Barracuda full logo

Peser le pour et le contre de ChatGPT en matière de cybersécurité

Thèmes:
1 mai 2023
|
Mike Vizard

Maintenant qu'il est devenu évident que les plateformes d'intelligence artificielle (IA) générative telles que ChatGPT constituent un outil de plus dans une longue lignée d'outils qui, du point de vue de la cybersécurité, sont à double tranchant, il est temps de déterminer comment les utiliser au mieux tout en mettant en place des barrières de protection qui, nous l'espérons, limiteront les dommages qui peuvent clairement en résulter.

Un rapport de la Cloud Security Alliance (CSA) se penche sur la menace que représentent les plateformes d'IA générative en matière de cybersécurité, avec notamment des exemples très détaillés illustrant comment les campagnes de phishing gagneront à la fois en sophistication et en nombre, mais aussi comment ces plateformes peuvent être utilisées pour optimiser la reconnaissance, la découverte et l'exploitation des vulnérabilités plus efficacement, et l'écriture de code polymorphe capable de modifier son apparence afin de ne pas être détecté par les scanners.

Le rapport identifie d'autres types d'attaques potentielles préoccupantes :

  1.    Injection SQL pour exposer les systèmes internes, les interfaces de programmation d'applications (API) et les sources de données
  2.   Questions et requêtes entraînant des réponses massives ou en boucle jusqu'à ce que le service soit à court de jetons
  3.   Injection SQL pour obtenir des réponses à des questions sur le produit que le pirate peut utiliser à son avantage
  4.   Demandes qui génèrent des réponses juridiquement sensibles liées à la calomnie et à la diffamation
  5.   Attaques susceptibles d'injecter des données dans des modèles de formation

En outre, le rapport note que les entreprises doivent établir des politiques pour l'utilisation de plateformes telles que ChatGPT afin de s'assurer que les données contenant des données à caractère personnel (PII) ne sont pas partagées par inadvertance avec un service cloud public. Le rapport souligne que la connexion à la plateforme doit également être sécurisée, car il est toujours possible que le résultat d'une requête ait été modifié avant d'être affiché.

En revanche, les plateformes d'IA générative devraient permettre aux développeurs d'exploiter plus facilement des outils tels que GitHub Copilot pour concevoir des codes plus sécurisés, tout en fournissant aux équipes de cybersécurité un outil qui leur permet de rechercher plus facilement les vulnérabilités outre l'identification des cyberattaques à l'aide du cadre ATT&K de MITRE, améliorant les délais de réponse aux incidents en simplifiant la traque des menaces et en automatisant les playbooks, en analysant les fichiers et le code, en créant des tests, en rédigeant de meilleures politiques, en fournissant aux utilisateurs finaux de meilleurs conseils sur les meilleures pratiques, et même en détectant les codes générés par une plateforme d'IA générative.

OpenAI et Microsoft ont imposé des limites à l'utilisation de ChatGPT.  Par exemple, les requêtes jugées préoccupantes ou identifiées comme des menaces sont laissées sans réponse. Cependant, il est clair que les risques sont encore nombreux. Le légendaire génie de l'IA est sorti de sa lampe et il n'y a aucun moyen de l'y remettre.

Les professionnels de la cybersécurité avertis savent que, quel que soit le degré d'utilisation de l'IA, la prévention est la meilleure arme qui soit. Qu'on le veuille ou non, on assiste à une course à l'armement en matière d'IA dans le domaine de la cybersécurité. Il ne reste plus qu'à déterminer comment la prochaine bataille relative à la cybersécurité sera livrée et gagnée, sachant que ne rien faire équivaut à accepter la défaite.

 

 

Mike Vizard

Mike Vizard est un spécialiste de l'informatique depuis plus de 25 ans et à ce titre, a publié et contribué à de nombreuses publications techniques, dont InfoWorld, eWeek, CRN, Baseline, ComputerWorld, TMCNet et Digital Review. Il rédige actuellement des articles de blog pour IT Business Edge, et contribue à la rédaction d'articles pour CIOinsight, The Channel Insider, Programmableweb et Slashdot. Mike blogue également sur la technologie cloud émergente pour SmarterMSP.

Connectez-vous à Mike sur LinkedIn ou Twitter.

Billets associés :
The Dark Side of GenAI: Strategic implications for cyber defense
The Dark Side of GenAI: Strategic implications for cyber defense
 Premiers signes d’attaques par ransomware basées sur l’IA
Premiers signes d’attaques par ransomware basées sur l’IA
 Aligner la cybersécurité avec les besoins et exigences de l'entreprise
Aligner la cybersécurité avec les besoins et exigences de l'entreprise
 Exploring AI adoption: From curiosity to clarity
Exploring AI adoption: From curiosity to clarity
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.