L'évaluation, réalisée par le Government Communications Headquarters (GCHQ) du Royaume-Uni, prévoit que les ransomware seront la principale menace à bénéficier de l'aide de l'IA au cours des deux prochaines années. L'IA abaissera les barrières à l'entrée, ce qui entraînera une augmentation du nombre de nouveaux venus dans l'entreprise criminelle. Les acteurs plus expérimentés, tels que les États-nations, les entreprises commerciales qui les servent et les groupes criminels à motivation financière, en profiteront probablement aussi, car l'IA leur permet d'identifier les vulnérabilités et de contourner les défenses de sécurité de manière plus efficace.
"L'utilisation émergente de l'IA dans les cyberattaques est évolutive et non révolutionnaire, ce qui signifie qu'elle renforce les menaces existantes telles que les ransomwares, mais ne transforme pas le paysage des risques à court terme", a déclaré Lindy Cameron, PDG du Centre national de cybersécurité du GCHQ. Mme Cameron et d'autres responsables des services de renseignement britanniques ont déclaré que leur pays devait renforcer ses défenses pour contrer cette menace croissante.
L'évaluation s'est concentrée sur l'effet que l'IA aura probablement au cours des deux prochaines années. La probabilité que l'IA augmente le volume et l'impact des cyberattaques au cours de cette période a été qualifiée de "presque certaine", ce qui correspond au niveau de confiance le plus élevé du GCHQ.
L'impact à court terme de l'IA sur la cybermenace
Voici une évaluation du NCSC portant sur l'impact de l'IA sur l'efficacité des cyberopérations et les conséquences pour la cybermenace au cours des deux prochaines années.
Commentaire sur la politique britannique en matière de cybernétique
Lors du sommet de Bletchley sur la sécurité de l'IA en novembre 2023, les dirigeants internationaux se sont réunis pour discuter du vaste potentiel des modèles d'IA pour promouvoir la croissance économique, propulser les avancées scientifiques et fournir un large éventail d'avantages publics. Ils ont également souligné les risques pour la sécurité qui pourraient découler du développement et de l'utilisation irresponsables des technologies de l'IA. Le gouvernement britannique évalue et traite les menaces et les risques potentiels associés à l'IA.
S'il est essentiel de se concentrer sur les risques posés par l'IA, nous devons également saisir les opportunités considérables qu'elle offre aux cyberdéfenseurs. Par exemple, l'IA peut améliorer la détection et le triage des cyberattaques et identifier les courriels malveillants et les campagnes de ransomware, ce qui permet en fin de compte de les contrer plus facilement.
La déclaration du sommet a souligné l'importance de veiller à ce que l'IA soit conçue, développée, déployée et utilisée d'une manière sûre, centrée sur l'homme, digne de confiance et responsable, dans l'intérêt de tous. Le NCSC continue de travailler avec des partenaires internationaux et l'industrie pour fournir des conseils sur le développement et l'utilisation sécurisés de l'IA, afin que nous puissions réaliser les avantages que l'IA offre à la société, en publiant des lignes directrices pour le développement de systèmes d'IA sécurisés en novembre 2023.
Lors du sommet de Bletchley sur la sécurité de l'IA en novembre 2023, les dirigeants internationaux se sont réunis pour discuter du vaste potentiel des modèles d'IA pour promouvoir la croissance économique, propulser les avancées scientifiques et fournir un large éventail d'avantages publics. Ils ont également souligné les risques pour la sécurité qui pourraient découler du développement et de l'utilisation irresponsables des technologies de l'IA. Le gouvernement britannique évalue et traite les menaces et les risques potentiels associés à l'IA.
S'il est essentiel de se concentrer sur les risques posés par l'IA, nous devons également saisir les opportunités considérables qu'elle offre aux cyberdéfenseurs. Par exemple, l'IA peut améliorer la détection et le triage des cyberattaques et identifier les courriels malveillants et les campagnes de ransomware, ce qui permet en fin de compte de les contrer plus facilement.
La déclaration du sommet a souligné l'importance de veiller à ce que l'IA soit conçue, développée, déployée et utilisée d'une manière sûre, centrée sur l'homme, digne de confiance et responsable, dans l'intérêt de tous. Le NCSC continue de travailler avec des partenaires internationaux et l'industrie pour fournir des conseils sur le développement et l'utilisation sécurisés de l'IA, afin que nous puissions réaliser les avantages que l'IA offre à la société, en publiant des lignes directrices pour le développement de systèmes d'IA sécurisés en novembre 2023.
Le NCSC Assessment (NCSC-A) fait autorité en matière de cybermenaces pour le Royaume-Uni. Ils fusionnent toutes les sources d'information - renseignements classifiés, connaissances de l'industrie, matériel universitaire et sources ouvertes - pour fournir des jugements clés indépendants qui éclairent la prise de décision politique et améliorent la cybersécurité du Royaume-Uni. Ils travaillent en étroite collaboration avec le gouvernement, l'industrie et les partenaires internationaux afin d'obtenir l'avis d'experts pour les évaluations.
