1. Faire face à la rapidité d'évolution de la Gen AI
À mesure que l'IA générative évolue et que son adoption par les entreprises augmente, les responsables de la sécurité doivent s’adapter et apprendre les nuances de cette technologie. Ils doivent se familiariser avec la manière dont la Gen IA est utilisée de manière offensive par les cybercriminels. Dans le même temps, il est essentiel qu’ils mettent en œuvre des défenses de sécurité alimentées par l'IA pour contrecarrer ces attaques.
Bien que 60 % des entreprises déclarent utiliser l'IA générative, seulement 20 % d'entre elles ont établi une politique interne sur le recours à l'IA par les employés et la plupart d’entre elles ne font qu'atténuer des risques évidents tels que l'inexactitude et la violation de la propriété intellectuelle (McKinsey Global Survey on State of AI 2023). Mais il existe d’autres risques importants tels que les nouveaux déploiements d'infrastructures, l'exploitation des API de ML, la compromission de la supply chain et l'élaboration de données antagonistes pour contourner les protections. Les responsables de la sécurité doivent donc être en première ligne pour accompagner l'utilisation et l’évolution de l’IA dans l'entreprise d'une manière sûre, éthique et sécurisée.
2. Comprendre le dispositif en place
Il est indispensable de comprendre les bases des systèmes et fondamentaux IA ; ce n'est qu'à cette condition qu'il est possible de développer des mesures de sécurité. Au fur et à mesure de l’adoption de modèles d’IA par les différents services de l'entreprise, il est conseillé de mettre en place proactivement des règles pour utiliser ces applications d’IA sans compromettre la confidentialité, l'intégrité et la disponibilité de l’entreprise. Ainsi, les services tels que les achats, la GRC, la protection de la vie privée, le service juridique et l'audit, doivent mettre à jour ou, dans certains cas, élaborer des politiques et des procédures entièrement dédiées pour garantir une IA éthique, la gouvernance des données, la conformité réglementaire, l'atténuation des biais et la confidentialité des clients. Pour tirer pleinement parti de la puissance de l'IA générative, de nombreuses approches devront probablement être explorées, telles que les opérations de modèle en direct, les systèmes de surveillance et les alertes en temps réel, que peu d'entreprises ont été en mesure de déployer.
3. Prioriser les processus et former les équipes
Pour faciliter l'adoption de l'IA générative et qu’elle devienne un allié de taille pour les entreprises en matière de cybersécurité, les responsables de la sécurité doivent se concentrer avant tout sur les processus et les collaborateurs. Il est important de mettre en place des programmes de formation pertinents pour améliorer les compétences des employés sur l’IA, encourager une culture d’apprentissage continu et développer des parcours de carrière pour que certains puissent évoluer vers des fonctions liées à cette technologie. Encourager la collaboration entre les équipes IT, de sécurité, data science, juridiques et commerciales peut également faciliter l'intégration harmonieuse de l'IA au sein des différents services de l’entreprise.
4. Communiquer avec les parties prenantes
Les responsables de la sécurité jouent un rôle important notamment dans la sensibilisation aux risques de l'IA et dans les pratiques de gestion des risques au sein de l'entreprise. La première étape consiste à adapter les processus de gouvernance, de risque et de conformité (GRC) aux applications d'IA générative. Ils doivent documenter les menaces, les vulnérabilités et les risques dans un registre, surveiller l'évolution du paysage technologique et informer les parties prenantes en conséquence. Une ressource utile est la liste de contrôle OWASP Top 10 pour les applications LLM. Ils doivent également exiger la transparence dans les processus de prise de décision en matière d'IA pour élaborer des procédures fournissant aux parties prenantes des explications claires sur les résultats de l'IA. Enfin, ils doivent s’informer des réglementations locales et internationales en matière d'IA pour faciliter la mise en œuvre de ces procédures au plus haut niveau de l'entreprise et rester en conformité. Enfin, il est recommandé de s'adapter rapidement à l'évolution des exigences réglementaires - tel que le règlement européen sur l'IA (AI Act) - pour conserver un avantage concurrentiel évident.
5. Exploiter le potentiel de l'IA
La Gen AI est une opportunité et un immense potentiel pour renforcer les opérations de sécurité des entreprises. L'un des défis de nombreux responsables de sécurité est de trouver des collaborateurs compétents pour traiter l'accumulation de triage et éviter aux analystes de sécurité des tâches manuelles chronophages. L'IA générative peut aider à synthétiser et à fournir des informations sur les pétaoctets de données que les équipes SOC peinent à analyser manuellement tous les jours. L'IA générative permet également d’améliorer et d’accélérer les enquêtes, le tri et la réponse permettant ainsi d’orienter l'analyse, de rationaliser les workflows et de fournir une documentation automatisée.
