Libérer le potentiel de l’IA pour les RSSI : un cadre pour une adoption en toute sécurité

De nombreuses organisations sont dans les phases exploratoires de l’utilisation de l’intelligence artificielle (IA). Certaines de ces IA incluent l’apprentissage automatique (ML) et le traitement du langage naturel (NLP) dans la catégorie IA, ce qui rend l’IA plus inclusive. N’oubliez pas que l’IA existe depuis longtemps mais avec une sémantique différente.

Les avantages de l’IA pour certains secteurs comme la santé, la banque et les télécommunications entraîneront des changements stratégiques majeurs, et l’impact sera vaste. Les développeurs sont impatients de créer des LLM pour leurs applications métier et les intégrateurs de systèmes sont impatients d’intégrer l’IA dans leurs fonctions professionnelles existantes. L’IA devient rapidement omniprésente, ce qui signifie que les RSSI doivent savoir comment gérer, guider et diriger son adoption.

Tendances de l’IA – quel est le rôle de l’IA sur le marché de la sécurité ?

ChatGPT a donné un aperçu de GenAI et a généré un buzz autour de ses progrès stupéfiants dans le monde entier. Selon Forbesle marché mondial de l’intelligence artificielle devrait atteindre 1,8 000 milliards de dollars d’ici 2030.

eMarketeur L’adoption de GenAI mentionnée atteindra 77,8 millions d’utilisateurs au cours des deux années suivant la sortie de ChatGPT en novembre 2022, soit plus du double du taux d’adoption des tablettes et des smartphones.

PWC a révélé que 14 % des entreprises ayant adopté l’IA et l’apprentissage automatique dans le développement de produits tirent plus de 30 % de leurs revenus de produits ou de services entièrement numériques.

Défis pour les organisations dans l’adoption de l’IA

Alors que les entreprises souhaitent adopter l’IA plus rapidement pour stimuler la croissance, l’automatisation et la sécurité, les RSSI et leurs entreprises sont confrontées à quelques préoccupations.

1. Visibilité – de nombreuses équipes de l’organisation utilisent ou créent actuellement des applications d’IA, certaines ont les connaissances, les ressources et la sensibilisation à la sécurité pour le faire correctement, mais d’autres ne le font pas.

2. LLM non contrôlés : le modèle d’IA est un mélange d’instructions et de données, et les utilisateurs finaux ajoutent généralement des instructions supplémentaires pour obtenir un résultat de ce modèle. Désormais, un mauvais acteur pourrait modifier ces instructions pour permettre à l’IA de produire une réponse biaisée ou erronée.

3. Création d’applications d’IA sécurisées : la création d’actions personnalisées avec le flux de travail d’IA doit être validée du point de vue de la sécurité. Parfois, l’ajout d’une bibliothèque Python vulnérable dans l’application d’IA crée une chaîne d’approvisionnement logicielle défectueuse.

4. Données – il se peut qu’il n’y ait aucune visibilité sur les données propriétaires lors de la formation des modèles

5. Contrôles de sécurité : les applications/plugins d’assistant de code empruntent l’identité de rôles existants, les contrôles de sécurité des utilisateurs doivent donc être stricts.

Récemment, certains membres de l’équipe de recherche en sécurité ont découvert des preuves selon lesquelles les utilisateurs de ChatGPT étaient induits en erreur en installant des logiciels open source malveillants qu’ils jugent légitimes. Il est difficile de faire des prévisions, surtout concernant l’avenir. À mesure que le développement et l’utilisation de l’IA continuent d’évoluer, le paysage de la sécurité est amené à évoluer avec eux.

Solutions globales au sein des processus, des personnes et de la technologie

Lorsqu’il s’agit d’intégrer l’IA dans des cadres organisationnels, les défis peuvent sembler intimidants. Pourtant, la réponse à la question « Est-il sécuritaire d’adopter l’IA ? est un OUI retentissant ! La clé réside dans la mise en œuvre du bon cadre d’adoption. L’IA, lorsqu’elle est correctement exploitée, recèle un immense potentiel. Voici une approche structurée du cadre :