Le NCSC-A fait partie des Professional Heads of Intelligence Assessment (PHIA). Le PHIA dirige le développement de la profession par le biais d'un savoir-faire analytique, de normes professionnelles et de la création et du maintien d'une communauté intergouvernementale.
Ce rapport utilise le langage probabiliste formel des produits du NCSC-A pour informer les lecteurs de l'impact à court terme de l'IA sur la cybermenace.
Quelle est la probabilité d'une "possibilité réaliste" ?
Critère de probabilité du Professional Head of Intelligence Assessment (PHIA)
NCSC Assessment utilise le critère de probabilité PHIA chaque fois qu'il procède à une évaluation, à un jugement ou à une prédiction. Les termes utilisés correspondent aux fourchettes de probabilité ci-dessous :
Jugements clés
- Il est presque certain que l'intelligence artificielle (IA) augmentera le volume et renforcera l'impact des cyberattaques au cours des deux prochaines années. Toutefois, l'impact sur la cybermenace sera inégal.
- La menace pour 2025 provient de l'évolution et de l'amélioration des tactiques, techniques et procédures (TTP) existantes.
- Tous les types d'acteurs de la cybermenace - étatiques et non étatiques, qualifiés et moins qualifiés - utilisent déjà l'IA, à des degrés divers.
- L'IA améliore les capacités de reconnaissance et d'ingénierie sociale, ce qui les rend presque certainement plus efficaces et plus difficiles à détecter.
- Les utilisations plus sophistiquées de l'IA dans les cyberopérations sont très probablement réservées aux acteurs de la menace ayant accès à des données d'entraînement de qualité, à une expertise importante (à la fois en matière d'IA et de cybernétique) et à des ressources. Il est peu probable que des utilisations plus avancées soient réalisées avant 2025.
- L'IA rendra presque certainement les cyberattaques contre le Royaume-Uni plus percutantes, car les acteurs de la menace seront en mesure d'analyser les données exfiltrées plus rapidement et plus efficacement, et de les utiliser pour former des modèles d'IA.
- L'IA abaisse les barrières qui empêchent les cybercriminels novices, les pirates à louer et les hacktivistes de mener des opérations efficaces d'accès et de collecte d'informations. Cet accès amélioré contribuera probablement à la menace mondiale des ransomwares au cours des deux prochaines années.
- À l'horizon 2025 et au-delà, la banalisation des capacités basées sur l'IA sur les marchés criminels et commerciaux permettra très certainement à la cybercriminalité et aux acteurs étatiques de disposer de capacités améliorées.
Contexte
Cette présente évaluation porte sur l'impact de l'IA sur l'efficacité des cyberopérations et sur les conséquences pour la cybermenace au cours des deux prochaines années. Elle n'aborde pas la menace que représentent les outils d'IA pour la cybersécurité, ni les risques de cybersécurité liés à leur intégration dans l'architecture des systèmes.
L'évaluation suppose qu'il n'y aura pas de percée significative dans le domaine de l'IA transformatrice au cours de cette période. Cette hypothèse doit être réexaminée, car toute percée pourrait avoir des conséquences importantes sur le développement de logiciels malveillants et d'exploits de type "zero-day" et donc sur la cybermenace.
L'impact de l'IA sur la cybermenace sera compensé par l'utilisation de l'IA pour renforcer la résilience de la cybersécurité grâce à la détection et à l'amélioration de la sécurité dès la conception. Des travaux supplémentaires sont nécessaires pour comprendre dans quelle mesure les développements de l'IA en matière de cybersécurité limiteront l'impact de la menace.
Évaluation
- L'impact de l'IA sur la cybermenace est inégal, tant en termes d'utilisation par les acteurs de la cybermenace qu'en termes de renforcement des capacités.
- Ampleur de l'augmentation des capacités causée par l'IA au cours des deux prochaines années.
- L'IA offrira principalement aux acteurs de la menace des capacités accrues en matière d'ingénierie sociale. L'IA générative (GenAI) peut déjà être utilisée pour permettre une interaction convaincante avec les victimes, y compris la création de documents de leurre, sans les erreurs de traduction, d'orthographe et de grammaire qui révèlent souvent l'hameçonnage. Il est fort probable que ce nombre augmentera au cours des deux prochaines années, à mesure que les modèles évolueront et que l'utilisation augmentera.
- La capacité de l'IA à résumer les données à un rythme rapide permettra aussi très probablement aux acteurs de la menace d'identifier des actifs de grande valeur pour les examiner et les exfiltrer, ce qui augmentera la valeur et l'impact des cyberattaques au cours des deux prochaines années.
- Les acteurs de la menace, y compris les acteurs du ransomware, utilisent déjà l'IA pour accroître l'efficacité et l'efficience de certains aspects des cyberopérations, tels que la reconnaissance, le phishing et le codage. Cette tendance se poursuivra très certainement jusqu'en 2025 et au-delà. Le phishing, qui vise généralement à diffuser des logiciels malveillants ou à voler des informations sur les mots de passe, joue un rôle important en fournissant les premiers accès au réseau dont les cybercriminels ont besoin pour mener des attaques par ransomware ou d'autres formes de cybercriminalité. Il est donc probable que l'utilisation par les cybercriminels des modèles d'IA disponibles pour améliorer l'accès contribuera à la menace mondiale des ransomwares à court terme.