À mesure que l'IA générative évolue et que son adoption par les entreprises augmente, les responsables de la sécurité doivent s’adapter et apprendre les nuances de cette technologie. Ils doivent se familiariser avec la manière dont la Gen IA est utilisée de manière offensive par les cybercriminels. Dans le même temps, il est essentiel qu’ils mettent en œuvre des défenses de sécurité alimentées par l'IA pour contrecarrer ces attaques.
Bien que 60 % des entreprises déclarent utiliser l'IA générative, seulement 20 % d'entre elles ont établi une politique interne sur le recours à l'IA par les employés et la plupart d’entre elles ne font qu'atténuer des risques évidents tels que l'inexactitude et la violation de la propriété intellectuelle (McKinsey Global Survey on State of AI 2023). Mais il existe d’autres risques importants tels que les nouveaux déploiements d'infrastructures, l'exploitation des API de ML, la compromission de la supply chain et l'élaboration de données antagonistes pour contourner les protections. Les responsables de la sécurité doivent donc être en première ligne pour accompagner l'utilisation et l’évolution de l’IA dans l'entreprise d'une manière sûre, éthique et sécurisée.
2. Comprendre le dispositif en place
Il est indispensable de comprendre les bases des systèmes et fondamentaux IA ; ce n'est qu'à cette condition qu'il est possible de développer des mesures de sécurité. Au fur et à mesure de l’adoption de modèles d’IA par les différents services de l'entreprise, il est conseillé de mettre en place proactivement des règles pour utiliser ces applications d’IA sans compromettre la confidentialité, l'intégrité et la disponibilité de l’entreprise. Ainsi, les services tels que les achats, la GRC, la protection de la vie privée, le service juridique et l'audit, doivent mettre à jour ou, dans certains cas, élaborer des politiques et des procédures entièrement dédiées pour garantir une IA éthique, la gouvernance des données, la conformité réglementaire, l'atténuation des biais et la confidentialité des clients. Pour tirer pleinement parti de la puissance de l'IA générative, de nombreuses approches devront probablement être explorées, telles que les opérations de modèle en direct, les systèmes de surveillance et les alertes en temps réel, que peu d'entreprises ont été en mesure de déployer.
3. Prioriser les processus et former les équipes
Pour faciliter l'adoption de l'IA générative et qu’elle devienne un allié de taille pour les entreprises en matière de cybersécurité, les responsables de la sécurité doivent se concentrer avant tout sur les processus et les collaborateurs. Il est important de mettre en place des programmes de formation pertinents pour améliorer les compétences des employés sur l’IA, encourager une culture d’apprentissage continu et développer des parcours de carrière pour que certains puissent évoluer vers des fonctions liées à cette technologie. Encourager la collaboration entre les équipes IT, de sécurité, data science, juridiques et commerciales peut également faciliter l'intégration harmonieuse de l'IA au sein des différents services de l’entreprise.
4. Communiquer avec les parties prenantes
Les responsables de la sécurité jouent un rôle important notamment dans la sensibilisation aux risques de l'IA et dans les pratiques de gestion des risques au sein de l'entreprise. La première étape consiste à adapter les processus de gouvernance, de risque et de conformité (GRC) aux applications d'IA générative. Ils doivent documenter les menaces, les vulnérabilités et les risques dans un registre, surveiller l'évolution du paysage technologique et informer les parties prenantes en conséquence. Une ressource utile est la liste de contrôle OWASP Top 10 pour les applications LLM. Ils doivent également exiger la transparence dans les processus de prise de décision en matière d'IA pour élaborer des procédures fournissant aux parties prenantes des explications claires sur les résultats de l'IA. Enfin, ils doivent s’informer des réglementations locales et internationales en matière d'IA pour faciliter la mise en œuvre de ces procédures au plus haut niveau de l'entreprise et rester en conformité. Enfin, il est recommandé de s'adapter rapidement à l'évolution des exigences réglementaires - tel que le règlement européen sur l'IA (AI Act) - pour conserver un avantage concurrentiel évident.
5. Exploiter le potentiel de l'IA
La Gen AI est une opportunité et un immense potentiel pour renforcer les opérations de sécurité des entreprises. L'un des défis de nombreux responsables de sécurité est de trouver des collaborateurs compétents pour traiter l'accumulation de triage et éviter aux analystes de sécurité des tâches manuelles chronophages. L'IA générative peut aider à synthétiser et à fournir des informations sur les pétaoctets de données que les équipes SOC peinent à analyser manuellement tous les jours. L'IA générative permet également d’améliorer et d’accélérer les enquêtes, le tri et la réponse permettant ainsi d’orienter l'analyse, de rationaliser les workflows et de fournir une documentation automatisée.
