L’intelligence artificielle devient incontournable dans de nombreux métiers. En cybersécurité, est-elle une fidèle assistante ou un dangereux maître ?
Olivier Ligneul – L’IA est indispensable à plus d’un titre en cybersécurité. D’une part, c’est une technologie qui va être utilisée massivement par nos métiers, pour un certain nombre de finalités dont nous ne connaissons pas toutes les évolutions. De ce point de vue, il faut donc s’y intéresser. Il faut en vérifier les dangers, comment la présenter et comment, éventuellement, participer à sa régulation. Mais aussi, l’IA devient un outil redoutable voire extrêmement dangereux pour les acteurs de la cybersécurité. Cela m’apporte déjà beaucoup de valeur ajoutée de pouvoir faire notre travail, de pouvoir se multiplier. Entre les mains des attaquants, cet outil devient aussi très dangereux, lorsqu’il est utilisé à des fins belliqueuses. L’automatisation existait déjà, mais l’IA permet de virtualiser toute une armée d’actes malveillants. Un très petit nombre d’individus peut ainsi coordonner des attaques de grande ampleur, qu’il faut, à tout le moins, questionner.
Exemples de biais ou d’hallucinations en cybersécurité ?
Il ne faut pas prétendre que l’IA fera des choses qu’elle ne pourra jamais faire. Nous n’aurons pas l’IA des films 2001 : L’Odyssée de l’espace, Terminateur Et Skynet. Cela étant dit, l’IA permet toujours à son utilisateur d’avoir une sorte de conscience augmentée. Elle peut aussi devenir un outil très intéressant d’acculturation et de protection des actifs sensibles pour un RSSI.
Voyez-vous des perspectives d’amélioration dans vos environnements ?
Oui, et pas seulement avec l’IA. Pour une meilleure intégration de la sécurité, je note que les automatisations, les mécanismes et les moyens de gouvernance autour de l’IT et de l’OT [technologies d’exploitation] se structurent. Nous attirons l’attention des directeurs techniques et des directeurs d’organisation sur la gestion sécurisée de leurs activités. De ce point de vue, cela ouvre encore davantage la communauté RSSI à un ensemble d’acteurs du numérique et des objets connectés. Nous pouvons ainsi créer des passerelles entre eux.
Devons-nous redoubler de prudence face aux multiples dépendances entre systèmes IoT, systèmes industriels et systèmes informatiques ?
Selon moi, il faut avant tout s’adapter aux contextes d’emploi. C’est la démarche que nous menons au sein du groupe EDF. Le contexte d’emploi d’un OT n’est pas celui d’un IT. La finalité d’un système industriel est de continuer à produire de manière cohérente. Les enjeux de l’IT sont plutôt la confidentialité, la production de masse, la standardisation et l’ouverture sur l’extérieur où certains mondes sont dangereux. Nous sommes plutôt assez convergents au sein du groupe EDF, où nous évoquons régulièrement la question, notamment avec les automaticiens. Nous voyons les prémices d’une convergence technologique. Il y aura des contextes d’emploi différents pendant longtemps, mais du point de vue de la technologie et des acteurs, il est assez probable que cela converge.
La cybersécurité est-elle intégrée à la conception des dernières centrales nucléaires ?
A l’époque où les premières centrales nucléaires ont été construites, il n’y avait pas encore de cybersécurité by design. En fait, il n’y avait pas d’informatique, on était plutôt dans l’électronique. Depuis, le monde a changé. Désormais, les préoccupations de cybersécurité sont prises en compte dans tous nos travaux, dès la conception. Nos autorités ont légiféré et sont très intégrées dans la réflexion et la validation des différents éléments retenus en lien avec la cybersécurité. De la même manière, sur tous nos travaux et chantiers, nous intégrons également la cybersécurité dès qu’il y a un peu de numérique.
Les équipes EDF participent-elles à des cas d’usage ou à des projets de recherche cyber ?
Oui, notre entité R&D compte 2 000 chercheurs, dont une cinquantaine d’ingénieurs en cybersécurité qui travaillent sur des méthodes formelles de validation de l’exécution des algorithmes, sur des problématiques d’homomorphisme ou encore sur la sécurité quantique. Nous nous tenons informés des évolutions technologiques et des résultats de la recherche académique. Un de nos centres de R&D a également été construit à Saclay pour faciliter les collaborations avec d’autres centres de recherche, notamment dans le domaine de l’IA.
Pouvez-vous résumer votre parcours professionnel et vos responsabilités ?
Après avoir obtenu mon diplôme d’ingénieur, j’ai travaillé dans le monde des télécoms jusqu’à la fin des années 1990. J’ai travaillé sur les infrastructures réseaux et les data centers. Plus récemment, j’ai travaillé sur la cybersécurité, dans le cadre de mon intégration à l’ANSSI, fin 2009 lors de la création de l’agence. Puis, pendant sept ans, d’abord comme responsable des activités de conseil et d’assistance, où j’ai accompagné plusieurs ministères. Après une cyberattaque majeure, j’ai rejoint le Secrétariat général des ministères de l’Economie et des Finances, jusqu’en 2015. A cette époque, j’ai rejoint le groupe EDF où, en tant que directeur de la cybersécurité, je suis responsable de la cybersécurité de l’ensemble des filiales et divisions du groupe, industrielles et informatiques.
Des missions associatives complémentaires ?
J’ai progressivement participé aux activités de l’écosystème de la cybersécurité. J’ai contribué à la création de TOSIT (« The Open Source I Trust »), une association qui rassemble de grandes entreprises et des ministères pour sécuriser différents environnements open Source. Au sein du Cesin, ce club de plus de 1 000 RSSI, je m’attache à animer la communauté des grandes entreprises et des administrations. Enfin, en tant que président du club EBIOS qui promeut la méthode d’analyse des risques éditée par l’ANSSI, je soutiens les évolutions de cette méthode.
Photo: © DR
