Alerte de cybersécurité – Modèles d’intelligence artificielle de pointe

Contexte

Qu’est-ce qu’un modèle d’IA de pointe?

Les modèles d’IA de pointe sont des systèmes propulsés par l’intelligence artificielle qui sont hautement performants et capables d’effectuer des tâches complexes de raisonnement, d’ingénierie logicielle et d’analyse à un niveau pouvant dépasser celui des technologies d’IA des générations précédentes. De tels systèmes d’IA avancés peuvent :

• détecter les vulnérabilités logicielles plus rapidement et à plus grande échelle que les méthodes manuelles traditionnelles;
• analyser des environnements logiciels complexes et leurs interdépendances;
• générer et tester du code afin de confirmer toute vulnérabilité éventuelle;
• aider les équipes de sécurité à établir le niveau de priorité des faiblesses relevées, puis à y remédier;
• potentiellement permettre aux cybercriminels d’automatiser certaines étapes du cycle de vie d’une cyberattaque.

Avancées récentes

1. Claude Mythos d’Anthropic1

Anthropic a récemment annoncé le projet « Glasswing », une initiative en matière de cybersécurité articulée autour de son modèle d’IA de pointe, Claude Mythos. Selon Anthropic, ce modèle a démontré des fonctionnalités avancées pour détecter des failles logicielles jusque-là inconnues dans divers systèmes d’exploitation, navigateurs Web et autres environnements logiciels. La firme californienne a indiqué que des tests contrôlés ont démontré que le modèle était capable d’effectuer de manière autonome des tâches complexes liées à la cybersécurité, notamment la détection de vulnérabilités et l’analyse des vecteurs d’attaque, à un niveau surpassant celui des systèmes d’IA des générations précédentes.

Compte tenu des implications potentielles de ces capacités, l’accès à Claude Mythos est actuellement limité à un groupe restreint d’entreprises technologiques, de gouvernements, de fournisseurs d’infrastructures critiques et d’organisations de cybersécurité participant au projet « Glasswing ». Parmi les participants figurent de grands fournisseurs de services technologiques et infonuagiques qui collaborent pour trouver et corriger les vulnérabilités logicielles avant qu’elles ne puissent être exploitées.

2. Daybreak d’OpenAI2

OpenAI a récemment lancé « Daybreak », une initiative en matière de cybersécurité qui associe des modèles d’IA avancés à des outils de sécurité et à des fonctionnalités en génie logiciel afin d’aider les organisations à détecter et à valider les vulnérabilités logicielles, à en établir le niveau de priorité et à les corriger. Ce projet vise à aider les responsables de la sécurité à automatiser certaines étapes du cycle de gestion des vulnérabilités et à améliorer la rapidité et l’efficacité des opérations de sécurité.

Daybreak rassemble diverses organisations spécialisées en cybersécurité, en programmation infonuagique et en technologies, et s’inscrit dans une tendance générale du secteur qui consiste à recourir à des systèmes d’IA avancés pour renforcer les fonctions de cybersécurité. Contrairement aux programmes de recherche soumis à des restrictions strictes, certains services du projet Daybreak peuvent être accessibles dans le cadre de programmes d’accès contrôlé et vérifié.

En quoi cela importe-t-il pour les courtiers membres?

À mesure que l’usage de ces capacités se démocratise, les sociétés doivent s’attendre à une évolution constante des pratiques en matière de cybersécurité, tant sur le plan défensif qu’offensif. Les conséquences pour les courtiers membres sont considérables.

1. Les délais d’exposition aux vulnérabilités raccourcissent.

Le délai entre la découverte, la divulgation et l’exploitation d’une vulnérabilité pourrait continuer à diminuer. Les sociétés pourraient disposer de moins de temps pour évaluer les vulnérabilités, en établir le niveau de priorité et les corriger avant qu’elles ne soient ciblées par des pirates.

2. L’enchaînement des vulnérabilités accroît les risques.

Les systèmes d’IA avancés pourraient être capables de tracer des vecteurs d’attaque complexes en combinant plusieurs vulnérabilités de moindre gravité qui, individuellement, ne semblent pas critiques. Par conséquent, l’évaluation des vulnérabilités fondée uniquement sur des notes de gravité individuelles pourrait ne pas suffire.

3. La pression exercée par les vulnérabilités du jour zéro s’intensifie.

La rapidité et l’ampleur de la détection des vulnérabilités assistée par l’IA pourraient accroître la fréquence de détection de nouvelles failles, y compris celles jusque-là inconnues.

4. Les risques liés aux tiers et à la chaîne d’approvisionnement sont amplifiés.

Les courtiers membres s’appuient de plus en plus sur des fournisseurs de technologies, des services infonuagiques, des éditeurs de logiciels et d’autres tiers interconnectés. La détection des vulnérabilités assistée par l’IA peut exposer plus rapidement les faiblesses au sein de ces écosystèmes interconnectés, augmentant ainsi le risque de conséquences opérationnelles en cascade lorsque des vulnérabilités existent chez des fournisseurs ou des prestataires de services critiques.

