L’intelligence artificielle est un outil à double tranchant pour les entreprises. D’une part, elle offre des avancées technologiques révolutionnaires, améliorant l’efficacité opérationnelle, la prise de décision et l’innovation. D’autre part, elle présente des défis de sécurité inédits, notamment en amplifiant les menaces posées par les cyberattaques.
Pour les hackers, l’IA ouvre des perspectives inusitées jusqu’à présent, que ce soit en termes de volumétrie ou de sophistication. Elle permet l’automatisation et l’optimisation des attaques, la création de maliciels plus sophistiqués et l’exploitation de vulnérabilités avec une précision accrue. L’IA peut également être utilisée pour mener des attaques ciblées et personnalisées, rendant la détection et la prévention plus complexes pour les entreprises. Les attaquants peuvent ainsi l’utiliser pour mettre au point des scénarios d’attaque qui se fondent dans l’environnement et les habitudes des victimes.
L’édition 2024 de l’étude annuelle "Global Digital Trust Insights" du cabinet de conseil et d’audit PwC, menée auprès de 3 800 dirigeants d’entreprises dans 71 pays, révèle que les entreprises interrogées perçoivent l’émergence de l’IA générative avec un mélange de scepticisme et d’enthousiasme. Alors que 52 % des dirigeants craignent des cyberattaques catastrophiques dues à la GenAI, une majorité voit dans cette technologie un potentiel significatif pour le développement des affaires et l’amélioration de la productivité.
L’IA peut générer des compromissions avancées à grande échelle
Une nouvelle vague d’attaques pourrait survenir, car la GenAI peut aider à créer des compromissions de courriels commerciaux avancées à grande échelle. Les directeurs de la sécurité de l’information et les directeurs des systèmes d’information (DSI) restent préoccupés par cette thématique : 52 % estiment que la GenAI pourrait entraîner des cyberattaques catastrophiques au cours des 12 prochains mois. De fait, un grand nombre d’entreprises renforcent leurs investissements en cybersécurité : 79 % d’entre elles prévoient d’augmenter leurs budgets de cybersécurité, contre 65 % lors de l’étude précédente, portant sur 2023.Cependant, l’étude souligne aussi le besoin de pratiques de cybersécurité améliorées et cohérentes. Moins d’un tiers des organisations mettent en œuvre régulièrement des pratiques clés de cybersécurité. Les « Gardiens de la Confiance Numérique », un groupe représentant 5 % des répondants, se distinguent par une mise en œuvre constante de dix pratiques de cybersécurité défensives et axées sur la croissance. Ces organisations ont des revenus élevés et sont moins susceptibles de subir des violations coûteuses. Elles sont également plus positives quant à l’impact potentiel de la GenAI et prudentes dans son déploiement.
« Les dirigeants doivent intégrer la question de la cybersécurité au plus tôt »
En somme, l’étude met en lumière les défis croissants et les opportunités offertes par l’évolution rapide de la cybersécurité et de la technologie de l’IA, soulignant la nécessité pour les entreprises de rester à la pointe de la préparation et de l’innovation dans ce domaine. Car les chiffres sont formels : environ 40 % des entreprises ayant subi un attaque cyber réussie ne survivent pas (rapport Sophos, « The State of Ransomware 2023 »). Certes, le taux de survie dépend de facteurs divers comme la taille de l’entreprise, l’industrie ou le secteur dans lequel elle opère et la gravité de l’attaque.Les petites entreprises sont généralement plus vulnérables aux cyberattaques que les grandes entreprises, et les entreprises du secteur des services sont plus susceptibles d’être attaquées que les entreprises du secteur manufacturier. Il y a cependant une constante : les entreprises qui sont bien préparées aux cyberattaques ont plus de chance de s’en sortir. À mesure que la taille de l’entreprise augmente, le coût moyen de sa violation la plus dommageable augmente également. Les entreprises ayant plus de 10 milliards de dollars de chiffre d’affaires signalent des violations de 7,2 millions de dollars, tandis que celles ayant moins d’un milliard de dollars de chiffre d’affaires signalent des dommages de
1,9 million de dollars.
« Les dirigeants doivent intégrer la question de la cybersécurité au plus tôt dans leurs démarches de transformation plutôt que de réagir en situation de crise, » précise Jamal Basrire, associé responsable des activités Cyber Intelligence chez PwC France et Maghreb.