Dans les bureaux élégants de Google à Singapour, au Block 80, au 3ème étage, Mark Johnston s’est adressé à une salle de journalistes de la technologie à 13h30 avec une admission surprenante : après cinq décennies d’évolution de la cybersécurité, les défenseurs perdent toujours la guerre. « Dans 69% des incidents au Japon et en Asie-Pacifique, les organisations ont été informées de leurs propres violations par des entités externes », a révélé le Directeur de l’Office of the CISO de Google Cloud pour l’Asie-Pacifique, sa diapositive de présentation montrant une statistique accablante – la plupart des entreprises ne peuvent même pas détecter quand elles ont été violées.
Ce qui s’est déroulé pendant la table ronde d’une heure « Cybersécurité à l’ère de l’IA » a été une évaluation honnête de la façon dont les technologies d’IA de Google Cloud tentent de renverser des décennies d’échecs défensifs, même si les mêmes outils d’intelligence artificielle donnent aux attaquants des capacités sans précédent.
Le contexte historique : 50 ans d’échec défensif
La crise n’est pas nouvelle. Johnston a retracé le problème jusqu’à l’observation de 1972 du pionnier de la cybersécurité, James B. Anderson, selon laquelle « les systèmes que nous utilisons ne se protègent vraiment pas » – un défi qui persiste malgré des décennies de progrès technologiques. « Ce que James B. Anderson a dit en 1972 s’applique toujours aujourd’hui », a déclaré Johnston, soulignant comment les problèmes de sécurité fondamentaux restent non résolus même lorsque la technologie évolue.
La persistance des vulnérabilités de base aggrave ce défi. Les données de renseignement sur les menaces de Google Cloud révèlent que « plus de 76% des violations commencent par les bases » – des erreurs de configuration et des compromissions d’identifiants qui ont tourmenté les organisations depuis des décennies. Johnston a cité un exemple récent : « Le mois dernier, un produit très courant que la plupart des organisations ont utilisé à un moment donné, Microsoft SharePoint, a également ce que nous appelons une vulnérabilité ‘zero-day’ … et pendant ce temps, il a été attaqué continuellement et abusé. »
La course aux armements de l’IA : Défenseurs contre attaquants
Kevin Curran, membre senior de l’IEEE et professeur de cybersécurité à l’Université d’Ulster, décrit le paysage actuel comme « une course aux armements à haut risque » où les équipes de cybersécurité et les acteurs de la menace utilisent des outils d’IA pour se surpasser mutuellement. « Pour les défenseurs, l’IA est un atout précieux », explique Curran dans une note aux médias. « Les entreprises ont mis en place une IA générative et d’autres outils d’automatisation pour analyser de vastes quantités de données en temps réel et identifier les anomalies. »
Cependant, les mêmes technologies bénéficient aux attaquants. « Pour les acteurs de la menace, l’IA peut rationaliser les attaques de phishing, automatiser la création de logiciels malveillants et aider à scanner les réseaux à la recherche de vulnérabilités », avertit Curran. La nature à double usage de l’IA crée ce que Johnston appelle « le dilemme du défenseur ».
Les initiatives d’IA de Google Cloud visent à incliner ces balances en faveur des défenseurs. Johnston a fait valoir que « l’IA offre la meilleure opportunité de renverser le dilemme du défenseur et d’incliner les balances du cyberespace pour donner aux défenseurs un avantage décisif sur les attaquants. » L’approche de l’entreprise se concentre sur ce qu’ils appellent « d’innombrables cas d’utilisation pour l’IA générative en matière de défense », couvrant la découverte de vulnérabilités, le renseignement sur les menaces, la génération de code sécurisé et la réponse aux incidents.
