Intelligence artificielle : une révolution à double tranchant pour la cybersécurité et la protection des données
Article du 23/05/2025
Article publié dans la Revue des directions juridiques et conformité parue le 14 mars 2025, à retrouver ici.
L’IA bouleverse de nombreux domaines, et la cybersécurité ne fait pas exception. Si certaines de ses applications permettent de renforcer la protection et d’anticiper les cybermenaces, l’IA est également une arme redoutable pour les cybercriminels etre présente un risque pour la sécurité des données de l’entreprise. C’est pourquoi la CNIL en a fait un de ses axes stratégiques en 2025. Mais quelles sont ces nouvelles menaces et les bonnes pratiques pour limiter les risques sur la cybersécurité ?
1. IA : de nouvelles menaces pour la cybersécurité
A. Vers des attaques de plus en plus sophistiquées
L'IA est en train de transformer le paysage des cybermenaces, en permettant de mener des attaques de plus en plus complexes et subtiles.
Grâce à l'IA, les cybercriminels peuvent analyser de grandes quantités de données pour créer des emails de phishing et des escroqueries ultra personnalisés. En connaissant les pratiques et l’environnement de l’entreprise, et en imitant le style et le ton de correspondants légitimes, les taux de réussite des attaques ont augmenté.
Mieux que l’imitation, tout le monde connait aujourd’hui le deepfake. Cette technologie permet aux cybercriminels de créer de fausses vidéos de dirigeants d'entreprise et de les utiliser pour manipuler des collaborateurs ou partenaires. Autre menace : le data poisoning, qui consiste à empoisonner les données d'entraînement d'un modèle d'IA afin d’en altérer le comportement et de le rendre vulnérable ou biaisé.
Enfin, l’IA peut être détournée pour générer du code malveillant. Avec des connaissances basiques, il est dorénavant possible de développer un logiciel malveillant. De plus, l’IA étant capable d’automatiser une grande partie des tâches nécessaires à l’élaboration d’une cyberattaque, celle-ci requiert aujourd’hui moins de temps et de ressources. Tous ces aspects facilitateurs induits par l’IA ont ainsi contribué à une augmentation du nombre d’attaques.
Au-delà de ces menaces liées aux cyberattaques, l’IA a également fait naître des menaces pour la confidentialité et la protection des données.
B. Des risques sur la confidentialité et la protection des données
L'intégration de l'IA au sein des entreprises présente des défis en matière de protection et de confidentialité des données. En effet, si l’IA est un levier puissant, son utilisation peut exposer à des risques sur la sécurité des données.
Beaucoup d’entreprises utilisent des IA génératives pour rédiger des documents, analyser des données ou optimiser leurs processus. Le problème ? Ces outils enregistrent les données fournies et peuvent, sous certaines conditions, les réutiliser ; c’est généralement le cas des IA grand public. Des collaborateurs de Samsung ont ainsi soumis des informations confidentielles à ChatGPT, qui ont ensuite été divulguées par ce dernier.
On constate également de plus en plus de traitements de données personnelles réalisés par IA. Pourtant, les risques sur la vie privée sont souvent négligés, à l’instar d’un médecin qui a soumis le nom et la condition médicale de son patient afin de rédiger une lettre via une IA tiers gratuite. En effet, les outils gratuits réutilisent généralement les données fournies en échange de leur usage et les exposent à des traitements non autorisés, voire des violations. Au-delà de ces problématiques, tout traitement de données personnelles par IA doit respecter la réglementation sur la protection des données et, en cas d’utilisation d’un outil tiers, il convient d’encadrer la relation entre les parties. Ces traitements nécessitent donc une vigilance particulière.
Enfin, après le Shadow IT (phénomène bien connu qui désigne l'utilisation par les employés de logiciels non approuvés par le service informatique), avec la multiplication des outils d'IA en ligne, on assiste à l’avènement du "Shadow AI" : l’usage d’IA non validées, voire interdites, par l’entreprise. Cette pratique expose l'entreprise à des risques élevés de violations de données, de non-conformités et de vulnérabilités.
Ces risques soulignent l'importance de mettre en place des politiques strictes de gestion des données,de sensibiliser les collaborateurs aux bonnes pratiques et d’imposer des outils sécurisés. Mais il convient aussi de tirer profit de l’IA pour améliorer la cybersécurité de l’entreprise.
2. IA : avantages pour la cybersécurité et bonnes pratiques
Si l’IA comporte des risques pour la cybersécurité, elle a aussi des avantages, à condition toutefois de respecter les bonnes pratiques.
