Le boom de l’intelligence artificielle générative, que vous connaissez très certainement à travers ChatGPT, a commencé à impacter de nombreux secteurs d’activités, fonctions et pratiques, dans les entreprises.
Cependant, si les possibilités offertes par cette technologie sont très impressionnantes, elle présente également des défis en termes de sécurité des systèmes informatiques, pour de nombreuses PME peu formées sur le sujet.
Nous souhaitions donc faire le point, et vous donnez quelques bases indispensables pour mieux appréhender l’IA générative.
L’IA générative : l’effet waouh au premier regard
Pour faire simple, l’IA générative est une technologie qui utilise des algorithmes pour produire du contenu sur demande, à partir d’une base de données.
Par exemple, ChatGPT est aujourd’hui capable de générer des textes relativement convaincants, dans un style humain, à partir de simples instructions, également appelés « prompts », de type « Je souhaiterais que tu me rédiges un scénario de film d’aventure, autour de 2 amis qui traversent les Alpes en tongs ». Vous avez entendu parler de la grève des scénaristes aux Etats-Unis, eh bien en voilà la cause !
Le scénario proposé est court mais la trame pourrait tout à fait être celle d’un film Netflix… Je n’ai pas dit « bon » film 😉
Autres exemples, Midjourney ou DALL-E permettent de générer des images, toujours à partir d’une simple requête. Et les résultats sont de plus en plus bluffants.
Car oui, ces intelligences artificielles apprennent (ce qu’on appelle le « Machine Learning ») et progressent très vite.
En mars dernier, OpenAI (la société à l’origine de ChatGPT) a fait évoluer son algorithme. Plus fiable, plus créatif et plus nuancé que ses versions antérieures, GPT4 est par exemple désormais capable de vous donner des idées de recettes grâce à une photo de l’intérieur de votre frigo, ou de créer une web app à partir d’un simple croquis papier :
gpt-4 can turn your napkin sketch into a web app, instantly.
we are deep into uncharted territory here.pic.twitter.com/V5HtYHgS6u
— Siqi Chen (@blader) March 14, 2023
Une technologie qui peut améliorer la productivité de votre entreprise…
Dans le cadre de l’entreprise, l’IA générative attire de plus en plus car elle peut être utilisée pour améliorer la productivité.
Par exemple, si votre service marketing doit rédiger un article de blog ou une présentation commerciale, il est tout à fait possible de lui demander de générer un plan ou une base de rédaction pour démarrer.
A la demande « Peux-tu me générer un plan pour une présentation commerciale pour une solution de détection de phishing par Intelligence Artificielle ? », ChatGPT m’a proposé un plan tout à fait exploitable…et m’a même souhaité bonne chance à la fin !
Globalement, si vous cherchez des idées, à gagner du temps, à automatiser des tâches répétitives (ou sans grande valeur ajoutée), alors oui, l’IA peut être utile, à condition de trouver l’outil qui convient à vos besoins, à votre budget…et votre politique de sécurité informatique (nous y reviendrons).
Bien sûr, vous imaginez bien que tout n’est pas parfait…
L’IA générative peut également être exploitée par des personnes malintentionnées, et participe de ce fait à l’augmentation des risques pour la sécurité informatique des entreprises.
…mais qui présente également un risque pour la sécurité informatique des PME
Dans un précédent article, nous avions abordé le sujet du phishing. L’arnaque par email a toujours autant la cote…car sa marge de progression est assez grande.
Rappelez-vous, l’objectif d’un phishing est d’imiter une personne ou un organisme de confiance, pour vous piéger.
Eh bien cette imitation est rendue de plus en plus simple pour les cyberattaquants, grâce à l’IA générative, capable d’imiter le style de communication d’une personne ou d’une organisation, de manière très convaincante.
L’arnaque devient donc plus difficile à repérer pour un utilisateur, même averti.
A la demande « Peux-tu imiter un email de la mairie de Rennes à destination des habitants de l’agglomération sur le sujet suivant « Changement des horaires de bus à partir de septembre » ? », ChatGPT m’a encore une fois proposé un contenu tout à fait exploitable.
