ChatGPT, une nouvelle forme d'intelligence artificelle (IA) générative, a pris le monde d'assaut.
Lancée en novembre 2022, elle compte déjà plus de 100 millions d'utilisateurs dans le monde en janvier 2023. Il s'agit de l'application grand public qui a connu la croissance la plus rapide dans l'histoire, relativement courte, de l'ère informatique moderne.
Fast Fast Forward s’est récemment entretenu avec Zhenghong Pan, Responsable de la souscription Financial Lines, Singapour, chez É«¶à¶àÊÓƵ au sujet de l'IA générative et de la manière dont elle pourrait affecter le risque cyber. Même si l'article qui suit traite de l'IA générative, ce sont bien des personnes réelles qui l'ont rédigé.
Qu'est-ce que l'IA générative et en quoi ces nouvelles versions diffèrent-elles des modèles d'IA précédents ?
L'IA générative est une nouvelle forme d'intelligence artificielle qui utilise des algorithmes pour créer du contenu, y compris du code, du texte, du son et des images. Le plus célèbre d'entre eux est actuellement ChatGPT ; GPT signifie Generative Pre-trained Transformer (transformateur génératif pré-entraîné).
Alors que les systèmes d'intelligence artificielle traditionnels sont conçus pour reconnaître des modèles et faire des prédictions, ChatGPT est une forme de réseau neuronal qui "apprend" le contexte d'un modèle de langage, y compris les langages parlés et les langages de programmation informatique.
J'ai mis le terme "apprend" entre guillemets, car si le modèle comprend comment différents mots ou symboles sont utilisés ensemble pour créer du sens, cela ne signifie pas qu'il "sait" ce qu'il dit. Au contraire, l'IA générative a été comparée à un perroquet d'internet en ce sens qu'elle répète des mots ou des phrases qui, selon les probabilités, sont les plus susceptibles de se trouver les uns à côté des autres dans un discours naturel. Cela lui permet de créer en quelques secondes un nouveau contenu qui, autrement, prendrait des heures ou des jours à produire.
Comment les différents secteurs pourraient-ils utiliser l'IA générative ?
Au cours des derniers mois, les médias ont multiplié les reportages sur les bouleversements que l'IA générative pourrait provoquer dans la société et dans pratiquement tous les secteurs d'activité. Certains commentateurs prédisent que ces technologies entraîneront de profonds changements sociétaux, en particulier lorsque les robots atteindront un niveau d'"intelligence" dépassant les capacités humaines. Cependant, pour l'instant, , la meilleure réponse à la question de savoir comment l'IA générative affectera nos vies est "personne ne le sait vraiment".
Cela dit, je peux envisager plusieurs applications pour ces outils dans le secteur commercial des assurances multirisques. Les plus évidentes comprennent la rédaction de courriels et l'automatisation accrue du processus de collecte et d'analyse des données utilisées pour souscrire différents risques. L'IA générative devrait également aider les assureurs à traiter les sinistres plus rapidement et plus efficacement et à identifier des modèles fondés sur cette sinistralité afin de faciliter une évaluation plus précise des risques. Le Groupe AXA et É«¶à¶àÊÓƵont déjà élaboré des lignes directrices pour l'utilisation d'outils d'IA générative tels que ChatGPT à ces fins ainsi qu' à d'autres, et je suis sûr que ces lignes directrices seront optimisées et élargies au fur et à mesure que de nouvelles utilisations seront identifiées.
Cependant, ChatGPT et les systèmes similaires sont loin d'être parfaits. Les premiers tests suggèrent que les meilleurs modèles produisent des informations exactes dans environ 50 à 70 % des cas. Il y a également eu de nombreuses anecdotes concernant ChatGPT qui s'est égaré dans des contenus absurdes ou qui a inventé des choses, ce que nous, les humains, appellerions des hallucinations. Néanmoins, ces erreurs et imperfections deviendront sans doute moins fréquents à mesure que les modèles deviendront plus expérimentés, bien qu'il soit également toujours difficile de prédire la forme de la courbe de fiabilité au fil du temps.
Quel sera l'impact de ChatGPT sur le risque cyber ?
Malgré les mises en garde susmentionnées, on ne peut ignorer la possibilité que ChatGPT ou d’autres modèles d’IA générative exacerbent le risque cyber. En particulier, les pirates pourraient demander à un chatbot d’écrire le logiciel nécessaire pour lancer et exécuter des cyberattaques. Cela pourrait modifier considérablement le paysage des menaces.
Un exemple : les cybercriminels qui proposent des ransomwares en tant que service (Ransomware-as-a-Service ou RaaS). Ces gangs ne s'attaquent pas directement aux organisations, mais proposent à d'autres des noms d'entités exposées - entreprises privées, gouvernements, écoles et universités, etc. Ils fournissent également un logiciel permettant d'exécuter des attaques par ransomware et un manuel d'utilisation. Les "vendeurs" de RaaS font payer une licence ou prélèvent une partie des recettes de leurs "clients".
Auparavant, le développement d'une opération RaaS productive et rentable nécessitait des capacités d'ingénierie logicielle assez sophistiquées. Toutefois, grâce à l'IA générative, il pourrait être beaucoup plus simple de demander à un chatbot de créer le logiciel nécessaire pour lancer une attaque par hameçonnage, par logiciel malveillant ou par déni de service, et produire de meilleurs résultats, comparé à un développement par soi-même de ce même code.
