Les experts en sécurité informatique sont divisés sur le potentiel de l'IA à aider les experts en sécurité offensive,

« l'IA accélère la détection des vulnérabilités, mais ne remplace pas l'humain »

Les experts en sécurité informatique sont partagés sur l'utilisation de l'IA générative pour les experts en sécurité offensive (équipes rouges), qui simulent des cyberattaques pour tester les systèmes d'entreprise. Bien que certains experts, comme ceux d'IBM, estiment que l'IA peut accélérer la détection des vulnérabilités, d'autres restent prudents, soulignant que l'IA ne peut pas encore remplacer entièrement les tâches humaines et qu'elle peut poser des problèmes d'explicabilité, surtout si une équipe rouge doit défendre ses actions en justice. Des experts tels que Mert Mustafa et Kuo Yoong mettent en garde contre une dépendance excessive à l'IA, qui peut produire des résultats sans explication claire. Par ailleurs, des spécialistes comme Kevin Reed estiment que l'IA est mieux adaptée aux tests de pénétration qu'aux équipes rouges, qui se concentrent sur des tests plus complexes. Enfin, la question de la responsabilité légale de l'utilisation de l'IA dans les tests de sécurité demeure floue, avec des débats sur la transparence et l'explicabilité des actions de l'IA.

L'IA générative est de plus en plus adoptée dans divers secteurs, mais les experts en sécurité informatique demeurent partagés sur son efficacité pour les « équipes rouges » qui évaluent la sécurité des systèmes d'entreprise. Le « red teaming » consiste à simuler des attaques pour repérer des vulnérabilités. Cette méthode courante a été adaptée pour tester les applications d'IA générative en les soumettant à de nombreuses requêtes, dans l'espoir que certaines génèrent des résultats problématiques que les développeurs pourront corriger. Les équipes rouges utilisent l'IA non seulement pour la tester, mais aussi comme un outil. En mai, l'équipe rouge d'IBM a révélé avoir employé l'IA pour analyser les systèmes informatiques d'un grand fabricant de technologies et a identifié une faille dans un portail de ressources humaines, offrant un accès étendu. L'équipe d'IBM estime que l'IA a permis de réduire le temps nécessaire pour détecter et exploiter cette vulnérabilité.


Lors du forum Canalys APAC en Indonésie, un panel a débattu de l'utilisation de l'IA dans les équipes rouges et des implications de la dépendance à l'IA, notamment sur le plan juridique. Purushothama Shenoy, directeur technique chez IBM APAC, a suggéré que l'IA pourrait être utile pour effectuer des tests de sécurité de manière plus éthique, en accélérant la détection des menaces à travers l’analyse automatisée de données à grande échelle. Cependant, il a exprimé des inquiétudes sur la tendance à ignorer les risques liés à la conception de systèmes IA. Mert Mustafa, directeur général chez eSentire, a mis en garde contre une trop grande confiance dans l'IA, soulignant qu'elle ne doit pas remplacer toutes les tâches humaines. Kuo Yoong, de Synnex, a également souligné que l'IA générative manque souvent de transparence sur la manière dont elle produit ses résultats, ce qui complique la défense des actions des équipes rouges en cas de litige.

Les experts conviennent que, bien que l'IA puisse transformer la cybersécurité, elle présente des défis juridiques et pratiques, notamment en raison de son manque d'explicabilité. Selon les intervenants, les criminels, eux, n’hésiteront pas à exploiter l’IA pour leurs attaques, ce qui rend son adoption inévitable. Nishant Jalan, de Galaxy Office Automation, a suggéré de limiter l'usage de l'IA générative pour éviter son excès et a appelé à une régulation stricte. D'autres experts se demandent si l'IA générative est encore suffisamment mature pour être intégrée aux équipes rouges. Kevin Reed, CISO d'Acronis, estime que l'IA est plus adaptée aux tests de pénétration, qui se concentrent sur les vulnérabilités techniques, tandis que les équipes rouges, axées sur des contrôles organisationnels plus subtils, nécessitent encore un travail humain plus poussé.

Concernant la légalité, Bryan Tan, associé du cabinet d'avocats Reed Smith spécialisé dans les technologies, estime que la principale question est de savoir qui porte la...