Un point de vue RSSI : sécuriser l’IA dans votre entreprise

Quel degré d’adoption constatez-vous aujourd’hui au sein de l’équipe de sécurité, et quelle part d’IA se cache-t-elle sous le capot des produits déployés par la plupart des organisations ? Veuillez également aborder les bootlegs dans vos commentaires sous SBOM.

De nombreuses entreprises de sécurité ont intégré l’apprentissage automatique et l’automatisation des processus robotiques (RPA) dans leurs outils. Lorsque l’IA a fait son apparition dans les médias grand public, tout d’un coup, le ML et le RPA sont devenus l’IA. Le fait que de nombreux organismes directeurs mélangent ML et IA n’a pas aidé, ce qui a un peu compliqué les choses pour nous en matière de sécurité.

Combien y a-t-il ? Plus que nous le pensons, mais moins que ce que disent les vendeurs. Nous allons résoudre ce problème avec les mandats des SBOM (software bill of materials), qui nous feront passer de la fiction à la réalité. Ce que nous ne pouvons pas perdre de vue dans tout le bruit de l’IA, c’est que si nous l’utilisons, les acteurs de la menace le sont également.

L’utilisation de l’IA dans l’ingénierie sociale va bouleverser nos méthodes d’autorisation et d’authentification. Ce qui a été la solution miracle appelée ZTNA (Zero Trust) ne signifiera rien si les acteurs de la menace continuent d’avancer au rythme où ils le font.

La plupart des équipes de sécurité sont sceptiques quant à la possibilité de sortir des limites concernant les bootlegs. Ainsi, utiliser l’IA sans l’approbation et la réflexion appropriées ne devrait pas être un problème. Cependant, c’est l’occasion de travailler avec des startups dans le cadre d’un partenariat de conception pour progresser plus rapidement grâce aux capacités de l’IA afin de résoudre des problèmes réels.

En ce qui concerne les RSSI gérant l’utilisation de l’IA, les RSSI doivent faire partie d’une équipe interfonctionnelle de dirigeants d’une entreprise qui définit des lignes directrices pour les employés. Un cadre de gouvernance et un inventaire des utilisations existantes de l’IA devraient être élaborés. Vous ne voulez pas étouffer l’innovation, vous devez donc créer un environnement sûr pour que les innovateurs puissent travailler. Les RSSI ne peuvent pas être les seuls décideurs dans l’utilisation de l’IA.

Je ne crois pas non plus à la création de politiques différentes pour l’adoption de la technologie. Si vos politiques et votre cadre de contrôle suivent une norme industrielle, la technologie que vous adoptez n’a pas d’importance. Les organismes de normalisation de surveillance comme le NIST sont indispensables aux RSSI pour que leurs organisations respectent un certain cadre.

Enfin, selon vous, qu’est-ce qui manque aux RSSI ?

De nombreux RSSI manquent d’esprit d’innovation. Avec leur travail surchargé, ajouter les complexités de l’IA semble écrasant. La réaction rapide face à cette situation est donc d’étouffer l’innovation. J’ai vu que cela a conduit de nombreux RSSI à bloquer et à interdire l’utilisation de l’IA. C’est le moyen le plus rapide de se faire montrer la porte dans ce rôle. Acceptez-le parce que cela ne mène nulle part.

L’essentiel

J’espère que vous avez acquis des idées et des connaissances grâce à ce que Patricia a partagé ci-dessus. En tant que porte-parole en matière de sécurité, Patricia s’exprime avec autorité. Elle travaille dans les domaines des données, du cloud et de la sécurité et est à l’avant-garde de la compréhension de l’impact de l’IA. Elle voit le paysage et sait à quoi les RSSI sont confrontés au quotidien.

Comme vous pouvez le constater, il existe des obstacles à la mise en œuvre de l’IA dans toute organisation, mais il existe également des stratégies de bon sens qui peuvent fonctionner. L’essentiel est d’agir rapidement mais prudemment, de rester concentré et de mettre en œuvre un plan bien pensé.