Stratégie

Comment les RSSI repensent l'organisation de la sécurité à l'ère de l'IA

L’IA doit en particulier amener les RSSI à repenser leurs opérations cyber, pour gagner en capacité de traitement et en vitesse de réaction. (Photo : Joachim Schnürle/Pixabay)

Alors que l'IA s'intègre de plus en plus aux stratégies des entreprises, les RSSI réexaminent l'organisation de la sécurité pour s'adapter au rythme et au potentiel de cette technologie.

PublicitéL'évolution constante du paysage de la cybersécurité a longtemps tenu les RSSI en haleine, et l'IA pose désormais de nouveaux défis quant au fonctionnement des équipes de sécurité. Selon l'étude « Future of Cyber » de Deloitte auprès de décideurs américains dans le domaine de la cybersécurité, les capacités de l'IA sont de plus en plus utilisées dans les programmes de cybersécurité. 43 % des répondants y ont ainsi largement recours.

Le recours à cette technologie permet aussi aux RSSI de gagner en influence auprès d'une direction de plus en plus experte en cyber : près d'un tiers des répondants à l'étude de Deloitte indiquent ainsi être impliqués dans les discussions stratégiques sur les investissements technologiques. Cependant, ce changement de stature est progressif, souligne Joe Oleksak, associé chez Plante Moran, cabinet de conseil en comptabilité et en gestion de patrimoine. « Après près de 30 ans de conseil en cybersécurité, je peux affirmer avec certitude que l'IA n'a pas révolutionné les organisations cyber, elle transforme plutôt progressivement leur mode de fonctionnement », dit-il.

L'IA amplifie la moindre erreur

Le changement le plus important observé par Joe Oleksak réside dans la prise de conscience de l'importance du facteur vitesse dans les décisions des équipes cyber. Et, en la matière, l'IA n'est pas forcément une solution miracle, affirme-t-il. « L'IA accélère tout, aussi bien les attaques que les défenses, ce qui signifie que les fondamentaux sont plus importants que jamais, explique-t-il. Le provisioning, les autorisations, la segmentation du réseau, et même les informations stockées dans les dossiers partagés, doivent être gérés avec précision, car l'IA amplifie la moindre erreur. »

C'est là qu'intervient la discipline. « Les organisations qui ont investi dans la sécurité au fil du temps constatent des gains d'efficacité en intégrant des outils basés sur l'IA à leurs processus, souligne l'associé de Plate Moran. Mais celles qui n'ont pas pris la sécurité au sérieux restent confrontées aux mêmes risques qu'avant. L'IA ne rattrape pas leur retard comme par magie. » En réalité, comme les attaquants utilisent l'IA pour rendre le phishing, les analyses et les deepfakes moins coûteux et plus rapides, ajoute Joe Oleksak, l'écart entre les organisations matures et celles qui ne sont pas bien préparées ne fait que se creuser.

Certains RSSI repensent leur organisation de sécurité pour suivre le rythme de l'IA et en exploiter le potentiel, à mesure que cette technologie s'intègre de plus en plus à leurs stratégies. Deneen DeFiore, vice-présidente et RSSI chez United Airlines, affirme ainsi que l'IA a clairement transformé la nature de sa relation avec le reste de la direction. « L'IA a élevé la cybersécurité au rang de priorité stratégique. Je collabore plus étroitement avec d'autres dirigeants pour garantir que la sécurité soit intégrée dès le départ aux initiatives d'IA, explique-t-elle. Il ne s'agit plus seulement de protéger les infrastructures : il s'agit de favoriser l'innovation en toute sécurité, d'instaurer la confiance et d'aider l'entreprise à progresser plus rapidement et sereinement. »

PublicitéNe pas reproduire les erreurs de l'époque Internet

Cette évolution s'explique également, ajoute la RSSI, par l'engagement de la compagnie aérienne en faveur d'une IA responsable. « Nous nous concentrons sur un déploiement d'une IA éthique et transparente, la cybersécurité jouant un rôle central pour garantir la responsabilité, l'équité et la résilience. Cette responsabilité partagée au sein de la direction transforme notre façon de diriger et d'innover. »

