L'Intelligence Artificielle (IA) entraîne des changements majeurs dans notre façon de vivre et de travailler. Il y a tant de choses à dire quant à l'impact de l'IA dans des secteurs comme la santé, la finance, l'éducation, le commerce, le transport ou l'énergie, mais dans cet article nous nous concentrerons exclusivement sur la cybersécurité.

D'un côté de la barricade, il y a les acteurs malveillants (ou hackers) qui multiplient les cyberattaques sur différentes cibles, notamment les entreprises, dans une tentative délibérée de causer des dommages. De l'autre côté, il y a les experts en cybersécurité qui tentent de prévenir ou d'atténuer ces menaces. Les deux camps exploitent l'Intelligence Artificielle pour prendre l'avantage. Alors… qui est en train de gagner ?

IA offensive vs. IA défensive

“L’IA offensive évolue plus rapidement que l'IA défensive en raison de sa nature opportuniste et sans restriction. Il n'y a ni règles, ni limites. Les acteurs malveillants peuvent utiliser absolument tout pour exploiter des failles, accéder à des données non autorisées ou manipuler des individus en les incitant à agir d'une certaine manière. L'IA défensive, bien qu’en constante évolution, est encadrée par des lois et des réglementations en matière de protection des données, ce qui ralentit son développement en raison des exigences de conformité et des processus réglementaires", explique Omar Jellouli, analyste en sécurité de l'information.

Du côté offensif…

Les cybercriminels exploitent rapidement toute vulnérabilité en utilisant la créativité de l’IA pour générer des malwares polymorphes, automatiser le phishing et même simuler des deepfakes réalistes. Par exemple, l’IA offensive peut utiliser des modèles génératifs pour rédiger des e-mails imitant des contacts de confiance ou insérer des déclencheurs subtils permettant de contourner ultérieurement les protections d'un modèle.

Du côté défensif…

Les experts en cybersécurité exploitent l'IA de manière défensive à deux niveaux : prévention et atténuation. Comme l'explique Omar : "C’est comme dans n'importe quel autre domaine : la police tente d'empêcher les criminels de commettre un crime ; les médecins tentent de prévenir les maladies ; et en cybersécurité, nous essayons d'empêcher les cyberattaques avant qu'elles ne surviennent."

Comment y parvient-on ? En collectant des renseignements sur les menaces (threat intelligence) – des données sur les motivations, les cibles et les comportements des cybercriminels – qui améliorent considérablement la précision des outils de prévention.

Les outils défensifs sont également utilisés lors de la réponse aux incidents. "Cependant," précise Omar, "ils reposent souvent sur l'analyse comportementale, ce qui peut entraîner des faux positifs en raison de la variabilité des comportements des utilisateurs ou des systèmes."

Le rôle du Machine Learning (ML)

Les algorithmes de Machine Learning constituent la base des systèmes d'IA modernes. Une approche courante du ML est l’apprentissage supervisé, où le modèle est entraîné sur des ensembles de données étiquetées avec des entrées et sorties connues. "L’algorithme identifie des modèles et des associations pendant l'entraînement pour faire des prédictions précises. Après l'entraînement, il est testé sur des données inédites pour évaluer sa fiabilité et son efficacité," explique Omar.

Cette méthode est largement utilisée dans :

• Les outils de scan des vulnérabilitésModèles entraînés sur des données de vulnérabilités connues pour détecter les failles.
• Les systèmes de réponse aux incidentsAnalyse des incidents passés pour fournir des signaux d’alerte précoces.
• Le Pentesting et le Red TeamingL’apprentissage par renforcement peut simuler de manière autonome des chemins d’attaque pour identifier les mauvaises configurations et les identifiants faibles (avec un réglage minutieux pour éviter les faux positifs).

Et les Large Language Models (LLMs)?

Un Large Language Model (LLM) est un type de modèle d'apprentissage automatique capable de comprendre, traiter et générer du langage humain. Entraînés sur d'énormes volumes de données textuelles, les LLMs comme ChatGPT, Google Gemini ou Claude sont principalement utilisés en cybersécurité pour l'analyse du renseignement sur les menaces. Ils extraient des Indicateurs de Compromission (IOCs) à partir de flux open-source, de la surveillance du dark web et de rapports de menaces.

Les LLMs contribuent également à :

• La réponse aux incidentsIls analysent de vastes journaux de données, génèrent des plans d'intervention en cas d'incident et fournissent des recommandations contextuelles basées sur des incidents passés.
• La détection du phishingLes LLMs examinent le contenu des e-mails, le ton et les indices linguistiques afin d'identifier d'éventuelles tentatives d'hameçonnage, bien que des outils de sécurité dédiés gèrent généralement la détection et le blocage des liens malveillants.
• La gestion des vulnérabilitésCes modèles interprètent les données de vulnérabilité, corrèlent les failles connues avec les systèmes d’une organisation et suggèrent des stratégies de remédiation, complétant ainsi les analyses fournies par des outils spécialisés et des experts.

