Ce que vos outils ignorent à 2 h 13 : Comment les chaînes d'attaque de l'IA de génération exploitent le décalage de télémétrie – Partie 1

Il est 2h13 du matin un dimanche et les pires cauchemars des équipes du SOC sont sur le point de se réaliser.

Des attaquants à l'autre bout du monde lancent une attaque de grande envergure contre l'infrastructure de l'entreprise. Grâce à de multiples terminaux non corrigés et n'ayant pas été mis à jour depuis 2022, ils ont réussi à pénétrer son périmètre en moins d'une minute.

Des attaquants dotés des compétences d'une équipe d'un État-nation visent Active Directory pour verrouiller l'ensemble du réseau et créer de nouveaux privilèges d'administrateur qui empêcheront toute tentative de fermeture. Pendant ce temps, d'autres membres de l'équipe d'attaque déploient des légions de robots conçus pour collecter des gigaoctets de données clients, employés et financières via une API qui n'a jamais été désactivée après la dernière version majeure du produit.

Au sein du SOC, des alertes s'allument sur les consoles, comme le dernier Grand Theft Auto sur Nintendo Switch. Les analystes du SOC sont alertés sur leurs téléphones portables, essayant de se remettre d'une nouvelle semaine de six jours durant laquelle beaucoup ont travaillé près de 70 heures.

Le RSSI reçoit un appel vers 2 h 35 du fournisseur MDR de l'entreprise, l'informant qu'une faille de sécurité de grande ampleur est en cours. « Ce n'est pas notre équipe comptable mécontente, n'est-ce pas ? Celui qui a essayé un “Espace de bureau” n'est pas encore à l'œuvre, n'est-ce pas ? » demande le RSSI, à moitié endormi. Le responsable de l'équipe MDR répond que non, qu'il s'agit d'une faille en provenance d'Asie, et qu'elle est importante.

L'IA générative crée une diaspora numérique de techniques, de technologies et de savoir-faire que tout le monde adopte, des attaquants malveillants aux cyberarmées d'États-nations entraînées à l'art de la cyberguerre. Les menaces internes se multiplient également, accélérées par la précarité de l'emploi et l'inflation galopante. Tous ces défis, et bien d'autres, reposent sur les épaules des RSSI, et il n'est pas étonnant que davantage de personnes soient confrontées à l'épuisement professionnel.

L'essor fulgurant de l'IA, tant pour des usages conflictuels que légitimes, est au cœur de tout cela. Exploiter pleinement les avantages de l'IA pour améliorer la cybersécurité tout en réduisant les risques est l'objectif que les conseils d'administration encouragent les RSSI.

Ce n'est pas une tâche facile, car la sécurité de l'IA évolue très rapidement. Dans sa dernière étude Dataview sur la sécurité et la gestion des risques , Gartner s'est penché sur la manière dont les dirigeants réagissent à la génération d'IA. L'étude révèle que 56 % des organisations déploient déjà des solutions d'IA, mais que 40 % des responsables de la sécurité reconnaissent des lacunes importantes dans leur capacité à gérer efficacement les risques liés à l'IA.

L'IA de génération est principalement déployée dans le domaine de la sécurité des infrastructures : 18 % des entreprises y sont pleinement opérationnelles et 27 % y déploient activement des systèmes basés sur l'IA de génération. Viennent ensuite les opérations de sécurité, où 17 % des entreprises utilisent pleinement des systèmes basés sur l'IA de génération. La sécurité des données arrive en troisième position, avec 15 % des entreprises utilisant des systèmes basés sur l'IA de génération pour protéger leurs systèmes de stockage de données cloud, hybrides et sur site, ainsi que leurs lacs de données.

L'IA de génération a complètement réorganisé le paysage des menaces internes de chaque entreprise, rendant les menaces internes plus autonomes, insidieuses et difficiles à identifier. L'IA fantôme est le vecteur de menace qu'aucun RSSI n'aurait imaginé il y a cinq ans, et elle constitue aujourd'hui l'une des surfaces de menace les plus poreuses.

« Je constate cela chaque semaine », a récemment déclaré Vineet Arora, directeur technique de WinWire , à VentureBeat. « Les services se tournent vers des solutions d'IA non autorisées, car les avantages immédiats sont trop tentants pour être ignorés. » Arora s'empresse de souligner que les employés ne sont pas intentionnellement malveillants. « Il est crucial pour les organisations de définir des stratégies dotées d'une sécurité robuste tout en permettant aux employés d'utiliser efficacement les technologies d'IA », explique Arora. « Les interdictions totales poussent souvent l'IA à la clandestinité, ce qui ne fait qu'amplifier les risques. »

« Nous voyons 50 nouvelles applications d'IA par jour, et nous en avons déjà répertorié plus de 12 000 », a déclaré Itamar Golan, PDG et cofondateur de Prompt Security , lors d'une récente interview avec VentureBeat. « Environ 40 % d'entre elles s'entraînent par défaut sur les données que vous leur fournissez, ce qui signifie que votre propriété intellectuelle peut être intégrée à leurs modèles. »

Les modèles de détection traditionnels basés sur des règles ne suffisent plus. Les équipes de sécurité les plus performantes se tournent vers des analyses comportementales basées sur l'IA de génération génératrice, qui établissent des bases de référence dynamiques des activités des employés, permettant ainsi d'identifier les anomalies en temps réel et de contenir les risques et les menaces potentielles.