- L'IA devrait contribuer au développement de logiciels malveillants et d'exploits, à la recherche de vulnérabilités et au déplacement latéral en rendant les techniques existantes plus efficaces. Toutefois, à court terme, ces domaines continueront de reposer sur l'expertise humaine, ce qui signifie que toute amélioration limitée sera très probablement réservée aux acteurs de la menace qui sont déjà capables de le faire. L'IA a le potentiel de générer des logiciels malveillants qui pourraient échapper à la détection par les filtres de sécurité actuels, mais seulement si elle est entraînée sur des données d'exploitation de qualité. Il est tout à fait possible que des États très compétents disposent de dépôts de logiciels malveillants suffisamment importants pour entraîner efficacement un modèle d'IA à cette fin.
- Les défis en matière de cyber-résilience deviendront plus aigus à mesure que la technologie se développera. D'ici à 2025, la GenAI et les grands modèles de langage (LLM) rendront difficile pour tout un chacun, quel que soit son niveau de compréhension de la cybersécurité, de déterminer si un courriel ou une demande de réinitialisation de mot de passe est authentique, ou d'identifier les tentatives de phishing, de spoofing ou d'ingénierie sociale. Le délai entre la publication des mises à jour de sécurité pour corriger les vulnérabilités nouvellement identifiées et l'exploitation des logiciels non corrigés par les acteurs de la menace se réduit déjà. Cela a exacerbé le défi pour les gestionnaires de réseaux de corriger les vulnérabilités connues avant qu'elles ne puissent être exploitées. L'IA risque fort d'accélérer ce défi, car la reconnaissance des dispositifs vulnérables devient plus rapide et plus précise.
- L'expertise, l'équipement, le temps et les ressources financières sont actuellement essentiels pour exploiter les utilisations plus avancées de l'IA dans les cyberopérations. Seuls ceux qui investissent dans l'IA, disposent des ressources et de l'expertise nécessaires et ont accès à des données de qualité bénéficieront de son utilisation dans des cyberattaques sophistiquées d'ici à 2025. Parmi les acteurs de la cybermenace, les acteurs étatiques très compétents sont certainement les mieux placés pour exploiter le potentiel de l'IA dans des cyberopérations avancées. D'autres acteurs étatiques et la plupart des entreprises commerciales qui offrent des capacités aux États du monde entier bénéficieront d'une amélioration modérée de leurs capacités au cours des dix-huit prochains mois en matière d'ingénierie sociale, de reconnaissance et d'exfiltration. Les groupes criminels compétents et bien établis disposeront probablement aussi de suffisamment de données et de ressources en matière de formation pour améliorer quelque peu leurs capacités.
- Toutefois, il est réaliste de penser que ces facteurs pourraient perdre de leur importance au fil du temps, à mesure que des modèles d'IA plus sophistiqués prolifèrent et sont de plus en plus adoptés. Les modèles d'IA accessibles au public dispensent déjà largement les acteurs de créer leurs propres technologies de réplique, en particulier pour les opérations peu sophistiquées telles que le spear-phishing. Les cyberacteurs moins qualifiés bénéficieront très certainement d'une amélioration significative de leurs capacités dans ce type d'opérations d'ici à 2025. La marchandisation des capacités de cybercriminalité, par exemple les modèles commerciaux "en tant que service", fait qu'il est presque certain que les groupes compétents monétiseront les outils cybernétiques basés sur l'IA, en mettant des capacités améliorées à la disposition de quiconque est prêt à payer.
- D'ici à 2025, la formation de l'IA à des données de qualité restera cruciale pour son utilisation efficace dans les cyberopérations. Les obstacles à la mise à l'échelle de la reconnaissance automatisée des cibles, de l'ingénierie sociale et des logiciels malveillants sont tous principalement liés aux données. Mais d'ici 2025 et au-delà, au fur et à mesure des exfiltrations réussies, les données alimentant l'IA s'amélioreront presque certainement, ce qui permettra des cyberopérations plus rapides et plus précises.
- L'augmentation du volume, de la complexité et de l'impact des cyberopérations indiquera que les acteurs de la menace ont réussi à exploiter efficacement l'IA. Il est très probable que cela intensifie les défis de la cyber-résilience du Royaume-Uni à court terme pour le gouvernement britannique et le secteur privé.
Source : NCSC
Et vous ?
Pensez-vous que cette évaluation est crédible ou pertinente ?
Quel est votre avis sur le sujet ?
Voir aussi :
L'IA favoriserait les ransomwares : une nouvelle étude de la société de cybersécurité Barracuda en explique les raisons
Gartner identifie les principales tendances en matière de cybersécurité pour 2023. Les chefs de la sécurité doivent s'orienter vers une approche centrée sur l'humain pour une cybersécurité efficace
64 % des chefs d'entreprise estiment que l'IA générative posera des problèmes de cybersécurité, mais il semble que les avantages l'emportent sur les inconvénients, selon une enquête de PwC