Les agences de cybersécurité du partenariat Five Eyes, notamment les États-Unis (États-Unis), le Royaume-Uni (Royaume-Uni), l'Australie, le Canada et la Nouvelle-Zélande,ont publié une déclaration communeexhortant les chefs d’entreprise et les dirigeants gouvernementaux à agir immédiatement contre les cybermenaces provoquées par l’IA.
Les agences affirment que les modèles d’IA de pointe sont en passe de dépasser les attentes actuelles de l’industrie et qu’ils remodèleront fondamentalement les cybercapacités offensives et défensives. Leur chronologie ne se mesure pas en années. Elle se mesure en mois.
Cette déclaration intervient alors que l’adoption de l’IA s’accélère dans tous les secteurs et que les acteurs de la menace utilisent de plus en plus les outils d’IA pour exécuter des attaques plus rapides et plus sophistiquées. Les agences affirment que la fenêtre entre la découverte et l’exploitation des vulnérabilités se rétrécit déjà. L’IA le réduit encore davantage.
Un problème global, pas un problème informatique
Les agences sont directes sur un point : le risque cyber n’est plus une préoccupation technique du back-office. Les conseils d’administration et les dirigeants ont désormais la responsabilité directe de garantir que leurs organisations peuvent résister aux attaques dans des conditions réelles, et non seulement sur le papier.
Selon la déclaration commune, il ne suffit pas de mettre en place des contrôles de sécurité. Les dirigeants doivent être sûrs que ces contrôles fonctionneront réellement lors d’un incident réel. Cela oblige les organisations à réévaluer les compromis de longue date, à remettre en question les hypothèses sur les systèmes nécessitant une exposition externe et à utiliser délibérément l’IA pour renforcer la défense plutôt que simplement améliorer l’efficacité.
Les agences décrivent la réponse requise comme celle qui exige une pleine participation organisationnelle et sociétale. Selon eux, la cyber-résilience est désormais essentielle à la continuité des activités, à la confiance du marché et à la valeur à long terme. Les organisations qui traitent cela comme quelque chose de moins se retrouveront dans une situation stratégique et opérationnelle croissante.
La déclaration appelle les dirigeants à comprendre et à évaluer leur préparation aux risques et leur responsabilité, à donner la priorité aux pratiques fondamentales de cybersécurité, à doter les responsables de la cybersécurité d’une réelle autorité et de ressources adéquates, et à rester activement engagés à mesure que les menaces et les directives officielles continuent d’évoluer.
Que doivent faire les dirigeants dès maintenant ?
Les agences ont présenté un ensemble d’actions pratiques qu’elles qualifient d’urgentes, non pas nouvelles mais désormais essentielles compte tenu du rythme de développement de l’IA.
Les organisations doivent réduire leur surface d'attaque en réduisant les accès inutiles au système ainsi que la connectivité externe. Les agences poussent les dirigeants à se demander si les systèmes ont réellement besoin d’être exposés et à isoler ceux qui n’en ont pas besoin.
Ils appellent également à des processus de mise à jour plus rapides, notant que l’IA réduit le temps entre le moment où une vulnérabilité est découverte et celui où elle est exploitée. Les retards dans l'application des mises à jour de sécurité, en particulier pour les systèmes opérationnels avec de longs cycles de mise à jour, comportent un risque croissant.
Ce conseil semble être renforcé par les événements récents.Mozilla a réagi rapidement pour corriger une faille d'IA dans Firefoxqui aurait pu divulguer des codes de vérification de courrier électronique, démontrant l’importance d’une réponse rapide aux vulnérabilités liées à l’IA.
Les systèmes existants ont fait l'objet d'une attention particulière. Les agences décrivent les systèmes non pris en charge non seulement comme une dette technique mais aussi comme un passif stratégique. Ils exhortent les dirigeants à s’attaquer en priorité à ces systèmes plutôt que d’en reporter le coût.
Fixer des limites à l’accès critique aux systèmes, proposent les agences
Les contrôles d’identité et d’accès ont également figuré en bonne place. Les agences recommandent de limiter les personnes pouvant accéder aux systèmes critiques, d'appliquer une authentification forte et de revoir régulièrement les autorisations.
Concernant la préparation aux incidents, ils ont exhorté les organisations à tester les plans d'intervention, à former les équipes à l'avance et à opérer en partant du principe que des violations se produiront. L’accent devrait être mis sur un confinement et un rétablissement rapides, et non sur la prévention pure et simple de chaque violation.
Les agences ont également considéré l’IA comme un outil défensif. Les adversaires utilisent déjà l’IA pour se déplacer plus rapidement et frapper avec plus de précision, ont-ils noté. Les défenseurs doivent répondre de la même manière. Les organisations qui intègrent des systèmes d’IA dans leurs protocoles de sécurité peuvent détecter les vulnérabilités de front, surveiller plus efficacement les comportements douteux et réagir plus rapidement aux incidents, réduisant ainsi le coût financier et opérationnel des attaques.
Selon le communiqué, le succès ne viendra pas du fait de disposer du plus grand nombre d’outils disponibles. Il faudra pour cela maîtriser les bases, agir rapidement et intégrer la cybersécurité dans la stratégie commerciale de base, de haut en bas.
Les agences ont conclu en lançant un avertissement précis aux dirigeants envisageant une approche attentiste. Selon eux, les hypothèses sur les cyberrisques pourraient devenir obsolètes en quelques mois, au rythme actuel de développement.frontier AI development. Ceux qui agissent maintenant réduiront leur exposition et renforceront la confiance des clients, des partenaires et des investisseurs. Ceux qui tardent hériteront de risques qui étaient entièrement évitables.