1. Planification
   Alors que l’organisation se lance dans l’aventure de l’IA, la première tâche consiste à identifier les cas d’utilisation de l’IA les plus appropriés. Ces cas d’utilisation doivent s’aligner directement sur les résultats commerciaux souhaités. Sans une compréhension claire de ces cartographies, investir dans les technologies d’IA pourrait conduire à un retour sur investissement (ROI) faible, voire nul. Commencez par répondre à des questions cruciales telles que les cas d’utilisation qui génèrent le plus grand impact commercial, ceux qui sont viables pour l’intégration de l’IA, etc.
   Le rôle d’un RSSI : Le RSSI collabore étroitement avec les parties prenantes de l’entreprise pour évaluer les cas d’utilisation de l’IA, garantissant ainsi l’alignement avec les objectifs de sécurité et un impact minimal sur l’infrastructure existante.
2. Élaboration de stratégies
   L’intégration de la gestion des risques liés à l’IA dans la stratégie de sécurité globale est d’une importance capitale. Favorisez une culture de sensibilisation à la sécurité dans toute l’organisation en sensibilisant les employés aux risques potentiels de l’IA et à leur rôle pour les atténuer.
   Le rôle d’un RSSI: Exigez de la transparence de la part des équipes explorant IA. Assurez-vous que chaque niveau de l’organisation est conscient du fonctionnement de l’IA et de la justification de ses décisions. Cette prise de conscience aidera les équipes à traverser facilement la Transformation sans penser que l’IA peut supprimer des emplois. Engagez un dialogue ouvert avec les parties prenantes telles que les développeurs, les équipes juridiques et les chefs d’entreprise. Partagez vos préoccupations et travaillez ensemble pour élaborer des stratégies globales de gestion des risques. Et développez des politiques collaboratives qui englobent chaque département et chaque niveau de l’organisation dans des contrôles de sécurité complets, y compris des politiques de données, d’applications, de chiffrement et d’autorisation.
3. Lancement du projet
   Chaque phase de lancement du projet doit respecter les critères de qualification établis lors de la phase de planification, sur la base de cas d’utilisation définis et de résultats commerciaux. Les critères peuvent impliquer d’évaluer si le paysage technologique actuel prend en charge la mise en œuvre de l’IA et la disponibilité de points de données pertinents pour la réalisation du projet.
   Le rôle d’un RSSI: Le RSSI doit superviser la gouvernance du projet, en veillant à ce que des étapes quantifiables soient atteintes. Une approche « d’échec rapide » peut être nécessaire pour soit s’éloigner du plan initial, soit passer au prochain projet viable.
4. Le développement de projets
   Lors du développement d’un projet ou d’une application d’IA, le strict respect des meilleures pratiques de sécurité est crucial. Les principales pratiques de sécurité à utiliser incluent l’identification des données sensibles utilisées pour entraîner le modèle et évaluer les exigences de protection, l’intégration des tests de sécurité, de la révision du code et des évaluations de vulnérabilité dans le développement, la soumission des composants tiers à des processus en marque blanche et la validation du développement du modèle via détection de biais et tests de robustesse. Il devrait également inclure une MFA pour l’accès aux applications d’IA, des contrôles d’accès basés sur les rôles pour restreindre l’accès aux données et fonctionnalités sensibles, un plan complet de réponse aux incidents adapté aux applications d’IA, décrivant les procédures en cas de violations de données ou de défaillances du modèle d’IA. Les organisations doivent également utiliser un système de renseignement sur les menaces pour surveiller en permanence les menaces émergentes liées à l’IA et mettre à jour les mesures de sécurité en conséquence.
   Le rôle d’un RSSI: Le RSSI supervise tout ce développement et doit s’assurer que toutes ces bonnes pratiques sont utilisées.

Adopter une intelligence artificielle (IA) responsable est inévitable. Tout le monde devrait l’adopter. Elle ne résoudra pas tous nos problèmes sans effort, mais, avec le bon cadre en place, l’IA a le potentiel d’avoir un impact significatif.

Comment OpenText et TechMahindra peuvent vous aider

DevSecOps est aujourd’hui la méthode normale de développement d’applications et le DevSecOps activé par l’IA ne fait que rendre plus puissant le développement d’applications sécurisées. Grâce à des modèles d’apprentissage automatique et LLM appropriés, les plates-formes DevSecOps basées sur l’IA permettent de créer des logiciels sécurisés avec une efficacité améliorée et des vulnérabilités très minimes. OpenText, en collaboration avec TechMahindra, a lancé une solution basée sur le cloud MSSP solution « FastTrack to Application Security » couvrant les DAST, SASTanalyse de la composition des logiciels, et API sécurité. Cela aide les développeurs à tester la sécurité du logiciel rapidement et avec précision. Le délai d’exécution des analyses est réduit de 75 % par rapport aux analyses ponctuelles effectuées dans le cadre des tests de sécurité. Avec cette solution, nous pouvons exécuter l’analyse lors de l’écriture de son code et lors de l’exécution avec un minimum de faux positifs.

DevSecOps basé sur l’IA aide les RSSI avec des informations plus précises, des corrélations bien établies à partir des flux de menaces/informations et des vulnérabilités indépendantes de la technologie. Ils apportent précision, rapidité, sécurité proactive et collaborations améliorées. Les tableaux de bord exécutifs de la plateforme peuvent être davantage exploités comme flux d’informations pour SOC opérations pour une meilleure détection et réponse.

Conclusion

Les RSSI doivent faire partie d’une équipe interfonctionnelle de dirigeants d’une entreprise qui définit des lignes directrices pour les employés. Un cadre de gouvernance et un inventaire des utilisations existantes de l’IA devraient être élaborés. L’adoption de l’IA dans DevSecOps permet aux RSSI de créer des systèmes logiciels sécurisés et résilients tout en permettant des pratiques de développement plus rapides et plus efficaces. Restez en sécurité et profitez de la puissance de l’IA !

Co-écrit par Rohit Baryha, Application Security Solution, OpenText Cybersecurity et Suchitra Krishnagiri, responsable AppSec & DevSecOps du CoE, TechMahindra