Le Big Sleep de Project Zero : l’IA trouvant ce que les humains ne voient pas
L’un des exemples les plus convaincants de défense alimentée par l’IA de Google est l’initiative « Big Sleep » de Project Zero, qui utilise de grands modèles de langage pour identifier les vulnérabilités dans le code du monde réel. Johnston a partagé des métriques impressionnantes : « Big Sleep a trouvé une vulnérabilité dans une bibliothèque open source en utilisant des outils d’IA générative – la première fois que nous pensons qu’une vulnérabilité a été trouvée par un service d’IA. »
L’évolution du programme témoigne des capacités croissantes de l’IA. « Le mois dernier, nous avons annoncé avoir trouvé plus de 20 vulnérabilités dans différents packages », a noté Johnston. « Mais aujourd’hui, quand j’ai regardé le tableau de bord de Big Sleep, j’ai trouvé 47 vulnérabilités en août qui ont été trouvées par cette solution. »
La progression de l’analyse manuelle par l’homme à la découverte assistée par l’IA représente ce que Johnston décrit comme un passage « du manuel au semi-autonome » des opérations de sécurité, où « Gemini prend en charge la plupart des tâches du cycle de vie de la sécurité de manière constante, déléguant les tâches qu’il ne peut pas automatiser avec suffisamment de confiance ou de précision. »
Le paradoxe de l’automatisation : Promesse et péril
La feuille de route de Google Cloud envisage une progression en quatre étapes : Opérations de sécurité manuelles, Assistées, Semi-autonomes et Autonomes. Dans la phase semi-autonome, les systèmes d’IA géreraient les tâches routinières tout en escaladant les décisions complexes aux opérateurs humains. La phase autonome ultime verrait l’IA « piloter le cycle de vie de la sécurité vers des résultats positifs au nom des utilisateurs. »
Cependant, cette automatisation introduit de nouvelles vulnérabilités. Interrogé sur les risques liés à une trop grande dépendance aux systèmes d’IA, Johnston a reconnu le défi : « Il y a le risque que ce service puisse être attaqué et manipulé. Pour l’instant, quand vous voyez les outils auxquels ces agents sont connectés, il n’y a pas vraiment de bon cadre pour autoriser que c’est l’outil réel qui n’a pas été altéré. »
Curran fait écho à cette préoccupation : « Le risque pour les entreprises est que leurs équipes de sécurité deviennent trop dépendantes de l’IA, laissant éventuellement de côté le jugement humain et laissant les systèmes vulnérables aux attaques. Il est toujours nécessaire d’avoir un ‘copilote’ humain et les rôles doivent être clairement définis. »
Implémentation dans le monde réel : Contrôler la nature imprévisible de l’IA
L’approche de Google Cloud comprend des sauvegardes pratiques pour traiter l’une des caractéristiques les plus problématiques de l’IA : sa tendance à générer des réponses sans rapport ou inappropriées. Johnston a illustré ce défi avec un exemple concret de discordances contextuelles qui pourraient créer des risques commerciaux.
« Si vous avez un magasin de détail, vous ne devriez pas recevoir de conseils médicaux à la place », a expliqué Johnston, décrivant comment les systèmes d’IA peuvent basculer inopinément dans des domaines non liés. « Parfois, ces outils peuvent le faire. » L’imprévisibilité représente une responsabilité importante pour les entreprises déployant des systèmes d’IA en contact avec les clients, où des réponses hors sujet pourraient perturber les clients, nuire à la réputation de la marque, voire créer une exposition juridique.
La technologie Model Armor de Google aborde cela en fonctionnant comme une couche de filtre intelligente. « Avoir des filtres et utiliser nos capacités pour effectuer des contrôles de santé sur ces réponses permet à une organisation d’avoir confiance », a noté Johnston. Le système filtre les sorties de l’IA pour les informations personnellement identifiables, filtre le contenu inapproprié pour le contexte commercial et bloque les réponses qui pourraient être « hors marque » pour l’utilisation prévue par l’organisation.
L’entreprise répond également à la préoccupation croissante concernant le déploiement d’IA fantôme. Les organisations découvrent des centaines d’outils d’IA non autorisés dans leurs réseaux, créant d’énormes failles de sécurité. Les technologies de protection des données sensibles de Google tentent de remédier à cela en scannant sur plusieurs fournisseurs de cloud et systèmes sur site.
