Barracuda full logo

Les nouvelles directives de la CISA visant à atténuer les risques liés à l'IA pour les infrastructures critiques

Thèmes:
31 juil. 2024
|

La sortie publique de ChatGPT fin 2022 a marqué le début d'une nouvelle ère dans le domaine de l'informatique. Cela a ouvert la voie à l'adoption de l'IA générative dans diverses applications destinées aux particuliers et aux organisations. Néanmoins, comme pour tout ce qui concerne la technologie, cela a un coût : la sécurité. 

Les technologies d'intelligence artificielle (IA) ont révolutionné la manière d'exécuter différentes tâches professionnelles, améliorant à la fois l'efficacité et la rentabilité. Toutefois, cette technologie peut être utilisée pour orchestrer différents types de cyberattaques visant les systèmes qui dépendent du numérique, les infrastructures critiques représentant dans ce cas la menace la plus importante. 

En avril 2024, l'agence de cybersécurité du gouvernement américain (CISA) a publié des directives officielles visant à renforcer la sûreté et la sécurité des infrastructures critiques contre les menaces liées à l'IA. Cet article aborde les principaux points mentionnés dans ce guide. Avant de commencer, nous allons examiner quelques exemples concrets d'utilisation de l'IA dans le domaine de la cybersécurité, en nous appuyant sur les nouvelles directives de la CISA.

Type de risques liés à l'IA pour les infrastructures critiques

La CISA regroupe les risques liés à l'IA pour les infrastructures critiques dans trois catégories :

Attaques utilisant l'IA

Dans ce cas, les adversaires exploitent l’IA pour mener des attaques contre les infrastructures critiques. Cette technologie peut être utilisée pour exécuter directement une attaque, la planifier ou en améliorer l'efficacité. Voici quelques exemples :

  • Les pirates utilisent l'IA pour créer des malwares sophistiqués qui peuvent échapper aux techniques de détection traditionnelles. Ces attaques sont souvent menées par des groupes de menaces persistantes avancées (APT) qui lancent des ransomwares pour tenter de dérober des données confidentielles ou pour obtenir un gain financier.
  • La technologie de l’IA peut être utilisée pour créer des botnets plus efficaces afin d’exécuter des attaques par déni de service distribué (DDoS).
  • Les adversaires se tournent de plus en plus vers l'IA pour créer des attaques de social engineering très convaincantes. Par exemple, le deepfake et le clonage vocal ont déjà été utilisés dans de nombreuses attaques par scam qui ont entraîné des pertes de plusieurs millions de dollars. 
  • La technologie de l'IA peut être utilisée efficacement pour détecter les vulnérabilités des infrastructures informatiques. Cela facilite la recherche de points d'entrée que les criminels peuvent exploiter pour exécuter différents types d'attaques. 
  • Les algorithmes d’apprentissage automatique (ML) peuvent être utilisés pour accélérer le processus de cassage des mots de passe à l’aide de techniques d’attaque par force brute. 

Attaques ciblant les systèmes d’IA 

Ces attaques sont exécutées directement contre les systèmes d’IA qui alimentent ou gèrent des infrastructures critiques, comme les réseaux électriques, les usines de traitement de l'eau ou les systèmes de transport. Il convient de noter que ces attaques ne visent pas toujours directement le système d'IA lui-même, mais peuvent cibler les données utilisées pour son entraînement ou le système d'entrée utilisé pour fournir des données à l'IA.

Les principales attaques visant les systèmes d'intelligence artificielle sont les suivantes :

Attaques par empoisonnement des données

Les attaques par empoisonnement des données visent à manipuler les ensembles de données d'entraînement utilisés pour entraîner les modèles d'IA et d'apprentissage automatique. Les pirates visent à affecter les résultats de ces systèmes, ce qui les amène à produire des résultats biaisés ou incorrects. Dans le cas des infrastructures critiques, telles que les usines de traitement de l'eau, une attaque par empoisonnement de données pourrait avoir de graves conséquences pour des millions de personnes.

Prenons l'exemple d'une usine de traitement de l'eau utilisant un système d'IA pour équilibrer les quantités et volumes des produits chimiques nécessaires à la purification de l'eau. Une mauvaise configuration du système d'IA, causée par l' empoisonnement des données, pourrait entraîner des niveaux de produits chimiques dangereux, contaminant ainsi l'eau potable de millions de personnes.