Comment l'IA transforme l'architecture des services de sécurité

L'Intelligence Artificielle modifie également la façon dont les services de cybersécurité sont conçus et déployés. "Elle pousse les organisations à repenser leurs architectures de sécurité pour gérer le traitement de données à grande échelle et améliorer la détection ainsi que la réponse aux menaces. Les solutions basées sur le cloud jouent un rôle clé en offrant évolutivité et capacités en temps réel", explique Omar.

Les principaux fournisseurs de cloud, comme Amazon Web Services (AWS), Microsoft Azure et Google Cloud, utilisent leurs propres outils intégrant l’IA pour la détection des menaces (ex. : AWS GuardDuty, Microsoft Defender, Google Chronicle) afin de traiter d'énormes volumes de données en temps réel et d’identifier rapidement les menaces.

Malgré ces avantages, des défis tels que la confidentialité des données et la dépendance au cloud persistent. Toutefois, des solutions existent. "Les architectures hybrides émergent, avec des modèles d'IA entraînés dans le cloud et déployés localement pour une réponse plus rapide", révèle Omar.

Les avantages et les défis de l'adoption de l'IA en cybersécurité

L’implémentation d'outils basés sur l’IA en cybersécurité est "non négociable", affirme Omar. "C’est comme les débuts d’Internet. C’est inarrêtable. Nous avons cette relation d’amour-haine avec l’IA qui nous guide, il est donc naturel qu’il y ait des conséquences positives et négatives."

Avantages

• Accès direct à des outils avancésLes entreprises peuvent déployer des technologies de pointe en matière de renseignement et de détection des menaces.
• Amélioration de la détection et de la réponse aux menacesDes outils comme Microsoft Sentinel et AWS GuardDuty analysent d'énormes ensembles de données en temps réel pour identifier et atténuer rapidement les menaces.
• Automatisation accrueL’IA automatise les tâches routinières (ex. : analyse des vulnérabilités, surveillance de la conformité), réduit la charge de travail et améliore l'efficacité (ex. : AWS Security Hub, Azure Security Center).
• Renforcement de la sécurité des réseaux et des terminauxDes solutions comme Cloudflare et Zscaler bloquent le trafic malveillant, tandis que des outils comme SentinelOne et CrowdStrike Falcon utilisent l'analyse comportementale pour protéger les terminaux.
• Nouvelles opportunités d'emploiBien que l’IA automatise certaines tâches, elle crée aussi des rôles pour gérer et superviser les systèmes d’IA.

Défis

• Problèmes de confidentialité des donnéesDe nombreux outils d’IA traitent des données sensibles dans le cloud, ce qui entraîne un risque d’exposition en cas de compromission ou d’utilisation abusive. Les architectures hybrides, qui conservent les données sensibles sur site, peuvent atténuer ce risque.
• Dépendance au cloudUne sur-dépendance aux fournisseurs comme AWS, Azure et Google Cloud peut introduire des vulnérabilités si ces plateformes subissent des pannes ou des violations de sécurité.
• Faux positifsLes biais dans les modèles d’IA peuvent entraîner des détections erronées de menaces, signalant à tort des activités légitimes comme malveillantes.
• Complexité de l’intégrationL’intégration de nouveaux outils d’IA aux systèmes existants, en particulier dans des environnements hybrides, peut être complexe.
• Manque de transparenceLes organisations ont souvent peu de visibilité sur la manière dont les modèles d'IA prennent des décisions, ce qui complique la responsabilité et la supervision.
• Vulnérabilité aux attaquesLes modèles d’IA eux-mêmes peuvent être des cibles d’attaques par exemples contradictoires ou d’empoisonnement des données, nécessitant une surveillance et des mises à jour constantes.

Que nous réserve l'avenir ?

L’IA est ancrée dans notre futur – il ne fait aucun doute. Mais où allons-nous exactement, et comment l’IA transformera-t-elle spécifiquement la cybersécurité ? Omar Jellouli partage ses prédictions :

• Apprentissage fédéréUne approche décentralisée permettant aux organisations d’entraîner des modèles d’IA de manière collaborative sans partager de données sensibles, réduisant ainsi les risques liés à la confidentialité et améliorant la précision.
• XDR (Extended Detection and Response) piloté par l’IAIntègre les données des couches réseau, terminal et identité en une seule plateforme complète de détection des menaces.
• Évolution de la mentalité des équipes de sécuritéL’IA permettra aux professionnels de la cybersécurité d’exécuter des exercices dynamiques de Red Teaming, simulant des attaques réelles pour tester les défenses de manière proactive.
• Architectures hybridesAssocier le contrôle sur site à l’IA basée sur le cloud permet aux organisations de tirer parti du renseignement sur les menaces à l’échelle mondiale tout en protégeant leurs données sensibles.
• Expansion du traitement du langage naturel (NLP)Le NLP transforme le renseignement sur les menaces en extrayant des informations exploitables à partir de données non structurées, telles que les blogs et les forums du dark web.
• Intersection avec l’informatique quantique Bien qu’encore à ses débuts, l’informatique quantique pourrait exécuter des calculs complexes à des vitesses bien supérieures aux systèmes traditionnels, facilitant ainsi la détection avancée des menaces. Cependant, la menace qu’elle représente pour les méthodes de chiffrement actuelles entraînera le développement d’une cryptographie post-quantique. L’IA jouera un rôle clé dans cette transition en automatisant la création d’algorithmes résistants aux attaques quantiques.
• Croissance du biocomputingDes recherches émergentes en biocomputing – comme les mini-cerveaux cultivés en laboratoire capables d’apprendre – illustrent le potentiel de l’IA au-delà de la cybersécurité, ouvrant la voie à des systèmes hautement adaptatifs.

