L’IA générative, avec ses promesses de transformation, bouleverse le monde de la cybersécurité. La précipitation à intégrer ces technologies sans évaluation approfondie des risques menace de saper la crédibilité durement acquise par l’IA dans ce domaine. Éviter le piège du marketing excessif et assurer une transparence totale sont essentiels pour préserver la crédibilité des IA des solutions de cybersécurité.
Dans le paysage technologique en constante évolution, l’intelligence artificielle (IA) a toujours été une source d’espoir et de promesses, souvent présentée comme une solution miracle pour de nombreux domaines. La cybersécurité, où les enjeux sont cruciaux, n’a pas échappé à cet engouement. Les fournisseurs de solutions, en quête incessante de solutions contre les cybermenaces, ont parfois présenté leurs produits comme dotés de capacités d’intelligence artificielle avancées, alors qu’il s’agissait en réalité de fonctionnalités préprogrammées. Nombre de « solutions IA » ne sont que des fonctionnalités préprogrammées agrémentées d’une pincée de statistiques.
Pendant des années, le rôle de l’IA dans la cybersécurité a été accueilli avec scepticisme, et à juste titre. L’industrie a appris, à ses dépens, que la voie de la crédibilité passait par une transparence sans faille concernant les capacités de l’IA. Moins d’automatisation, moins de « magie », et une reconnaissance plus claire de ce qui se passait réellement sous le capot : l’apprentissage automatique (machine learning), pur et simple. Cette approche, bien qu’elle manque de l’allure des grandes promesses de l’IA, représentait un véritable progrès. Elle offrait une base solide sur laquelle la crédibilité de l’IA dans la cybersécurité a commencé à se construire lentement.
Mais l’arrivée, ou plutôt le déferlement de l’IA générative a de nouveau bouleversé le monde de la cybersécurité. Nous risquons de retomber dans les travers du passé, menaçant de saper la respectabilité durement acquise par l’IA dans notre domaine. L’IA générative, avec tout son potentiel, risque de raviver la flamme d’une communication excessive que la cybersécurité commençait à peine à dompter. L’utilisation de l’IA comme gadget marketing, sans évaluation objective de ses effets, est une source d’inquiétude majeure.
L’intégration de solutions basées sur l’IA, comme ChatGPT, dans les outils de cybersécurité soulève de vives inquiétudes. Cette précipitation est particulièrement flagrante et dangereuse. En effet, l’implémentation de modèles d’IA générative comme éléments centraux de la sécurité, sans une évaluation approfondie des risques et implications, est effrayante.
Diffuser des vulnérabilités sur internet vers un éditeur de LLM privé, sous couvert d’exploiter l’IA générative, est un pari inconsidéré. Cette approche trahit une méconnaissance profonde des enjeux cruciaux de la cybersécurité.
Au-delà des biais potentiels et difficilement maîtrisables des modèles ou encore de la validité discutable des jeux de données d’entraînement, le niveau de transparence nécessaire à la mise à disposition de toute solution de sécurité est très difficile à obtenir pour une IA générative tant le nombre de paramètres est important. C’est sans commune mesure avec l’effort nécessaire pour expliquer un modèle de machine learning, ce qui n’était déjà pas simple. Malheureusement, s’il est un domaine sur lequel nombre d’éditeurs font l’impasse, c’est bien la transparence. Le marketing de “la magie de l’IA” l’emporte bien trop souvent sur le rationnel.
Soyons lucides : les modèles de langage à grande échelle (LLM) et l’IA générative ne sont pas à négliger dans le domaine de la cybersécurité. Ils recèlent un potentiel indéniable pour innover et simplifier certains aspects de la sécurité. Plus particulièrement dans le domaine de l’interaction homme-machine, augmenter l’humain est une mission dans laquelle les LLM peuvent particulièrement s’illustrer pour trouver plus rapidement des indicateurs de présence et des solutions à des attaques complexes.
Ainsi, leur intégration dans notre arsenal de sécurité exige une approche prudente, pragmatique et mesurée. La précipitation à adopter ces technologies, motivée par l’attrait du marketing et la pression de rester à la pointe, ne doit pas se faire au détriment de la crédibilité de l’IA dans la cybersécurité.
La voie à suivre exige un équilibre délicat. Nous devons exploiter le potentiel de la Gen AI tout en restant conscients des responsabilités uniques qui incombent au domaine de la sécurité. Cela implique des tests rigoureux, une reconnaissance transparente des limitations et un refus catégorique de laisser les discours marketing dépasser la réalité de ce que l’IA peut et ne peut pas faire pour la cybersécurité. En suivant cette voie, nous pouvons nous assurer que l’IA continuera à évoluer comme un allié précieux dans notre lutte continue contre les cybermenaces.
____________________________
Par Fanch Francis, Co-fondateur et pdg de NanoCorp
puis