De même, l'IA générative pourrait rendre le piratage plus accessible aux amateurs qui n'avaient pas les compétences nécessaires pour percer les barrières de sécurité de plus en plus sophistiquées des organisations. Ainsi, nous pourrions voir de plus en plus de "script kiddies" ; c'est le terme commun, appliqué aux pirates informatiques néophytes qui utilisent des scripts ou des programmes développés par d'autres à des fins malveillantes. Dans le passé, ils auraient accédé au dark web pour trouver ces scripts. Aujourd'hui, ils pourraient utiliser un chatbot pour écrire le logiciel à leur place.
L'utilisation de l'IA générative à des fins illégales n'est-elle pas soumise à des restrictions ?
Bien que ChatGPT et d'autres systèmes soient soumis à de telles limites, les pirates ont trouvé le moyen de les contourner. En outre, lorsqu'une publication technologique de premier plan a demandé à ChatGPT de l'utiliser pour créer des logiciels malveillants, le programme a répondu que "les acteurs de la menace peuvent utiliser l'intelligence artificielle et l'apprentissage automatique pour mener à bien leurs activités malveillantes", mais que le développeur "n'est pas responsable de l'utilisation abusive de sa technologie par des tierces parties".
Par ailleurs, bien que les régulateurs gouvernementaux et d'autres examinent de près la nécessité de mettre en place des garde-fous autour de l'IA générative, l'une des importantes leçons que nous avons apprises ces dernières années est que les pirates finiront toujours par trouver des ouvertures ou des solutions de contournement.
Quelle est l'efficacité des systèmes de cybersécurité existants pour détecter et prévenir les attaques créées par les chatbots ?
Les experts en cybersécurité signalent que le code rédigé par ChatGPT pourrait, comme l'a dit l'un d'entre eux, "échapper facilement aux produits de sécurité" en raison de la capacité apparente du chatbot à créer ce que l'on appelle des virus polymorphes ou métamorphiques. Il s'agit d'un type de logiciel malveillant programmé pour modifier son apparence ou ses fichiers de signature par le biais de nouvelles routines de décryptage. Cela signifie que de nombreuses solutions antivirus ou antimalware actuelles qui reposent sur une détection basée sur les signatures ne seront pas en mesure de reconnaître et de bloquer l'attaque.
Dans le même temps, les fournisseurs de solutions de cybersécurité ne restent pas inactifs. Ils tirent bien évidemment eux aussi parti de ces nouveaux outils.
Par exemple, de nombreuses entreprises utilisent des outils de détection et de réponse au niveau du point d'accès (Endpoint Detection and Response ou EDR). Ce logiciel s'installe sur un point d'accès (par exemple, le poste de travail d'un employé) et enregistre des informations. Tout ce qui est fait sur cet ordinateur est envoyé à un centre opérationnel de sécurité qui surveille les enregistrements et utilise des logiciels automatisés pour rechercher des anomalies ou des comportements suspects.
Aujourd'hui, une nouvelle vague de logiciels appelée XDR pour Extended Detection and Response, est en train de voir le jour. Il s'agit du niveau suivant de détection et de réponse au niveau du point d'accès, qui s'appuie sur l'IA pour repérer automatiquement les comportements anormaux ou les signaux d'apparence dangereuse.
En conséquence, il semble probable que l'IA générative va intensifier la course aux armements entre les pirates qui cherchent à infiltrer les systèmes informatiques des organisations et les professionnels de la cybersécurité qui cherchent à les en empêcher. En d'autres termes, les batailles entre les bons et les méchants pourraient devenir encore plus intenses et complexes.
Que suggérez-vous aux entreprises confrontées à ces nouvelles menaces ?
Bien qu'il y ait encore beaucoup d'incertitudes, je ne pense pas que l'émergence de ChatGPT appelle des réponses différentes. Au contraire, elle renforce l'importance de l'approche en trois volets, recommandée par les professionnels de la cybersécurité, à savoir la prévention, la réaction et l'atténuation.
En termes de prévention, les entreprises doivent s'assurer que leurs systèmes et protocoles de cybersécurité comprennent les outils et processus les plus récents et les plus robustes pour bloquer les cyberattaques. Après tout, les cybercriminels recherchent généralement des cibles moins bien défendues, où le niveau d'effort nécessaire pour réussir n'est pas si élevé.
Les entreprises doivent également disposer de mécanismes permettant de limiter la portée d'une attaque et de restaurer rapidement les données et les systèmes affectés. É«¶à¶àÊÓƵtravaille en partenariat avec les principaux fournisseurs de solutions de réponse aux violations et dispose d'une ligne d'assistance téléphonique 24 heures sur 24, 7 jours sur 7, pour aider les entreprises à faire face à ces situations délicates. Nos couvertures cyber comprennent également l'accès à des sociétés spécialisées dans les cyber incidents, y compris les expertises informatiques, les questions juridiques, les relations publiques et la surveillance de l'identité.
Enfin, É«¶à¶àÊÓƵaide ses clients de nombreux secteurs d'activité à structurer des polices d'assurance conçues pour atténuer les pertes financières liées aux cyberattaques.
