Tu suis la course aux modèles IA ?
Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Un rapport récent du cabinet de conseil EY met en lumière un schéma familier dans le monde des affaires : bien que les entreprises soient désireuses d'intégrer l'intelligence artificielle (IA) dans leurs opérations, elles peinent à définir une voie claire pour y parvenir. Cette difficulté est particulièrement prononcée dans le domaine de la cybersécurité, où les attaques alimentées par l'IA représentent un risque croissant.
Principaux enseignements
Le rapport souligne que la cybercriminalité exploitant l'IA est perçue comme une menace sérieuse par la majorité des entreprises. Malgré cette prise de conscience, beaucoup d'entre elles se sentent insuffisamment protégées et manquent d'une stratégie claire pour renforcer leurs défenses. EY propose des étapes clés pour améliorer la sécurité cybernétique.
Les cyberattaques utilisant l'IA sont unanimement considérées comme une menace grave pour les entreprises aujourd'hui. Cependant, pour des raisons financières et logistiques, de nombreuses organisations estiment ne pas être suffisamment préparées. Elles manquent d'une feuille de route claire pour renforcer leurs défenses internes, selon un rapport publié jeudi par EY. Ce rapport, basé sur une enquête menée en décembre auprès de plus de 500 responsables de la cybersécurité dans divers secteurs, révèle que 96 % des répondants considèrent les attaques de cybersécurité habilitées par l'IA comme une menace significative pour leur organisation. Pourtant, moins de la moitié de ces dirigeants, soit 46 %, se disent très confiants dans leurs mécanismes de cybersécurité actuels pour contrer cette menace.
De plus, la majorité des répondants, soit 67 %, déclarent être encore en phase pilote dans l'élaboration de leur stratégie pour protéger leurs organisations contre cette nouvelle vague de cyberattaques. Mais selon Ganesh Devarajan, responsable des risques cybernétiques chez EY Americas, la phase pilote n'est pas suffisante dans un monde où l'IA offre continuellement aux cybercriminels de nouveaux moyens d'attaque. "Nous naviguons dans un paysage unique où l'IA arme l'environnement numérique tout en renforçant nos défenses", a-t-il déclaré à ZDNET. "Si je devais m'adresser à un responsable de la sécurité de l'information aujourd'hui, mon conseil serait simple : le temps d'attendre et de voir est révolu. Protéger une entreprise signifie maintenant construire une stratégie holistique où l'IA et les employés ne travaillent pas seulement côte à côte, mais amplifient également les forces de chacun."
Un plateau intersectoriel
La cybersécurité n'est pas le seul domaine où les entreprises expérimentant l'IA échouent à se lancer de manière robuste et significative. Malgré un intérêt élevé pour l'utilisation de la technologie en interne, de nombreuses entreprises peinent à le faire d'une manière qui génère de réels retours. Les organisations sont bloquées sur une sorte de plateau alors qu'elles tentent de transformer les initiatives internes en IA en croissance soutenue ; la volonté est présente, mais le chemin est souvent flou.
Une étude souvent citée du MIT, publiée en août, a révélé que 95 % des initiatives internes en IA des entreprises n'avaient pas réussi à fournir un retour sur investissement substantiel. Cela a été un signal d'alarme pour les développeurs d'IA et leurs clients commerciaux. En résumé, quelque chose dans l'approche actuelle de déploiement de l'IA au sein des organisations ne fonctionnait pas.
Quelques mois plus tard, une enquête menée auprès de milliers de dirigeants d'entreprise dans 21 pays a révélé que la grande majorité, soit 87 %, affirmait que l'IA "transformerait complètement" la manière dont leur organisation réalise son travail au cours de l'année suivante, mais seulement 29 % ont déclaré que leurs équipes disposaient des compétences et de la formation nécessaires pour réaliser cet objectif.
Obstacles à la cybersécurité
Ces deux thèmes ont été repris dans le nouveau rapport d'EY. En termes larges, le cabinet de conseil a constaté que, bien que la plupart des professionnels de la cybersécurité de haut niveau soient pleinement conscients du fait que l'IA équipe rapidement leurs adversaires de nouveaux modes d'attaque plus sophistiqués (tels que le phishing et les arnaques par deepfake), ils sont freinés par le manque d'un plan clair pour renforcer leur sécurité interne.
Les contraintes financières ont été identifiées comme un problème significatif : 85 % des répondants à l'enquête d'EY ont déclaré que le "budget actuel de cybersécurité de leur employeur est insuffisant pour faire face aux menaces habilitées par l'IA". En revanche, EY a également constaté que le nombre d'organisations consacrant au moins 25 % de leur budget de cybersécurité à la construction de solutions alimentées par l'IA devrait passer de 9 % aujourd'hui à 48 % au cours des deux prochaines années.
Le consensus semble donc être que la meilleure façon de lutter contre les nouvelles cybermenaces alimentées par l'IA est d'utiliser des défenses également alimentées par l'IA — une tendance qui a déjà commencé à se manifester dans le secteur financier.
Quatre conseils
Que peuvent faire les experts en cybersécurité dès maintenant pour faire face à cette nouvelle vague de menaces alimentées par l'IA ? EY a souligné quatre domaines clés sur lesquels ils devraient se concentrer :
-
Les budgets doivent être révisés "pour prioriser la cybersécurité alimentée par l'IA".
-
Au lieu d'essayer d'utiliser une pléthore d'IA pour automatiser des tâches spécifiques — ce qui, selon EY, constitue un goulot d'étranglement empêchant les entreprises de sortir de la phase pilote — les organisations devraient adopter une approche "orchestrée et pilotée par des agents". En d'autres termes, mettre en œuvre un modèle de contrôle de haut en bas pour l'utilisation interne de l'IA afin que les responsables de la cybersécurité puissent facilement visualiser les actions des agents d'IA et, si nécessaire, les corriger.
-
Les équipes doivent "investir massivement" dans la formation de leurs employés existants pour collaborer de manière sûre et efficace avec les agents d'IA.
-
Adopter une mentalité de course aux armements pour maintenir des garde-fous internes, car à mesure que les cyberdéfenses assistées par l'IA s'améliorent, les tactiques déployées par les cybercriminels assistés par l'IA le feront également. "Les organisations qui considèrent la gouvernance comme un système vivant — s'améliorant continuellement et s'intégrant à la culture et aux opérations — sont les mieux positionnées pour établir la confiance, gérer les risques émergents et traduire l'innovation en IA en un avantage concurrentiel durable."