Attaques par évasion

Dans une attaque par évasion, les adversaires envoient des échantillons malveillants pour tromper le système de classification de l'IA et altérer ses performances. Dans le contexte des infrastructures critiques, cela signifie que les pirates utilisent des méthodes sophistiquées pour déjouer les défenses qui s'appuient sur l'IA pour détecter les menaces. Par conséquent, les activités malveillantes peuvent contourner les défenses sans se faire remarquer.

Par exemple, une centrale électrique utilise un système de contrôle industriel (ICS) pour gérer ses opérations. Ce système est protégé par un programme antivirus basé sur l'IA conçu pour détecter et bloquer les malwares. Les pirates utilisent des malwares avancés créés à l'aide de l'IA pour modifier leur comportement et leur signature en fonction de l'environnement cible afin d'empêcher l'antivirus basé sur l'IA de les détecter.

Attaque par interruption de service

Ces attaques sont conçues pour perturber le fonctionnement normal des systèmes d'IA responsables des opérations dans les infrastructures critiques. L'objectif de ces attaques est de rendre les systèmes d'IA inopérants. L'infrastructure n'est alors plus protégée et devient vulnérable à d'autres types d'attaques. Cette perturbation peut être exécutée à l'aide de diverses méthodes, notamment : 

  1. Submerger le système d’IA ciblé avec un grand nombre de requêtes ou de demandes, ce qui le rend incapable de répondre aux requêtes légitimes. Par exemple, un système de détection d’intrusion basé sur l’IA pourrait être alimenté par un grand volume de modèles de trafic réseau complexes pour saturer ses capacités de traitement, ce qui le rendrait inopérant. 
  2. Exploiter un bug dans un système d'IA utilisé pour protéger ou gérer une infrastructure critique afin de le rendre inopérant ou de stopper son fonctionnement. 

Défaillances dans la conception et la mise en œuvre de l'IA

Il s'agit de faiblesses ou de défauts dans n'importe quelle phase du processus de développement et de déploiement du système d'IA, qui comprend la planification, la conception, la mise en œuvre ou l'exécution. Toute défaillance au cours de l'une de ces phases peut nuire à l'efficacité, à la fiabilité et à la sécurité du système d'IA, le rendant ainsi vulnérable à de nombreuses cybermenaces.

Ces vulnérabilités peuvent se manifester de différentes manières. Par exemple, le fait de ne pas prendre en compte les vecteurs d'attaque potentiels (tels que l'injection de données) au cours de la phase de planification peut exposer le système d'IA à des risques. Lors de la phase de conception, des modèles de sécurité inadéquats peuvent introduire des vulnérabilités. Lors de la phase de mise en œuvre, toute erreur de codage, l'utilisation de bibliothèques obsolètes ou une validation insuffisante des données introduiront des failles de sécurité. Enfin, dans la phase d'exécution, des configurations erronées ou des contrôles d'accès inappropriés peuvent permettre un accès non autorisé au système d'IA et, par conséquent, aux systèmes sous-jacents qu'il gère ou protège. 

Lignes directrices pour les propriétaires et les exploitants d'infrastructures critiques

Selon les directives de la CISA, le cadre de gestion des risques liés à l’IA est composé des quatre fonctions suivantes :

Gouverner : établir une culture organisationnelle de gestion des risques liés à l’IA 

Les propriétaires et les exploitants d'infrastructures critiques ont tout intérêt à élaborer des politiques, des processus opérationnels et des procédures permettant de prévoir, de traiter et de gérer les différents avantages et risques liés à l'utilisation de l'IA tout au long de son cycle de vie. Cela garantit que la sécurité est inhérente, dès la phase de conception et jusqu’au déploiement et à l’utilisation du système d’IA.

Différentes tâches sont nécessaires pour favoriser une culture de gestion des risques liés à l’IA dans les infrastructures critiques. Voici les plus importantes :

  • Préparer un plan de risque de cybersécurité qui indique les risques associés à l'utilisation de l'IA dans votre organisation. Par exemple, l'utilisation de l'IA pour exécuter des attaques, les attaques directes contre les systèmes d'IA et les défaillances dans la conception et la mise en œuvre de l'IA.
  • Adopter le principe « secure by design » tout au long du cycle de développement du système d'IA.
  • Surveiller les composants provenant de fournisseurs tiers d'IA pour vous assurer qu'ils respectent les normes de sécurité de votre organisation (par exemple, créez une nomenclature d'IA (AIBOM)).
  • Évaluer les risques et les coûts liés au développement de systèmes d’IA internes au lieu d’utiliser les solutions proposées par des fournisseurs externes.
  • Collaborer avec les organismes gouvernementaux et les instances de votre secteur sur les risques liés à l'utilisation de l'IA dans vos activités. Cela vous permet de tirer parti de l'expérience d'autres organisations et d'adopter les meilleures pratiques sur votre lieu de travail. 

