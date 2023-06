Si la révolution promise du monde des affaires par l’intelligence artificielle a lieu, elle ne se fera pas tout d’un coup. Quatre directeurs technologiques sur dix estiment que leur entreprise n’est pas prête pour l’avènement de nouveaux systèmes d’automatisation comme ChatGPT, d’OpenAI.

Cette statistique ressort d’un sondage mené à la fin mars pour le compte du géant californien de centres de données et des infrastructures Equinix auprès de 2900 responsables TI répartis dans une trentaine de pays de quatre continents.

La problématique pour ces entreprises est double. Les IA génératives comme ChatGPT promettent de révolutionner la façon dont on crée de la valeur à partir de données massives et des technologies numériques. Dans sa propre étude publiée au début du printemps, Goldman Sachs prédisait que ces IA pourraient ajouter 7 % en valeur au PIB mondial. Les entreprises qui ne sont pas prêtes à les adopter risquent de rater le bateau, avertit Equinix.

Il est très difficile de prévenir tous les incidents — mais il faut limiter les dommages et s’ajuster ensuite

En second lieu, et de façon peut-être plus sérieuse, les entreprises dont les systèmes informatiques ne sont pas adéquatement adaptés à l’adoption de ces nouveaux outils pourraient devenir des cibles de choix pour les cyberpirates.

Dans le sondage d’Equinix, 85 % des directeurs TI espèrent profiter des avancées dans l’IA pour améliorer le rendement de leur entreprise. Ceux parmi eux qui s’empressent d’adopter les plus récentes technologies sans avoir au préalable bien sécurisé leurs propres actifs numériques pourraient en payer le prix, explique Kaladhar Voruganti, expert avancé des technologies pour Equinix. « Par exemple, une entreprise qui décide de créer sa propre application d’IA générative pourrait vouloir faire traiter par des modèles d’IA situés à l’extérieur de ses installations des données confidentielles réparties dans divers centres internes et externes. »

Ces nombreux échanges de données représentent autant de brèches potentielles qui pourraient être exploitées par des internautes aux intentions malicieuses, craint-on chez Equinix.

Le chat et la souris

La présidente d’Equinix pour les Amériques, Tara Risser, était de passage à la Conférence de Montréal lundi pour discuter avec d’autres experts TI des risques de sécurité associés à l’émergence des nouvelles applications d’intelligence artificielle.

Au moins, Mme Risser ne craint pas en conséquence de l’avènement de cette nouvelle génération d’IA l’équivalent numérique d’une guerre nucléaire, ce que semblent redouter plusieurs experts notoires de l’IA, dont le chercheur montréalais Yoshua Bengio.

Cela ne veut pas dire qu’il n’existe aucun risque de sécurité associé à l’IA. Aux côtés de sa collègue d’Equinix sur scène durant la conférence, Jean-François Leduc, vice-président et directeur de la technologie pour la multinationale montréalaise de sécurité GardaWorld, a comparé l’évolution des technologies au jeu du chat et de la souris.

« Je ne vois pas dans l’IA une menace de fin du monde », dit-il en entrevue au Devoir. « C’est une nouvelle technologie qui permet d’ailleurs de créer de nouveaux outils de sécurité qui vont mieux nous protéger. Évidemment, le risque que l’IA soit utilisée à mauvais escient est là, mais il y a aussi des gens qui font de bonnes choses avec. »

Peu importe, avertit Jean-François Leduc, les entreprises qui comptent adopter des outils d’IA doivent se préparer à d’éventuelles failles de sécurité. « Il y a toujours des risques », dit-il. « Il est très difficile de prévenir tous les incidents — mais il faut limiter les dommages et s’ajuster ensuite. »

Cybermenaces automatisées

D’où l’importance, aussi bien pour les entreprises qui prévoient miser sur l’IA que pour celles qui ne s’y intéressent pas, d’au moins offrir de l’information claire à leurs employés sur les bonnes façons de l’utiliser, ou pas, et sur les choses à faire s’il survient un incident de sécurité informatique au travail.

Car il y a des cyberpirates qui les utilisent, eux, ces technologies. Elles les aident à raffiner leurs pratiques. ChatGPT est capable de comprendre puis de générer du texte dans une cinquantaine de langues. Rédiger un faux courriel impeccable dans plusieurs langues, y compris le français, qui servira à leurrer des gens en entreprise pour leur soutirer de l’information confidentielle ou de l’argent, demande tout à coup très peu d’efforts, constate le responsable des technologies de GardaWorld.

« Des dirigeants qui ne croient pas qu’ils pourraient être ciblés oublient que toute entreprise qui détient de l’information est une cible potentielle — même une PME de 10 employés. Les attaquants ne ciblent plus des organisations précises, ils recherchent les plus vulnérables. » Leurs outils font le tour du Web pour trouver les organisations qui ont des faiblesses et les prendront ensuite pour cible, allant récupérer de l’information sensible sur leur site Web ou sur les réseaux sociaux pour personnaliser un peu plus leurs attaques.

Tout cela est automatisé.

« Une rançon de 200 $ obtenue en trois minutes, si l’outil fait tout automatiquement, c’est payant ! » Ce n’est peut-être pas la fin du monde, mais c’est un enjeu que les entreprises ont intérêt à prendre au sérieux, conclut l’expert en sécurité informatique.