5. La résilience opérationnelle revêt une importance accrue.

À mesure que les cybermenaces évoluent, la résilience opérationnelle, qui englobe la planification de la continuité des activités, l’intervention en cas d’incident de cybersécurité, les tests de reprise et les capacités de gestion de crise, devient de plus en plus cruciale. Les processus de contrôle et d’exploitation existants peuvent devenir surchargés ou inefficaces dans un environnement où l’échelle et le rythme des attaques peuvent s’accentuer.

6. L’ingénierie sociale et la fraude propulsées sur l’IA gagnent en sophistication.

Les modèles d’IA de pointe sont à même de générer des communications, de forger des identités et de tenter d’usurper des identités de façon de plus en plus convaincante. Ces capacités peuvent accroître les risques liés à la compromission des courriels professionnels, aux intrusions dans des comptes, aux instructions de paiement frauduleuses, à la manipulation des services d’assistance et aux attaques visant les conseillers, les représentants inscrits, les dirigeants et les clients.

Facteurs à prendre en considération en matière de gestion des risques

Bien que les principes fondamentaux de gestion des cyberrisques demeurent inchangés, les avancées du côté de l’IA de pointe augmentent la rapidité, l’ampleur et la sophistication des cybermenaces amenées par l’IA et peuvent exiger des sociétés qu’elles évaluent si les mesures en place en matière de gouvernance, de gestion des vulnérabilités, de gestion des risques liés aux tiers, de prévention et de détection de la fraude et d’intervention en cas d’incidents demeurent efficaces.

Les exemples ci-dessous visent à compléter les ressources actuelles de l’OCRI3 et à mettre en évidence certaines considérations particulières, découlant des avancées récentes quant aux modèles d’IA de pointe.

1. Gouvernance

Une gouvernance efficace est essentielle pour faire en sorte que les organismes comprennent bien les cyberrisques émergents et qu’ils y répondent adéquatement.

Ce que les sociétés de courtage devraient évaluer

• L’incidence potentielle des avancées en matière d’IA de pointe a une incidence considérable sur le profil de cyberrisque et la propension au risque de la société.
• Si, à la lumière de l’évolution des menaces, les investissements, les effectifs, la couverture d’assurance et les stratégies technologiques en matière de cybersécurité sont toujours adaptés.
• Si les processus de gouvernance et de transmission aux échelons supérieurs en place leur permettent de remédier aux vulnérabilités et de réagir en cas incidents plus rapidement.

2. Gestion des vulnérabilités et de l’exposition

À mesure que la détection des vulnérabilités assistée par l’IA gagne de la vitesse, les sociétés risquent de disposer de moins de temps pour déceler leurs faiblesses et les corriger avant d’être prises pour cible.

Ce que les sociétés de courtage devraient évaluer

• Établir le niveau de priorité des mesures correctives en fonction du risque et de son caractère exploitable plutôt que selon des cycles de correctifs fixes.
• Examiner les vulnérabilités de gravité moyenne et faible susceptibles d’être combinées pour former des vecteurs d’attaque plus importants.
• Rester à l’affût des informations sur les menaces externes et des avis des fournisseurs afin de cerner les vulnérabilités émergentes ciblant les systèmes critiques.
• Trouver et remplacer les technologies non prises en charge ou en fin de vie, le cas échéant.
• Mesurer et surveiller les fenêtres d’exposition, y compris le temps requis pour déceler, corriger et contenir les vulnérabilités.

3. Gestion des risques liés aux tiers et à la chaîne d’approvisionnement

En raison de l’interdépendance des écosystèmes technologiques, les failles de sécurité chez un fournisseur peuvent avoir des répercussions sur de nombreuses organisations.

Ce que les sociétés de courtage devraient évaluer

• Ouvrir un dialogue avec les fournisseurs clés sur leurs capacités en matière de gestion des vulnérabilités, d’application de correctifs et d’intervention en cas d’incidents.
• Tenir à jour un inventaire des services tiers essentiels.
• Surveiller les vulnérabilités importantes touchant les fournisseurs, les prestataires de services infonuagiques, les logiciels libres et d’autres dépendances technologiques.
• Revoir les pratiques d’externalisation et de gestion des risques liés aux tiers afin de s’assurer qu’elles restent efficaces dans un contexte de menaces en constante évolution.
• Considérer les risques de concentration découlant de la dépendance envers un nombre restreint de prestataires de services essentiels.

4. Contrôles préventifs liés à l’identité et aux accès

La mise en place de mesures préventives rigoureuses reste l’un des moyens les plus efficaces de réduire les cyberrisques. Une gestion efficace des accès, la sécurité des réseaux et la protection des données peuvent aider les sociétés à réduire la zone d’attaque qu’un modèle d’IA de pointe pourrait exploiter et à limiter ainsi la probabilité de telles attaques et leur portée.

