À l'approche de 2024, l'engouement pour l'IA semble s'approcher de l'inévitable phase de désillusion. L'excitation initiale entourant le potentiel de l'IA en matière de cybersécurité ralentit à mesure que l'industrie prend le temps d'évaluer les coûts de l'IA par rapport à la valeur réelle qu'elle apporte. Dans ce blog, les experts de Vectra AI présentent leurs prévisions pour 2025 et soulignent les éléments que les équipes de sécurité, les RSSI et les responsables SOC doivent garder à l'esprit à l'approche de la nouvelle année.
L'essor de l'IA autonome et la perte de vitesse des copilotes IA
Oliver Tavakoli, Chief Technology Officer, prévoit que l'enthousiasme initial suscité par les copilotes de sécurité commencera à diminuer à mesure que les organisations évalueront leurs coûts par rapport à la valeur réelle apportée. Nous assisterons alors à une évolution vers des systèmes d'IA plus autonomes.
Contrairement aux copilotes d'IA, ces solutions autonomes sont conçues pour fonctionner de manière indépendante et ne nécessitent qu'une intervention humaine minimale. À partir de l'année prochaine, les efforts de marketing mettront de plus en plus en avant ces modèles d'IA autonomes comme la prochaine frontière de la cybersécurité, en vantant leur capacité à détecter, à répondre et même à atténuer les menaces en temps réel, le tout sans intervention humaine.
Distinguished AI Researcher Sohrob Kazerounian est d'accord, affirmant que lorsque l'engouement pour la GenAI commencera à s'estomper, l 'industrie de la sécurité se tournera vers les modèles d'IA agentique en 2025 comme principal moyen de créer des systèmes d'IA robustes, de niveau de production et prêts à être examinés par les clients. Contrairement aux premières approches de travail avec de grands modèles de langage (LLM), les approches agentiques feront de plus en plus appel à des "agents" LLM qui ont été incités, affinés et qui n'ont accès qu'aux outils nécessaires pour atteindre un objectif bien défini et particulier, plutôt que d'être chargés d'une mission complète de bout en bout.
Cependant, nous ne devrions pas trop anthropomorphiser ces agents. Imaginez que l'on demande à une personne de résoudre une tâche complexe en une seule fois, sans la décomposer en sous-tâches nécessaires à sa réalisation. Au contraire, le modèle agentique décompose les objectifs de haut niveau en sous-tâches bien définies, et définit et équipe les agents individuels de la capacité d'exécuter chacun de ces sous-objectifs. En permettant aux agents d'interagir, de s'examiner mutuellement, etc., ils peuvent collaborer entre eux d'une manière qui améliore en fin de compte la précision et la robustesse des modèles d'IA génétiques.
Les attaquants deviendront plus sophistiqués avec l'IA et exploiteront les chatbots GenAI
Les défenseurs ne seront pas les seuls à utiliser l'IA de manière de plus en plus sophistiquée. Le député Tim Wade ( Chief Technology Officer ) prévoit qu'en 2025, nous commencerons à voir apparaître une distinction claire entre les groupes qui appliquent l'IA de façon magistrale et ceux qui l'adoptent de façon plus simpliste. Les attaquants qui exploiteront habilement l'IA seront en mesure de couvrir plus de terrain plus rapidement, de mieux adapter leurs attaques, de prévoir les mesures défensives et d'exploiter les faiblesses de manière très adaptative et précise.
Sharat Nautiyal, directeur de l'ingénierie de sécurité pour APJ, prévoit que d'ici 2025, cybercriminels devrait exploiter l'IA pour l'accès initial par le biais de tactiques telles que les deepfakes et les phishing sophistiquées. L'IA évoluera, mais les comportements fondamentaux des attaquants, tels que l'établissement d'un point d'ancrage et d'un tunnel de commande et de contrôle, l'abus d'identité et le déplacement latéral, persisteront.