Une grande partie de cette évolution est liée au fait que les organisations ont déjà pu constater - à leurs dépens - ce qui se passe lorsque la sécurité est reléguée au second plan, souligne Joe Oleksak. Ce phénomène s'est produit dans tout le secteur lors du déploiement d'Internet dans les années 1990, et Joe Oleksak estime que l'IA peut suivre le même schéma si la dynamique au sein des équipes dirigeantes ne change pas. « Nous ne pouvons pas nous permettre de répéter ces erreurs, souligne-t-il. Pour un déploiement responsable de l'IA, le RSSI doit être au coeur de la stratégie et de l'exécution. Une approche axée sur la sécurité, pilotée par le RSSI et soutenue par la direction générale, est le seul moyen de garantir que l'IA renforce l'entreprise au lieu de la fragiliser. »

Repenser la collaboration entre cyber et IT

L'avènement de l'IA a également modifié la façon dont l'IT collabore avec l'équipe cyber, passant d'une sécurité réactive à une collaboration proactive, explique Deneen DeFiore. « Nous intégrons désormais la cybersécurité dès le départ aux initiatives d'IA, en collaborant étroitement avec les équipes pour garantir une innovation à la fois sûre et éthique », souligne-t-elle.

Jason Lander, vice-président senior de la gestion des produits chez Aya Healthcare, en charge de la sécurité de l'organisation, constate également une évolution de la dynamique entre cybersécurité et DSI. « L'IA transforme sensiblement la façon dont ces services collaborent, rationalisent les workflows, répartissent les responsabilités, prennent des décisions et redéfinissent la confiance, dit-il. Nos opérations IT sont devenues plus intelligentes et proactives. Notre équipe de sécurité bénéficie d'un soutien opérationnel et d'une meilleure visibilité. »

Deneen DeFiore, vice-présidente et RSSI de United Airlines. (Photo : United Airlines)

Si Joe Oleksak, de Plante Moran, ne pense pas que l'IA ait significativement modifié la façon dont la plupart des organisations cyber travaillent avec l'IT, il a constaté que la technologie a commencé à modifier progressivement les attentes. « Les équipes informatiques supposent de plus en plus que la sécurité peut évoluer plus rapidement car l'IA accélère l'analyse et la détection, et les conseils d'administration commencent à considérer le RSSI comme un rôle plus stratégique », explique-t-il.

Par ailleurs, il estime que le RSSI apporte une perspective fondamentalement différente de celle du DSI. « L'IT se concentre sur la rapidité, l'efficacité et la capacité d'action de l'entreprise, tandis que le RSSI se concentre sur sa protection. Cette distinction est souvent mal comprise, affirme-t-il. Face à l'apparition de nouveaux risques majeurs liés à l'IA - deepfakes, phishing piloté par l'IA, exposition involontaire d'informations sensibles par les employés via des prompts -, seul le RSSI est en mesure d'anticiper et d'atténuer ces menaces. »

Jill Knesek, RSSI de BlackLine, est rattachée au DSI de l'éditeur de logiciels financiers. Selon elle, les équipes IT et cyber ont toujours travaillé en étroite collaboration, mais l'IA a propulsé cette relation à un niveau supérieur. « Nous devons désormais être cohérents sur toutes nos actions, explique cette ancienne agente du FBI au sein de la brigade cybercriminelle et ex-RSSI de Mattel. En effet, les outils d'IA ajoutent des risques mais offrent aussi des opportunités ».