En résumé: "L’IA va redéfinir la cybersécurité en devenant une partie intégrante et plus intelligente de la défense des systèmes. Elle ne se contentera pas d’accélérer ou d’améliorer les outils existants – elle créera de nouvelles façons de penser la sécurité", affirme Omar.

Bonnes pratiques et recommandations

Pour maintenir leurs stratégies de cybersécurité à jour, les organisations doivent :

• Renforcer les protocoles de sécurité des donnéesAuditer régulièrement les services accessibles au public et les sécuriser à l’aide de contrôles d’accès robustes, du chiffrement et de la segmentation réseau.
• Surveiller les attaques par empoisonnement de données et les portes dérobéesDévelopper des systèmes de surveillance continue pour détecter les comportements anormaux pouvant indiquer une altération des données d’entraînement.
• Maintenir une supervision humaineCompléter les outils d’IA automatisés par une validation humaine, notamment pour les opérations de réponse aux incidents et d’analyse des menaces.
• Garantir une curation transparente des donnéesMettre en place des processus rigoureux d’assemblage et de nettoyage des ensembles de données afin de minimiser les biais et le contenu malveillant.
• Rester informé des technologies émergentesSuivre régulièrement les recherches académiques et industrielles sur l’apprentissage fédéré, les NPUs et la cryptographie résistante aux attaques quantiques pour adapter ses stratégies de sécurité.

Exemples réels

Découvrez quelques événements récents et innovations illustrant la relation entre l’IA et la cybersécurité :

• Fuite de données DeepSeekL’incident DeepSeek met en évidence des erreurs de sécurité majeures. Une base de données ClickHouse accessible publiquement a exposé plus d’un million de lignes de données sensibles, incluant des historiques de conversations, des clés API et des détails sur l’infrastructure backend.Lire plus sur cet incident ici.

• L’empoisonnement des données et le contournement des modèles : des menaces émergentesDes discussions récentes révèlent que des attaquants injectent des déclencheurs malveillants dans les données d’entraînement. Certains mots-clés spécifiques dans les invites peuvent forcer un modèle à contourner ses protocoles de sécurité. Dans un cas documenté, il a fallu environ six mois avant que l’impact ne soit détecté dans un modèle accessible au public.Lire plus sur ces discussions ici.

• Tests Red Team : contourner la censure de DeepSeekDes hackers éthiques, tels que Simone Fuscone, testent activement les contrôles de contenu des IA. En utilisant des techniques comme le remplacement des voyelles par des chiffres et l’ingénierie des invites, Fuscone a réussi à contourner les filtres de censure de DeepSeek Web, révélant des vulnérabilités nécessitant des améliorations continues.Lire plus sur l’exploit de Simone Fuscone ici.

• Apprentissage fédéré et NPUs en périphérieLes tendances émergentes incluent l’adoption de l’apprentissage fédéré combiné aux unités de traitement neuronal (Neural Processing Units – NPUs) sur les terminaux. Intégrées aux processeurs modernes (par ex. Intel Core Ultra, Qualcomm Snapdragon), les NPUs permettent l’entraînement de modèles et la détection des menaces directement sur l’appareil, sans envoyer de données sensibles aux serveurs centraux.En savoir plus sur les NPUs ici.

• Démocratisation de l’IA : répliquer DeepSeek R1 pour moins de 30 $Une équipe de recherche en IA de l’université de Berkeley, dirigée par Jiayi Pan, a réussi à reproduire les technologies clés du modèle de raisonnement DeepSeek R1 avec un budget inférieur à 30 $. Cette avancée montre que des systèmes sophistiqués capables de raisonnement complexe peuvent émerger de solutions peu coûteuses.Lire le rapport complet ici.

Conclusion

L’intersection entre l’IA et la cybersécurité est une arme à double tranchant. Si l’IA améliore les capacités de détection des menaces et de réponse aux incidents, elle fournit également aux adversaires des outils puissants pour l’hameçonnage automatisé, l’empoisonnement des données et le contournement des modèles de sécurité. Des cas concrets, comme l’exposition de la base de données DeepSeek et la reproduction de DeepSeek R1 pour moins de 30 $, soulignent l’importance de traiter à la fois les vulnérabilités avancées et fondamentales.

Pour relever ces défis, les organisations doivent appliquer des mesures strictes de sécurité des données, surveiller en continu l’émergence de nouvelles menaces, équilibrer l’automatisation par l’IA avec une supervision humaine et garantir la transparence dans la gestion des données.

En intégrant les meilleures pratiques issues de cadres comme le NIST Cybersecurity Framework et l’OWASP Top Ten, les entreprises peuvent renforcer leurs défenses et bâtir un avenir numérique plus sécurisé.