A. Un bouclier intelligent contre les cybermenaces
L'IA offre des opportunités pour améliorer la cybersécurité des entreprises. Son intégration permet d’améliorer la détection des menaces, d’automatiser les réponses aux incidents et d’optimiser la protection.
En analysant en temps réel des milliers d’événements, l’IA permet d’identifier des anomalies et comportements suspects qui pourraient passer inaperçus avec des méthodes traditionnelles. Elle peut repérer des signaux suspects, même faibles, et améliorer les capacités d’alerte et de réponse aux incidents. Également, si nous avons vu que l’IA améliore les techniques de phishing, réciproquement elle permet d’améliorer la protection contre celui-ci, en analysant le contenu des emails, en repérant des tentatives d’usurpation et en bloquant les communications suspectes.
En cas d’attaque par bots, l’IA différencie le trafic autorisé des activités malveillantes. Elle est ainsi capable de bloquer des bots ou d’identifier le bot utilisé pour aider le service IT à le neutraliser. De plus, si un utilisateur se connecte depuis un emplacement inhabituel ou avec un comportement anormal, l’IA peut exiger une authentification supplémentaire ou bloquer l’accès.
Enfin, l’un des défis en cas d’attaque est le temps de réaction. L’IA offre des améliorations en automatisant certaines réponses aux incidents, par exemple en isolant une machine compromise. Cela permet de limiter la propagation des attaques et leur impact potentiel. De plus, l’IA permet de diminuer le risque d’erreur humaine grâce à l'automatisation des tâches et la surveillance continue.
En réponse aux nouveaux risques induits par l’IA en matière de cybersécurité, il est donc nécessaire d’utiliser les mêmes armes afin de renforcer la cybersécurité de l’entreprise. Mais cela n’exclut pas de respecter les bonnes pratiques, qui constituent un rempart essentiel face à ces menaces.
B. Bonnes pratiques pour une utilisation sécurisée de l'IA
Pour tirer avantage de l'IA en matière de cybersécurité tout en minimisant les risques associés, il est essentiel d'adopter des pratiques rigoureuses.
Tout d’abord, les collaborateurs doivent être sensibilisés aux risques liés à l'utilisation de l'IA et aux bonnes pratiques en matière de sécurité et de protection des données. Des formations régulières permettent d’identifier les failles et de faire adopter des comportements sécurisés. Ils doivent également être formés aux arnaques utilisant l’IA et à toujours vérifier l’identité d’un interlocuteur avant d’effectuer une transaction ou un transfert de données.
Ensuite, il est crucial de choisir des IA sécurisées et conformes aux règlementations, de privilégier des outils sous licence et d’interdire l’usage d’IA gratuites grand public pour toute activité impliquant des données personnelles ou confidentielles. Il convient de formaliser cette interdiction dans la charte informatique de l’entreprise ou dans une charte d’utilisation des IA, en précisant :
- Les outils autorisés
- L’interdiction d’utiliser des IA tiers gratuites pour manipuler des données internes
- L’interdiction ou l’usage restreint d’IA génératives pour les tâches impliquant des données personnelles ou confidentielles
- Les mesures en cas de non-respect de ces règles
En outre, il convient d’établir des politiques strictes pour le traitement de données personnelles par IA. Dans tous les cas et tel que rappelé par l’ANSSI, les données suivantes ne doivent jamais être transférées à des outils d’IA grand public : données personnelles, données contractuelles, juridiques ou financières de l’entreprise et secrets informatiques (mots de passe, jetons d’authentification, clé API, etc.)
Enfin, en cas d’intégration d’IA générative, il convient de se référer au guide de recommandations de sécurité pour un système d’IA générative de l’ANSSI, laquelle recommande la plus grande prudence lors du déploiement et de l’intégration d’un système d’IA dans un système d’information existant. Ce guide inclut notamment « les bonnes pratiques à mettre en œuvre depuis la phase de conception et d’entrainement d’un modèle d’IA jusqu’à la phase de déploiement et d’utilisation en production. »
L’IA bouleverse le paysage de la cybersécurité, avec des promesses d’efficacité et des menaces inédites. La clé est d’adopter une approche responsable : sensibiliser les équipes, s’équiper d’outils sécurisés et mettre en place des pratiques strictes.
En utilisant l’IA pour renforcer la cybersécurité de l’entreprise et en respectant les bonnes pratiques, il est donc possible de maitriser et limiter les menaces liées aux nouveaux usages de l’IA sur la cybersécurité et la protection des données. L’IA n’est pas une ennemie, mais un outil puissant qui doit être utilisé avec précaution !
Et vous, comment gérez-vous les risques liés à l’IA dans votre entreprise ?