Transformer la nature du travail

L'IA permet diverses améliorations chez Aya Healthcare, notamment la rationalisation et l'automatisation des tâches répétitives, explique Jason Lander, transformant ainsi les méthodes de travail en matière de sécurité. « Les outils d'IA permettent de récupérer les données plus rapidement et d'accélérer la prise de décision, ce qui libère du temps pour les membres de l'équipe afin qu'ils puissent se concentrer sur des enjeux plus stratégiques, précise-t-il. Nous continuons de former et de perfectionner nos employés aux nouveaux processus et outils d'IA, de rationaliser les intégrations de systèmes, d'identifier plus rapidement les menaces immédiates, d'améliorer les processus et de mettre davantage l'accent sur la sécurité globale, la gouvernance et l'accès aux données. »

Deneen DeFiore, d'United Airlines, partage cet avis : l'IA gère désormais le bruit en triant les alertes, en signalant les anomalies et en automatisant les tâches répétitives. Cela permet à son équipe de cybersécurité de se concentrer sur l'analyse stratégique, la modélisation des menaces et la planification de la résilience. « Nos opérations sont ainsi plus rapides, plus ciblées et plus efficaces », assure-t-elle.

Jason Lander affirme que l'IA a même transformé son travail quotidien en mettant l'accent sur l'automatisation des processus, ce qui l'a incité à réévaluer ses choix organisationnels antérieurs et à réévaluer ses priorités stratégiques. « Ce qui nécessite une connaissance approfondie de la gouvernance et des risques, l'alignement des capacités d'IA sur les objectifs métiers et l'équilibre entre innovation et gestion des risques », explique-t-il.

Sensibiliser les collaborateurs

Jill Knesek, de BlackLine, concentre ses efforts sur son équipe chargée des opérations de sécurité et y voit le principal cas d'utilisation de l'IA, car elle génère des frais généraux importants. Blackline dispose de ses propres opérations de sécurité travaillant 24 h/24 et 7 j/7, et la RSSI prévoit de déployer des ingénieurs spécialisés dans le bureau indien de l'entreprise afin d'améliorer la couverture la nuit et le week-end. « C'est un domaine où nous allons exploiter les capacités de l'IA afin de réduire les embauches tout en assurant ce niveau de couverture à l'échelle mondiale », précise-t-elle.

L'adoption d'outils d'IA chez Plante Moran « reflète une réalité simple : la meilleure façon de lutter contre les menaces liées à l'IA est souvent de se protéger grâce à des défenses basées sur l'IA », explique de son côté Joe Oleksak. Mais comme pour toute initiative cyber, la technologie n'est qu'une partie de la solution, souligne-t-il. Une défense efficace commence par la formation et la culture d'entreprise. « Nous avons déployé des efforts délibérés pour sensibiliser tous les employés aux capacités et aux risques de l'IA, afin qu'ils comprennent l'importance de nos protocoles et politiques de sécurité, explique-t-il. Nous ne voulons pas que les employés craignent l'IA : c'est un logiciel, et comme tout logiciel, il présente des vulnérabilités. »

Jill Knesek, RSSI de BlackLine. (Photo : Blackline)

À l'instar de Deneen DeFiore d'United Airlines, Joe Oleksak affirme que l'important est l'utilisation responsable de l'IA. Les outils basés sur cette technologie peuvent aider les employés à accélérer leur progression, mais il est essentiel de garder à l'esprit les fondamentaux. « Par exemple, avec l'utilisation de fausses voix, générées par deepfake, pour simuler l'image des dirigeants, les pratiques de sécurité simples et traditionnelles, comme la confirmation des instructions par téléphone, sont plus importantes que jamais », dit-il.

Même si l'IA n'a pas modifié la taille ni la structure des équipes de sécurité du cabinet, elle a modifié la nature de leur travail : moins de tri répétitif, plus de jugement, de communication et de renforcement de la culture de sécurité, explique Joe Oleksak. « La technologie rend la formation, la culture interne et la qualité du jugement plus importantes que jamais. »

Rapprocher analyse de la menace et Data Science

Pour Jason Lander d'Aya Healthcare, l'IA a ouvert de nombreuses opportunités que ses équipes étudient. « Nous repensons et redéfinissons les données sensibles. Nous adoptons également de meilleurs modèles et pratiques de détection pour distinguer les comportements humains des comportements générés par des robots », explique-t-il, ajoutant que les professionnels de la sécurité surveillent et anticipent également les risques accrus de fuites de sécurité.