Ce que les sociétés de courtage devraient évaluer

• Une authentification multifactorielle résistante à l’hameçonnage pour les comptes privilégiés et à haut risque, dans la mesure du possible.
• Des réévaluations régulières des droits d’accès privilégiés et l’application du principe du privilège minimal.
• Des vérifications de la segmentation du réseau et d’autres contrôles destinés à limiter les déplacements latéraux au sein de l’environnement.
• Des environnements infonuagiques sécurisés et des configurations respectant les normes de sécurité en vigueur.
• La protection des données sensibles, des identifiants, des clés de chiffrement et des comptes administratifs contre tout accès non autorisé.

5. Mesures de contrôle liées à l’ingénierie sociale et à la fraude propulsées par l’IA

Les modèles d’IA de pointe pourraient accroître la sophistication et l’échelle des attaques par usurpation d’identité, hameçonnage et ingénierie sociale.

Ce que les sociétés de courtage devraient évaluer

• Des contrôles relatifs à la prise de contrôle de comptes, aux instructions frauduleuses et à la vérification d’identité.
• L’amélioration de la sensibilisation des employés et des programmes de formation afin de lutter contre les tentatives d’hameçonnage et d’usurpation d’identité générées par l’IA.
• La mise en place de procédures de vérification pour les transactions à haut risque ou de grande incidence, les demandes de paiement, les modifications de compte et les demandes d’accès privilégié.
• Les risques liés aux identités synthétiques, aux hypertrucages et à l’usurpation d’identité de clients, de conseillers, de dirigeants et de prestataires de services.

6. Intervention et reprise des activités en cas d’incident

Étant donné que l’IA de pointe est susceptible d’accroître la rapidité, l’ampleur et la sophistication des cyberattaques, les courtiers membres devraient évaluer si leurs plans actuels d’intervention et de reprise des activités en cas d’incident demeurent efficaces dans un contexte où les menaces se multiplient et où les attaques surviennent de plus en plus rapidement et touchent plusieurs systèmes simultanément.

Les plans d’intervention et de reprise en cas d’incident des courtiers membres devraient prévoir :

• des définitions claires des rôles, des responsabilités, des procédures de transmission aux échelons supérieurs et de l’autorité décisionnaire en cas de cyberincident;
• des procédures pour détecter les cyberincidents ciblant les systèmes critiques, puis pour les contenir, les éliminer et y remédier;
• des tests réguliers au moyen d’exercices sur maquettes ou de simulations, y compris des scénarios avec hameçonnage fondé sur l’IA, compromission d’identifiants, exploitation de vulnérabilités, compromission de tiers et attaques simultanées sur divers systèmes;
• des protocoles de communication destinés aux parties prenantes internes, aux clients, aux prestataires de services tiers, aux organismes de réglementation, aux forces de l’ordre et aux commissaires à la protection de la vie privée, le cas échéant;
• la reprise des fonctions opérationnelles critiques dans le respect de délais cibles de reprise préétablis;
• des procédures visant à préserver les preuves, à tenir des registres et à faciliter les enquêtes judiciaires;
• des confirmations que les capacités de surveillance, d’enregistrement des activités et d’alerte sont suffisantes pour permettre une détection, un confinement et une transmission aux échelons supérieurs en temps opportun;
• un relevé des obligations applicables au signalement des cyberincidents, y compris celles envers l’OCRI lorsque cela est requis.

En résumé

Le portrait des cybermenaces ne cesse d’évoluer, les avancées en matière d’intelligence artificielle de pointe accélérant le rythme auquel les vulnérabilités peuvent être détectées, exploitées et corrigées. Les courtiers membres devraient évaluer de manière proactive l’incidence de cette évolution sur leurs programmes de cybersécurité et de résilience opérationnelle, et prendre les mesures appropriées pour garantir l’efficacité de leurs contrôles. Les sociétés capables de détecter les cybermenaces, d’en établir le niveau de priorité, de les contrer et de s’en remettre rapidement seront mieux placées pour protéger les investisseurs, préserver l’intégrité des marchés et maintenir la confiance envers les marchés financiers canadiens.

Vous trouverez davantage de renseignements et de ressources sur la gestion des cybermenaces, comme des guides et des webinaires, à la page Cybersécurité et technologie du site Web de l’OCRI.

• 1Anthropic, Project Glasswing: Securing Critical Software for the AI Era
• 2OpenAI, Daybreak
• 3Les courtiers membres doivent mettre en place des programmes de cybersécurité et de résilience opérationnelle adaptés à la nature de leurs activités, ainsi qu’à la taille, à la complexité et au profil de risque de celles-ci. Le Guide de cybergouvernance, le Guide des pratiques exemplaires en matière de cybersécurité et le Guide de planification – Gestion des cyberincidents de l’OCRI offrent des conseils sur la gouvernance, les mesures de contrôle, les processus et les pratiques associées à un programme de cybersécurité efficace.