Le défi de l’échelle : Contraintes budgétaires contre menaces croissantes
Johnston a identifié les contraintes budgétaires comme le principal défi auquel sont confrontés les CISO de la région Asie-Pacifique, précisément au moment où les organisations sont confrontées à des menaces cybernétiques croissantes. Le paradoxe est saisissant : à mesure que les volumes d’attaques augmentent, les organisations manquent de ressources pour y répondre adéquatement.
« Nous examinons les statistiques et disons objectivement, nous voyons plus de bruit – peut-être pas très sophistiqué, mais plus de bruit signifie plus de frais généraux, ce qui coûte plus cher à gérer », a observé Johnston. L’augmentation de la fréquence des attaques, même lorsque les attaques individuelles ne sont pas nécessairement plus avancées, crée un drain sur les ressources que de nombreuses organisations ne peuvent soutenir.
La pression financière intensifie un paysage de sécurité déjà complexe. « Ils recherchent des partenaires qui peuvent les aider à accélérer cela sans avoir à embaucher 10 personnes de plus ou à obtenir des budgets plus importants », a expliqué Johnston, décrivant comment les responsables de la sécurité sont soumis à une pression croissante pour faire plus avec les ressources existantes alors que les menaces se multiplient.
Des questions cruciales subsistent
Malgré les capacités prometteuses de l’IA de Google Cloud, plusieurs questions importantes persistent. Interrogé sur le fait de savoir si les défenseurs sont réellement en train de remporter cette course aux armements, Johnston a reconnu : « Nous n’avons pas encore vu d’attaques novatrices utilisant l’IA à ce jour », mais a noté que les attaquants utilisent l’IA pour mettre à l’échelle les méthodes d’attaque existantes et créer « une large gamme d’opportunités dans certains aspects de l’attaque. »
Les allégations d’efficacité nécessitent également un examen attentif. Bien que Johnston ait cité une amélioration de 50% de la vitesse de rédaction de rapports d’incident, il a admis que l’exactitude reste un défi : « Il y a des inexactitudes, c’est sûr. Mais les humains font aussi des erreurs. » La reconnaissance met en évidence les limites actuelles des mises en œuvre de sécurité de l’IA actuelle.
Perspectives d’avenir : Préparations post-quantiques
Au-delà des mises en œuvre actuelles de l’IA, Google Cloud se prépare déjà pour le prochain changement de paradigme. Johnston a révélé que l’entreprise a « déjà déployé la cryptographie post-quantique entre nos centres de données par défaut à grande échelle », se positionnant face aux menaces futures de l’informatique quantique qui pourraient rendre obsolètes les cryptages actuels.
Le verdict : Une optimisme prudent est nécessaire
L’intégration de l’IA dans la cybersécurité représente à la fois une opportunité sans précédent et un risque important. Alors que les technologies d’IA de Google Cloud démontrent de véritables capacités en matière de détection de vulnérabilités, d’analyse des menaces et de réponse automatisée, les mêmes technologies donnent aux attaquants des capacités améliorées pour la reconnaissance, l’ingénierie sociale et l’évasion.
L’évaluation de Curran offre une perspective équilibrée : « Étant donné à quelle vitesse la technologie a évolué, les organisations devront adopter une politique de cybersécurité plus complète et proactive si elles veulent rester en avance sur les attaquants. Après tout, les cyberattaques sont une question de ‘quand’, pas de ‘si’, et l’IA ne fera qu’accélérer le nombre d’opportunités offertes aux acteurs malveillants. »
Le succès de la cybersécurité alimentée par l’IA dépend en définitive non pas de la technologie elle-même, mais de la manière dont les organisations mettent en œuvre ces outils de manière réfléchie tout en maintenant une surveillance humaine et en abordant l’hygiène de sécurité fondamentale. Comme l’a conclu Johnston, « Nous devrions adopter ces approches à faible risque », soulignant la nécessité d’une mise en œuvre mesurée plutôt que d’une automatisation totale. La révolution de l’IA en cybersécurité est en cours, mais la victoire appartiendra à ceux qui sauront équilibrer l’innovation avec une gestion prudente des risques – pas à ceux qui déploient simplement les algorithmes les plus avancés.