Chez United Airlines, les équipes sont en cours de réorganisation « afin de réunir analystes de la menace, ingénieurs et data scientists au sein de groupes plus agiles et collaboratifs, précise Deneen DeFiore. Nous recrutons en priorité des experts en IA et en machine learning, mais nous investissons également dans nos talents existants, en les formant à comprendre le fonctionnement de l'IA, à valider les modèles et à utiliser ces outils de manière responsable », explique-t-elle. Car, comme le souligne Joe Oleksak, l'IA oblige les RSSI à systématiser la validation de la technologie elle-même mais aussi celle des processus de cybersécurité des fournisseurs de services, embarquant de plus en plus souvent des modèles d'IA.

Revenir aux fondamentaux face à des risques mal maîtrisés

Jill Knesek reste préoccupée par les inconnues que comporte l'IA, mais elle affirme que les entreprises poussent les équipes cyber à développer rapidement de nouvelles fonctionnalités afin de pouvoir affirmer que l'IA est intégrée à leurs produits. La sécurité et l'informatique sont « en quelque sorte les équipes de transport qui posent les jalons et les barrières de sécurité pour éviter les pertes de contrôle, explique-t-elle. Nous travaillons à un rythme effréné dans certains domaines et, en réalité, nous ne connaissons pas précisément les menaces. Nous nous assurons donc de mettre en place les règles les plus strictes. »

À l'instar de Joe Oleksak, la RSSI affirme être convaincue de l'importance d'utiliser les principes de sécurité traditionnels et de mettre en place les contrôles appropriés. Une sécurité fondamentale efficace vous mènera loin, dit-elle. « Ensuite, à mesure que nous découvrirons des attaques plus sophistiquées, nous devrons adapter nos outils et nos capacités à ces risques. » Pour l'instant, le plus important, selon elle, est de rester « en phase avec les orientations stratégiques de l'entreprise » et de s'assurer que la sécurité en place remplisse pleinement ses fonctions fondamentales.

Construire des coalitions

Alors que les organisations repensent leur approche de la sécurité, Joe Oleksak conseille aux RSSI de ne pas se laisser « tromper par le battage médiatique » et de garder à l'esprit que l'IA n'est pas une stratégie, mais un outil. « Traitez-la comme tout autre investissement technologique, conseille-t-il. Commencez par définir vos priorités en matière de risques, puis déterminez où l'IA peut réellement vous aider. » Ce qui signifie aussi se rappeler que l'IA amplifie les forces et les faiblesses. « Si votre inventaire d'actifs est incomplet, si vos contrôles IAM sont laxistes ou si votre rythme de correctifs est lent, l'IA ne résoudra pas ces problèmes ; cela ne fera qu'aggraver la situation », dit-il.

Joe Oleksak conseille aussi d'adopter une approche prudente lors du déploiement, en testant les outils d'IA dans des cas d'utilisation précis, comme le tri des alertes, l'analyse des journaux et la détection du phishing, afin d'en mesurer les résultats. « Concentrez-vous sur l'amélioration du jugement humain, et non sur le remplacement des équipes, conseille-t-il. Formez vos équipes à remettre en question les résultats de l'IA et sensibilisez vos dirigeants et employés aux avantages et aux risques de la technologie. Le rôle du RSSI ne se limite pas à déployer les outils d'IA, mais à s'assurer que l'organisation comprenne leur place dans le contexte global de la sécurité. »

De son côté, Deneen DeFiore souligne l'importance des partenariats avec d'autres départements de l'entreprise sur ce sujet naissant, « notamment les équipes juridiques, celles en charge des données et de l'exploitation », dit-elle. Un point sur lequel insiste aussi Jason Lander qui recommande aux RSSI de se préparer à l'ère de l'IA en créant des coalitions en interne et en veillant à ce que l'IA ne soit pas gérée de manière cloisonnée