Définir : comprendre le contexte dans lequel vous utilisez l'IA et votre profil de risque

Les lignes directrices de cette section présentent les concepts fondamentaux permettant aux propriétaires et aux exploitants d'infrastructures critiques de comprendre le contexte des risques liés à l'IA au sein de leur organisation. Par exemple, pour faire face aux risques liés à l'IA dans les infrastructures critiques, nous devons nous pencher sur les spécificités du déploiement de l'IA. Nous pouvons nous poser ces questions pour comprendre notre contexte organisationnel actuel :

Comment : l'IA prend-elle des décisions ou se contente-t-elle de traiter les données que nous lui transmettons ?

Où : Quelle est la criticité de l'infrastructure dans laquelle elle opère ? Par exemple, le système d'IA est-il responsable de la gestion d'une installation nucléaire ou d'une solution anti-spam ?

Pourquoi : Quel est l'objectif de l'utilisation de l'IA dans ce contexte ? Par exemple, s’agit-il de la gestion, du traitement des données ou d'un moyen permettant aux utilisateurs de communiquer ?

Mesurer : développer des systèmes pour évaluer, analyser et suivre les risques liés à l'IA

Les lignes directrices présentées dans cette section aident les propriétaires et les exploitants d'infrastructures critiques à mettre en place des moyens solides pour évaluer les risques liés à l'IA tout au long de la durée de vie du système d'IA. Ils peuvent prendre des décisions éclairées sur le comportement des systèmes d'IA dans différentes conditions en développant leurs propres processus d'essai, d'évaluation, de vérification et de validation (TEVV).

Par exemple, une usine de traitement des eaux peut procéder à des simulations régulières pour tester la prise de décision de son système d'IA dans différents scénarios, notamment en cas d'attaque par déni de service distribué (DDoS).

Gérer : hiérarchiser les risques liés à l'IA en matière de sécurité et agir en conséquence

Les lignes directrices de cette section énumèrent les vérifications et les pratiques clés permettant de gérer efficacement les systèmes d'IA dans les infrastructures critiques. Elles visent à maximiser les avantages tout en minimisant les risques en matière de sécurité. Pour gérer efficacement les risques liés à l'IA, les organisations doivent constamment investir des ressources et appliquer des mesures d'atténuation en fonction de leurs processus de travail.

Par exemple, un système intelligent de gestion du trafic urbain basé sur l'IA pourrait mettre en œuvre des mises à jour logicielles régulières pour corriger les vulnérabilités, effectuer des audits réguliers des processus décisionnels de l'IA et maintenir une supervision humaine pour les décisions critiques, comme la fermeture de certaines routes en cas d'urgence.

Les lignes directrices contenues dans le document de la CISA ne doivent pas être considérées comme de simples recommandations pour lutter contre les risques liés à l'IA qui pourraient nuire à la sûreté et à la sécurité des infrastructures critiques. Les propriétaires et les exploitants d'infrastructures critiques doivent y voir un ensemble de procédures obligatoires ou une feuille de route pour sécuriser leurs systèmes d'IA et atténuer les différents types de cybermenaces auxquels ils peuvent être confrontés.

Guide sur le rôle de l’IA dans la cybersécurité
Billets associés :
DarkBard: The “Evil Twin” of Google Bard
DarkBard: The “Evil Twin” of Google Bard
 WolfGPT: The “Upgraded” Dark AI for Malware
WolfGPT: The “Upgraded” Dark AI for Malware
 Cybersécurité municipale : les MSP naviguent en première ligne de la défense numérique
Cybersécurité municipale : les MSP naviguent en première ligne de la défense numérique
 Evil-GPT : « L'ennemi de ChatGPT »
Evil-GPT : « L'ennemi de ChatGPT »
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Inscrivez-vous pour recevoir des projecteurs sur les menaces, des commentaires sur l’industrie et plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.