M. Kazerounian pense que les chatbots GenAI seront à l'origine de violations de données très médiatisées en 2025. Il affirme que nous entendrons parler de nombreux cas où cybercriminels a piégé une solution Gen AI d'entreprise en lui faisant divulguer des informations sensibles et en provoquant des violations de données très médiatisées. De nombreuses entreprises utilisent la Gen AI pour créer des chatbots destinés aux clients afin de les aider dans tous les domaines, des réservations au service client. En effet, pour être utiles, les LLM doivent en fin de compte se voir accorder l'accès aux informations et aux systèmes afin de répondre aux questions et de prendre des mesures qui auraient autrement été confiées à un humain. Comme pour toute nouvelle technologie, nous verrons de nombreuses entreprises accorder aux LLM l'accès à d'énormes quantités de données potentiellement sensibles, sans tenir compte des considérations de sécurité appropriées.
En raison des moyens apparemment simples et humains par lesquels nous pouvons "instruire" les LLM (c'est-à-dire le langage naturel), de nombreuses organisations négligeront les diverses façons dont les attaquants peuvent s'échapper d'un chat pour faire en sorte que ces systèmes se comportent de manière non voulue. Pour compliquer les choses, les praticiens de la sécurité qui n'ont pas suivi l'évolution de la technologie LLM risquent de ne pas connaître ces types de jailbreaks. Par exemple, les jailbreaks peuvent se produire à partir d'interactions apparemment disparates, comme des utilisateurs demandant à un LLM de commencer sa réponse par une phrase particulière (par exemple, "Bien sûr, je serais ravi de vous aider avec cela"). cybercriminels pourrait également demander à un LLM de prétendre qu'il est un auteur de romans fictifs, écrivant une histoire qui inclut les secrets protégés que votre organisation essaie de garder hors des mains des attaquants. Dans les deux cas, le monde des attaques contre les LLM ne ressemblera à rien de ce que nous avons vu par le passé dans des contextes de sécurité plus traditionnels.
La surcharge réglementaire donnera l'avantage aux attaquants
Christian Borst, EMEA Chief Technology Officer, prédit qu'à l'horizon 2025, l'importance croissante accordée à la conformité réglementaire commencera à submerger les défenseurs, donnant par inadvertance l'avantage aux attaquants. Les équipes sont déjà surchargées et consacrent des ressources importantes au respect des exigences de conformité qui, bien qu'essentielles, peuvent parfois détourner l'attention de stratégies plus dynamiques de détection et de réponse aux menaces. Cette approche centrée sur la conformité risque de créer une mentalité de liste de contrôle où les organisations se concentrent sur les cases à cocher plutôt que sur la mise en place d'une posture de sécurité holistique et proactive.
Massimiliano Galvagna, Country Manager pour l'Italie, est d'accord, affirmant que l'attention accrue portée à la conformité réglementaire introduite par des réglementations telles que la directive NIS2 de l'UE pourrait risquer de submerger les organisations, ce qui permettrait aux attaquants de prendre plus facilement l'avantage. Pour contrer ce danger, les organisations devront trouver un meilleur équilibre entre le respect de la réglementation et la gestion adaptative des menaces en investissant dans des technologies telles que les outils de cybersécurité basés sur l'intelligence artificielle qui peuvent aider à automatiser à la fois les efforts de conformité et de défense.
L'IA va créer une "course de la reine rouge" qui modifiera le rythme de l'innovation en matière de cybersécurité
Que doivent donc faire les organisations ? Selon M. Borst, les progrès de l'IA donnant aux cybercriminels les outils dont ils ont besoin pour mener des attaques plus rapides et plus ciblées, les organisations devront déployer des efforts considérables pour rester résilientes. À l'instar de la théorie de l'évolution de la course de la Reine rouge - basée sur le conte "À travers le miroir" de Lewis Carroll - nous sommes dans un nouveau monde, participant à une course qui s'accélère constamment. Il ne suffit plus de suivre le rythme, et ceux qui le font risquent l'extinction.
Les équipes SOC doivent agir plus rapidement qu'en 2024 pour rester à la pointe de la technologie et créer une réserve d'innovation en cas d'évolution majeure des techniques d'attaque. Cela peut se produire à tout moment, par exemple, un nouveau développement GenAI pourrait donner aux attaquants une puissance de frappe supplémentaire que les organisations ne sont peut-être pas prêtes à gérer.
Pour accélérer leur rythme d'innovation et gagner la course de la Reine rouge, les organisations doivent se concentrer sur l'optimisation de leur pile de sécurité, en s'assurant qu'elles se concentrent sur des solutions qui peuvent couper à travers tout le bruit et les aider à identifier et à répondre aux menaces plus rapidement à l'avenir.