démonstrations de Red Teams, des groupes de sécurité et de la recherche universitaire. Le site documente les attaques réelles qui se sont produites à travers sa section d’étude de cas.
La sécurisation des systèmes d'intelligence artificielle passe donc par la surveillance renforcée de son usage au cours de l’ensemble de son cycle de vie et par la mise en place de mesures de sécurité spécifiques. Les processus pour assurer la disponibilité, la confidentialité, l’intégrité et la traçabilité des données et du modèle doivent être en place et régulièrement audités. Il est par exemple nécessaire de surveiller le comportement des systèmes afin de détecter toutes les dérives non contrôlées du système.
Malgré ces vulnérabilités, de plus en plus d'organisations adoptent ce type de technologies afin d'améliorer leur posture de sécurité mais également pour réduire leurs coûts de fonctionnement. Ainsi, une enquête d'IBM réalisée en 2022 auprès de 1000 entreprises intervenant dans 16 secteurs d’activité et dans les 5 régions du globe montrent que la majorité des entreprises, à l'échelle mondiale et dans tous les secteurs confondus, adoptent ou envisagent d'adopter l’intelligence artificielle et l'automatisation dans leurs fonctions de sécurité. Certaines entreprises commercialisent, depuis déjà un certain temps, nombre de produits de sécurité augmentés par l’intelligence artificielle. Il s’agit par exemple d’antimalwares, de détecteurs d’intrusion, de systèmes de corrélations pour la détection d’attaques ou encore de solutions novatrices d’authentification.
Actuellement, les USA dominent complètement le marché puisque les entreprises étatsuniennes représentent plus de 37 % du secteur. Et de façon générale, la région APAC est en avance sur l’Europe dans le domaine. Cependant, Compte tenu des investissements en cours en Chine, nous pouvons anticiper l’apparition de nouvelles entreprises développant l’intelligence artificielle pour la cybersécurité, considérant que ces deux domaines sont identifiés comme hautement stratégique.
L'usage de l'intelligence artificielle est amené à prendre de l'ampleur et s’étendre au niveau de toutes les strates de la cybersécurité. Ceci entrainera une mutation au niveau de la sociologie des équipes en charge de la sécurité des systèmes d’information. Les « data scientists » et les ingénieurs en IA sont amenés à prendre de plus de place au sein de ces équipes.
Une démultiplication des risques
Nous pouvons également anticiper une augmentation de la cybercriminalité considérant que l'intelligence artificielle va abaisser la barrière d’entrée sur ce « marché ».
Au-delà de la cybersécurité, toutes les organisations devront repenser leur structure et leur façon de travailler, car clairement il sera possible de faire plus en moins de temps et avec moins de personnes. Les compétences attendues dans un métier et les critères de performance vont donc changer. Pour rester maître de son destin professionnel, chacun devra donc se concentrer sur la manière dont son métier va évoluer. Il n’a jamais été aussi urgent d’acquérir de nouvelles compétences, se former et de repenser son travail.
Si l'on étend la réflexion à l'échelle de la société, il est assez évident que des emplois qualifiés seront détruits du fait de l'augmentation de la productivité des techniciens et ingénieurs induite par le développement et la généralisation des usages de l'intelligence artificielle dans tous les secteurs d’activité. Ainsi, un auteur comme Jeremy Rifkin4 a dès 1995 théorisé "la fin du travail" en constatant que nous étions entrés dans "l'âge de l'information". Pour lui, les révolutions scientifiques et techniques mettent fin au processus de destruction d’emplois plus ou moins compensés par d’autres. Le travail ne va bien évidemment pas totalement disparaître, mais se concentrer dans quelques secteurs notamment celui de la connaissance. Il sera exercé par un nombre restreint de personnes : une élite de chefs d’entreprise, de scientifiques, consultants, etc. Ces idées mériteraient d’être analysées sur un temps long afin de dégager les tendances profondes à l’œuvre dans nos sociétés.
En tout état de cause, nous devons être conscients que l’automatisation à outrance des entreprises est un mouvement de fond inévitable justifiée par la préservation de leurs marges et parfois leur survie même. En même temps, cette tendance supportée par un schéma de pensée économique classique, fait porter un grave risque sur la structure même de nos sociétés. Dans ce contexte, il convient de repenser la manière dont des agents cybernétiques sont valorisés et taxés, pour orienter le marché, réajuster les équilibres et continuer à faire société.
L'ampleur des mutations en cours conjuguée au manque d’explicabilité et donc de transparence des modèles d'intelligence artificielle font qu'il est urgent de renforcer les systèmes de gouvernance à l'échelle du pays, de l’Europe et sans doute au niveau des structures de gouvernance mondiale. Cette technologie et sa convergence avec l'analyse des données massives rendent tous les rêves possibles mais également tous les cauchemars probables. Il appartient au citoyen de prendre son destin en main, car notre société sera en définitive ce que nous accepterons d'en faire par nos choix et nos comportements.
Fatima Rakhila, Yves Mouvy, Amira Hidour, Jérôme Clavilier, Mohammed Ouali,
étudiants de la 3ème promotion MACYB
Notes
1 https://www.ssi.gouv.fr/entreprise/glossaire/c/
2 Interview à la BBC le 02 décembre 2014.
3 Extrait des propos de Vladimir Poutine tenus 1er septembre 2017, devant des étudiants de la ville de Yaroslavl en Russie.
4 Jeremy Rifkin, 1995. « The end of work », “The Decline of the Global Labor Force and the Dawn of the Post Market Era “. published by G. P. Putnam's Sons New York. 329 p.