À mesure que les cybercriminels deviennent plus créatifs, utilisant l’IA pour développer des attaques sophistiquées, les organisations font face à des menaces de plus en plus complexes et fréquentes.
Une contribution de George Gerchow, Head of Trust, MongoDB
Une étude de l’Université du Maryland en 2024 a estimé que les pirates informatiques attaquent toutes les 39 secondes. Des appels vidéo en deepfake, aux codes malveillants ciblant les outils d’IA, les pirates font constamment évoluer leurs tactiques.
En conséquence, les entreprises deviennent également créatives. Par exemple, Virgin Media O2 a récemment introduit une “grand-mère” générée par IA nommée Daisy pour faire perdre du temps aux escrocs et protéger ses clients. Mais même des initiatives comme celle-ci ne suffisent pas. Il est vital que les organisations comprennent pleinement l’importance des pirates informatiques dits “white hat” (chapeaux blancs), également connus sous le nom de chercheurs en sécurité. Ces pirates éthiques, qui peuvent aider à identifier les vulnérabilités avant qu’elles ne soient exploitées, devraient être considérés comme des partenaires cruciaux en cybersécurité.
Pourquoi les entreprises ne devraient-elles pas craindre les chercheurs en sécurité ?
Il existe une idée reçue selon laquelle le piratage est par nature dangereux et illégal. Les chercheurs en sécurité démontrent à quel point cette idée est fausse — ce sont des professionnels engagés pour identifier les faiblesses dans les systèmes et les logiciels, afin d’aider les organisations à améliorer leur sécurité, travaillant dans le respect de la loi et des directives éthiques, pour pirater à des fins bénéfiques.
Malheureusement, les cyberattaques contre les entreprises ne sont pas une question de “si”, mais de “quand”. Les chercheurs en sécurité jouent donc un rôle crucial en aidant les organisations à traiter de manière proactive les vulnérabilités. Par exemple, les programmes de “primes aux bugs” — dans lesquels les chercheurs qui découvrent des vulnérabilités peuvent recevoir des récompenses, et qui sont proposés via des plateformes comme HackerOne et bugcrowd — sont un moyen efficace de collaborer avec des pirates éthiques pour trouver et éliminer les bugs. En identifiant et en corrigeant les faiblesses avant qu’elles ne deviennent des problèmes critiques, les chercheurs en sécurité aident les organisations à éviter des catastrophes majeures.
Pirater de manière efficace et éthique
Les organisations doivent définir des périmètres d’intervention clairs lorsqu’elles collaborent avec des chercheurs en sécurité. Ces accords précisent ce qui peut être testé, comment il sera testé et ce qui est hors limites, fournissant ainsi un cadre de travail précis. En respectant ces accords, les organisations peuvent également assurer leur conformité avec les réglementations comme le RGPD et les normes spécifiques à leur secteur, maintenant ainsi leurs opérations juridiquement solides.
Il est crucial de se rappeler que les chercheurs en sécurité — des professionnels qui utilisent leurs compétences à des fins défensives — doivent opérer strictement dans les limites de la loi. Tout écart par rapport au périmètre convenu risque de basculer dans le territoire des pirates “grey hat” ou “black hat”, où les activités peuvent être contraires à l’éthique, illégales ou nuisibles. En travaillant exclusivement avec des pirates éthiques qui suivent des cadres légaux établis, les organisations peuvent renforcer leur position en matière de cybersécurité tout en maintenant la transparence et la conformité.
L’arrivée de l’IA
L’essor de l’IA a changé la donne pour le piratage éthique. Tout comme les pirates malveillants peuvent utiliser l’IA pour élaborer des attaques sophistiquées, les chercheurs en sécurité peuvent l’utiliser pour améliorer leurs tests et leurs évaluations des vulnérabilités. Les outils d’IA peuvent aider à automatiser certaines parties du processus de piratage éthique, permettant aux “white hats” d’analyser rapidement de grands volumes de trafic réseau et d’identifier les vulnérabilités. En effet, l’IA peut également simuler des scénarios d’attaque complexes, permettant aux organisations et aux pirates éthiques de comprendre comment les pirates malveillants pourraient exploiter un système. L’utilisation de l’IA accélère également des tâches comme l’analyse et l’exploitation des vulnérabilités, libérant ainsi les chercheurs en sécurité pour qu’ils puissent se concentrer sur des défis en sécurité plus complexes.
Équilibre, entre risques et opportunités
Bien sûr, nous ne pouvons pas oublier le rôle que joue déjà l’IA dans les cyberattaques malveillantes. Les campagnes de phishing basées sur l’IA, par exemple, utilisent l’apprentissage automatique pour créer des emails convaincants et imiter des personnes de confiance — comme un “PDG” exigeant que les membres juniors de l’équipe se connectent à des liens externes ou effectuent des achats rapides.
Face à ces menaces, les organisations doivent privilégier des stratégies qui traitent à la fois les vulnérabilités humaines et technologiques. L’implication des chercheurs en sécurité est la clé pour conquérir ce front : utiliser l’IA pour simuler des attaques basées sur l’IA et identifier les faiblesses dans les défenses d’une entreprise permet aux organisations de garder une longueur d’avance sur des cyberattaques en constante évolution.
Réflexions finales
Les organisations doivent accueillir les pirates éthiques comme des alliés précieux dans leur stratégie de cybersécurité. En identifiant les vulnérabilités avant qu’elles ne soient exploitées, les entreprises peuvent anticiper les menaces potentielles, tout en opérant dans des périmètres de travail clairement définis et conformes aux réglementations.
L’IA est un outil puissant et son développement et sophistication ont connu une croissance fulgurante ces dernières années. Puisque l’IA est là pour rester, il faut l’adopter pour prévenir les dangers qu’elle peut causer. Heureusement, les pirates “white hat” sont idéalement positionnés pour l’utiliser afin de protéger les entreprises de manière éthique.
À lire également : Cybersécurité : l’IA générative sonnera-t-elle le glas des mots de passe ?
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits
