Lors d’un récent épisode d’Equity, Ami Luttwak, le directeur technologique de la société de cybersécurité Wiz, a souligné que « l’un des aspects essentiels de la cybersécurité est que c’est un jeu mental ». Alors que les entreprises s’empressent d’intégrer l’IA dans leurs flux de travail, que ce soit par le biais de la programmation rapide ou l’intégration d’agents IA, la surface d’attaque s’élargit considérablement. Bien que l’IA aide les développeurs à expédier le code plus rapidement, cette rapidité s’accompagne souvent de raccourcis et d’erreurs, créant de nouvelles opportunités pour les attaquants.
Wiz, récemment acquise par Google pour 32 milliards de dollars, a récemment mené des tests révélant qu’une mise en œuvre fréquente dans les applications créées sur le vif est l’authentification peu sécurisée. Ce système, qui vérifie l’identité d’un utilisateur pour s’assurer qu’il n’est pas un attaquant, est souvent mal conçu par commodité. Luttwak a précisé que les agents de programmation rapide agissent simplement selon les instructions données; si ceux-ci ne sont pas spécifiés pour construire de manière sécurisée, la sécurité sera négligée.
« Si chaque domaine de la sécurité connaît de nouvelles attaques, cela signifie que nous devons repenser chaque partie de la sécurité. »
Développeurs et attaquants utilisent tous deux des outils d’IA pour accélérer leurs processus. Les attaquants exploitent désormais des techniques de programmation rapide et d’autres agents d’IA pour lancer leurs exploits. « On peut même voir l’attaquant utilisant des instructions pour cibler des systèmes », a déclaré Luttwak, ajoutant que les attaques ciblant les outils d’IA internes des entreprises pourraient mener à des attaques sur la chaîne d’approvisionnement. Cela s’est produit récemment lorsque Drift, une startup spécialisée dans les chatbots IA, a été victime d’une violation de sécurité, exposant les données Salesforce de nombreux clients, comme Cloudflare et Google.
Bien que l’adoption des outils d’IA par les entreprises soit encore minimale — Luttwak estime qu’environ 1 % des entreprises ont pleinement adopté l’IA — il constate déjà des attaques hebdomadaires frappant des milliers de clients. « Cette révolution se déroule plus rapidement que toute autre révolution antérieure, ce qui nous pousse, en tant qu’industrie, à évoluer plus vite. »
Wiz, fondée en 2020, a d’abord cherché à aider les organisations à identifier et résoudre des configurations incorrectes et d’autres risques de sécurité dans les environnements cloud. Au cours de l’année écoulée, la société a élargi ses capacités pour suivre le rythme des attaques liées à l’IA. Luttwak exhorte les startups à envisager la sécurité dès le début et à intégrer un responsable de la sécurité des informations (CISO) dans leurs équipes. « Cela signifie planifier la sécurité et la conformité avant d’écrire une seule ligne de code », a-t-il conseillé.