L’IA peut également être utilisée pour créer des deepfakes, des vidéos ou des images truquées qui peuvent être utilisées pour diffuser de fausses informations ou nuire à la réputation d’une personne ou d’une organisation.
Exemple de deepfake de Morgan Freeman
Dans ce contexte, les petites et moyennes entreprises sont particulièrement vulnérables aux risques de sécurité associés à l’intelligence artificielle.
L’insuffisance des mesures de sécurité
A moins d’être bien accompagnées par leur partenaire informatique, les PME disposent rarement des ressources nécessaires en interne pour mettre en place des mesures de sécurité informatique adaptées. Même en étant pleinement conscientes des enjeux.
Il est ainsi très facile d’imaginer qu’un employé puisse être victime d’une attaque par phishing, via un email imitant parfaitement le style de communication d’un collègue.
Si ce dernier s’exprime régulièrement sur les réseaux sociaux, une IA générative peut tout à fait s’inspirer de ces publications pour créer de faux messages convaincants.
Ce n’est plus de la science-fiction.
Le piège de l’innovation
Une entreprise peut également voir l’IA sous le seul prisme de l’innovation positive qui peut aider à améliorer la productivité et l’efficacité des équipes…
…et ne pas (vouloir) voir les risques de sécurité associés.
Il est par exemple très facile pour une IA de générer du code pour la création d’une application métier. Mais en pratique, ces codes sont généralement truffés de vulnérabilités potentiellement dangereuses pour la sécurité information de l’entreprise.
Comment les entreprises peuvent-elles se protéger contre les risques de l’IA générative ?
Face à ces risques, il est donc essentiel pour les entreprises de prendre des mesures afin de mieux appréhender l’IA dans son ensemble, et se protéger efficacement.
1. Sensibiliser et former ses employés
Impossible d’y échapper, cybersécurité et formation des utilisateurs sont indissociables. Tous les utilisateurs du système informatique de l’entreprise doivent être sensibilisés aux risques associés à l’IA, et être formés pour détecter les menaces.
Vous pouvez déjà leur partager cet article dans un premier temps !
2. Mettre en place des mesures de sécurité efficaces
C’est évidemment un pré-requis pour toute entreprise qui prend le sujet au sérieux, il est impératif de mettre en place des mesures de sécurité informatique robustes, notamment pour se protéger contre les attaques basées sur l’IA générative.
Cela peut aussi bien inclure des mesures de sécurisation des accès telles que la double authentification, ou de protection du réseau telles qu’un anti-malwares ou un firewall.
3. Utiliser l’IA pour détecter et contrer les attaques
Eh oui, les entreprises peuvent également utiliser l’IA pour détecter et contrer les attaques…basées sur l’IA.
En effet, qu’il s’agisse de filtrer des emails, de détecter des intrusions, d’analyser des volumes importants données ou encore d’identifier des malwares, l’intelligence artificielle est capable de traiter ces situations de manière automatique, beaucoup plus efficacement et rapidement qu’un humain.
Attention, toutes les solutions d’IA ne se valent pas et toutes ne conviennent pas forcément aux besoins de votre entreprise. Faites le point sur la question avec votre partenaire IT avant de vous lancer.
Mettez en place une stratégie d’IA
En résumé, au-delà du battage médiatique, l’IA générative est une technologie qui devrait continuer à progresser et à laquelle il faut s’intéresser : parce qu’elle offre de nombreuses opportunités en termes de productivité et de cybersécurité, mais également parce qu’elle constitue une nouvelle menace pour la sécurité informatique des entreprises.
L’objectif est de réussir, en lien avec votre RSSI (interne ou externe), à élaborer une stratégie dédiée, un cadre global, autour de l’utilisation de l’IA, en prenant en compte les aspects productivité ET sécurité, mais également juridiques, éthiques et opérationnels.
N’ayez pas peur de commencer « petit », le plus important dans un premier temps est de s’intéresser au sujet et de définir un premier périmètre.
