Alors que l’utilisation de l’intelligence artificielle (IA) par les auteurs de menaces se limite en grande partie à la création de leurres d’ingénierie sociale et de phishing plus efficaces, et que les attaques de ransomware orchestrées par l’IA sont encore loin d’être une réalité – si jamais elles se produisent – 63 % des responsables de la sécurité de l’information au Royaume-Uni (RSSI) estiment que même si la menace potentielle des cyberattaques par l’IA est élevée ou critique, et 62 % reconnaissent qu’ils ne sont pas équipés pour y faire face, les plus grandes menaces pour leur organisation restent les ransomwares, les attaques de la chaîne d’approvisionnement et les vulnérabilités logicielles.
C’est ce qui ressort d’une enquête réalisée auprès des membres du ClubCISO, qui souligne le fait que 40 % des responsables de la sécurité ne souhaitent pas modifier leurs priorités de dépenses, et que 77 % ne modifient pas davantage leurs plans de dépenses pour simplement prendre en compte l’IA.
« Notre enquête auprès des membres montre que, contrairement à certains rapports sur l’IA, les RSSI adoptent une approche mesurée et attentiste avant de prendre des décisions d’investissement majeures », commente Rob Robinson, responsable de Telstra Purple EMEA, qui gère la communauté ClubCISO.
« Même si l’IA a le potentiel d’améliorer toute une série de tactiques d’attaque, comme la création d’attaques d’ingénierie sociale plus convaincantes, les RSSI sont clairement plus préoccupés par les menaces telles qu’elles se présentent aujourd’hui. »
Selon Robinson, cela pourrait refléter l’évolution du rôle du RSSI au cours des dernières années, qui est devenu davantage un « chef d’orchestre stratégique » plutôt qu’un expert technique. Ils sont désormais mieux à même d’équilibrer leur réponse aux nouvelles menaces et de prendre en compte des facteurs tels que la macroéconomie, le risque et les compétences.
Concernant l’IA, pour ceux qui ont choisi de s’en préoccuper maintenant, ils ont surtout pris des mesures de précaution contre les cyberattaques qui s’appuieraient sur GenAI. Il s’agit essentiellement d’intégrer l’IA dans une formation améliorée en matière de cybersécurité, en apprenant aux équipes de sécurité à reconnaître les signes des cyberattaques basées sur l’IA et à s’en défendre, ou à tirer parti de leurs capacités défensives. Moins nombreux sont ceux qui investissent réellement dans des solutions technologiques en réponse à des problèmes spécifiques qui pourraient survenir.
Les résultats de l’enquête suggèrent également que la lutte contre les futures cyberattaques basées sur l’IA ne nécessitera pas un changement radical de priorités ni une amélioration spectaculaire des compétences, ce qui contraste avec les opinions d’autres observateurs. ClubCISO explique que ses membres « maintiennent le cap » sur leurs plans de résilience, et que la croissance de l’IA en tant que vecteur de menace peut encore être gérée en optimisant les capacités et les processus existants.
En effet, même si l’on parle souvent d’un manque de compétences en matière d’IA et de cybersécurité en général, seuls 6 % des responsables de la sécurité recrutent davantage de personnel possédant les compétences nécessaires pour reconnaître et gérer les cyberattaques associées. à l’IA, et à peine plus (7 %) recrutent du personnel possédant les compétences nécessaires pour déployer l’IA de manière défensive.
En France, un bref historique des relations entre IA et cybersécurité montre que, même si les RSSI se sont montrés eux aussi prudents au début, l’IA s’infiltre progressivement dans les stratégies.
