La fenêtre qui sépare la découverte d’une faille de son exploitation se referme à une vitesse inédite
Voici une semaine, les « Five Eyes » ont franchi un seuil inhabituel : adresser directement aux conseils d’administration et aux comités exécutifs un avertissement de gouvernance et non un bulletin technique de plus. Un avis consultatif qui marque un changement radical.
L’affirmation « Months, Not Yers » constitue la contribution la plus précise de l’avis sur le plan analytique. Sa précision mérite d’être examinée. L’avis ne prétend pas que les capacités de l’IA évoluent rapidement. Cela, d’ailleurs, a été affirmé dans d’innombrables documents publics sans pour autant entraîner de changements significatifs dans la sécurité des organisations. Il indique plutôt que les hypothèses relatives aux cyber-risques peuvent devenir obsolètes en quelques mois.
L’avis conjoint, publié par la CISA (États-Unis), le NCSC (Royaume-Uni), le CCCS (Canada), l’ACSC (Australie) et le NCSC (Nouvelle-Zélande), se distingue par sa précision quant au calendrier. L’affirmation « Months, Not Years ! » constitue la contribution la plus précise de l’avis sur le plan analytique.
L’IA, un multiplicateur de force
Les services de renseignement ne se contentent pas d’avertir que l’IA aggrave les attaques. Ils avertissent que les cadres utilisés par les organisations pour évaluer et planifier les attaques peuvent être erronés avant même le début du prochain cycle d’évaluation. C’est un changement de paradigme.
De fait, l’IA a déjà manifestement transformé plusieurs catégories d’attaques. Les campagnes de phishing en sont l’exemple le plus flagrant. Cette année, ont calculé les Five Eyes, les attaques par phishing générées par l’IA atteindront 82 % des boîtes de réception des entreprises grâce à l’IA. Leur qualité est telle que même les professionnels de la sécurité peinent à les distinguer des messages légitimes. Le coût d’un e-mail de phishing convaincant est devenu quasi nul. Les attaquants les déploient à grande échelle…
La cybersécurité change de catégorie de risque
L’avis décrit l’IA comme un multiplicateur de force pour les attaquants, et ce, sur trois plans. Un : elle abaisse la barrière technique pour les acteurs malveillants qui, auparavant, ne possédaient pas les compétences nécessaires pour exploiter des vulnérabilités complexes. Deux, elle accélère le développement et le déploiement des attaques. Et, trois : elle accroît la complexité, rendant les attaques plus difficiles à détecter et à attribuer. La fenêtre de tir, c’est-à-dire le laps de temps entre la découverte d’une vulnérabilité et son exploitation active, est l’objectif. À mesure que l’IA accélère le développement des exploits, cette fenêtre se réduit, et les organisations qui tardent à appliquer leurs correctifs se retrouveront plus souvent hors de la zone de sécurité.
Une précision encore, et non des moindres : cet avis est un avertissement de gouvernance. Il a valeur de leçon pour nos organisations. En effet, quand les services de renseignement les plus puissants de la planète cessent de parler aux seuls techniciens pour interpeller les conseils d’administration, le message implicite est sans ambiguïté. La cybersécurité vient tout simplement de changer de catégorie de risque.
Six recommandations des Five Eyes sur la réduction de la surface d’attaque que peuvent cibler les attaques accélérées par l’IA
1/ Réduire l’exposition inutile
Eliminer les accès système et la connectivité externe non nécessaires. Chaque port, identifiant et service accessible de l’extérieur superflu représente un point d’entrée potentiel que l’analyse assistée par l’IA peut détecter plus rapidement que jamais.
2/ Accélérer le déploiement des correctifs
La réduction du délai entre l’exploitation d’une vulnérabilité et sa mise en œuvre rend la fenêtre de correctifs traditionnelle de 30 à 60 jours de plus en plus dangereuse. Les agences insistent sur la nécessité de traiter le déploiement des correctifs comme une urgence et non comme une simple routine.
3/ Considérer les systèmes existants comme des faiblesses stratégiques
Les systèmes qui ne peuvent être mis à jour sont exposés en permanence. L’avis consultatif utilise l’expression « failles stratégiques », une formulation qui considère les technologies existantes comme un risque pour la direction plutôt que comme un simple inconvénient informatique.
4/ Renforcer les contrôles d’accès et l’authentification
Une vérification d’identité robuste limite l’impact d’une compromission d’identifiants. Cela inclut l’authentification multifacteur, le principe du moindre privilège et la surveillance de l’utilisation abusive des identifiants.
5/ Adopter une défense en profondeur
Aucune couche de sécurité unique n’est suffisante. Les défenseurs doivent partir du principe que les attaquants utilisant l’IA finiront par trouver une faille dans les contrôles et mettre en place des systèmes capables de limiter les dégâts.
6/ Investir dans l’IA pour la défense
Les mêmes capacités qui accélèrent les attaques peuvent aussi accélérer la détection et la réponse. Les organisations qui utilisent l’IA pour la détection des menaces, l’identification des anomalies et la réponse aux incidents bénéficieront d’un avantage systémique par rapport à celles qui ne l’utilisent pas.
