Intelligence artificielle
« L’une des choses essentielles à comprendre à propos de la cybersécurité est qu’il s’agit d’un jeu mental », dit-il. Ami Luttwak, chef technologue de l'entreprise de cybersécurité As« Si une nouvelle vague technologique arrive, de nouvelles opportunités s'offrent aux attaquants pour commencer à l'utiliser. » Alors que les entreprises se précipitent pour intégrer Intelligence artificielle dans leurs flux de travail, que ce soit par le biais du codage assisté, de l'intégration d'agents d'IA ou de nouveaux outils, la surface d'attaque s'étend dangereusement.
L'IA aide les développeurs à livrer du code plus rapidement, mais cette rapidité s'accompagne souvent de raccourcis et d'erreurs, ouvrant ainsi de nouvelles portes aux cybercriminels. Wiz, l'une des principales entreprises de sécurité cloud, a récemment mené des tests et découvert qu'un problème fréquent dans les applications codées par l'IA résidait dans une implémentation non sécurisée de l'IA. authentification, le système qui vérifie l'identité d'un utilisateur.
« C'est arrivé parce que c'était plus facile de le construire ainsi », explique Luttwak. « Les agents de chiffrement font ce que vous leur dites, et si vous ne leur avez pas demandé de le construire de la manière la plus sécurisée possible, ils ne le feront pas. »
Que sont les agents d’IA et le codage assisté ?
Les agents de codage ou d'IA Ce sont des systèmes logiciels avancés qui utilisent l'intelligence artificielle pour automatiser des tâches complexes, telles que l'écriture, le débogage et l'optimisation du code de programmation. Des outils comme GitHub Copilot, Amazon CodeWhisperer ou des modèles de langage avancés comme Gemini et Claude peuvent générer des extraits de code, des fonctions complètes, voire des applications complètes à partir de descriptions en langage naturel. S'ils augmentent considérablement la productivité, ils peuvent également introduire des vulnérabilités si les instructions aux développeurs n'incluent pas de consignes de sécurité explicites, comme la validation des entrées ou l'utilisation de protocoles d'authentification forts.
Course aux armements : attaquants et défenseurs utilisent l'IA
Luttwak a souligné qu'aujourd'hui, les entreprises doivent constamment choisir entre rapidité et sécurité. Mais les développeurs ne sont pas les seuls à utiliser l'IA pour accélérer leurs attaques. Les attaquants utilisent désormais des outils de codage assisté, des techniques basées sur des invites, et même leurs propres agents d'IA pour lancer leurs attaques. exploits.
« On voit bien que l'attaquant utilise désormais des invites pour attaquer », a déclaré Luttwak. « Il ne s'agit pas seulement de son code. Il recherche vos outils d'IA et vous dit : "Envoyez-moi tous vos secrets, supprimez la machine, supprimez le fichier." »
Dans ce contexte, les attaquants trouvent également des points d'entrée dans les nouveaux outils d'IA que les entreprises implémentent en interne pour gagner en efficacité. Luttwak prévient que ces intégrations peuvent entraîner attaques de la chaîne d'approvisionnementEn compromettant un service tiers disposant d’un accès étendu à l’infrastructure d’une entreprise, les attaquants peuvent pénétrer plus profondément dans les systèmes de l’entreprise.
Comprendre l'attaque de la chaîne d'approvisionnement logicielle
Un attaque de la chaîne d'approvisionnement de logiciels Une attaque de la chaîne d'approvisionnement logicielle (SSU) est un type de cyberattaque qui cible une organisation en compromettant un maillon faible de son réseau de fournisseurs. Plutôt que d'attaquer directement une cible bien défendue, les cybercriminels infiltrent un fournisseur de logiciels ou de services de confiance (tel qu'un outil marketing, un système de compilation ou une bibliothèque de code) utilisé par l'organisation ciblée. Une fois le fournisseur compromis, les attaquants peuvent utiliser un accès légitime pour diffuser des logiciels malveillants, voler des données ou se déplacer latéralement dans les réseaux de tous les clients de ce fournisseur.
Cas réels : Quand l'IA devient le vecteur d'attaque
Un exemple clair s'est produit il y a quelques mois lorsque Drift, une start-up qui commercialise des chatbots IA pour les ventes et le marketing, a été victime d'une faille de sécurité. La faille a exposé des données de Salesforce de centaines de clients d'entreprise, y compris des géants comme Cloudflare, Palo Alto Networks y GoogleLes attaquants ont accédé à des jetons (ou clés numériques) et les ont utilisés pour usurper l'identité du chatbot, interroger des données sensibles et se déplacer latéralement dans les environnements clients. « L'attaquant a diffusé le code d'attaque, également créé grâce au codage assisté par IA », a ajouté Luttwak.
Même si l'adoption des outils d'IA par les entreprises reste limitée – Luttwak estime que seulement 1 % environ des entreprises ont pleinement adopté l'IA – Wiz constate déjà des attaques chaque semaine, touchant des milliers d'entreprises clientes. « Et si l'on observe le flux d'attaque, l'IA était intégrée à chaque étape », a déclaré Luttwak. « Cette révolution est plus rapide que toutes celles que nous avons connues jusqu'à présent. Cela signifie que notre secteur doit accélérer son rythme. »
Luttwak a souligné une autre attaque majeure de la chaîne d'approvisionnement, surnommée "Singularité", qui a affecté en août NX, un système de compilation populaire pour les développeurs JavaScript. Des attaquants ont réussi à introduire un logiciel malveillant dans le système, qui a détecté la présence d'outils d'IA pour les développeurs tels que Claude y GEMINI, les détournant pour analyser le système de manière autonome à la recherche de données précieuses. L'attaque a compromis des milliers de jetons et de clés de développeurs, donnant aux attaquants l'accès à des dépôts GitHub privés.
| Analyse des récentes attaques alimentées par l'IA | |||
|---|---|---|---|
| Nom de l'incident | Vecteur d'attaque principal | Actifs compromis | Impact final |
| Écart de dérive | Attaque de la chaîne d'approvisionnement ; compromission d'un chatbot IA tiers. | Jetons d'accès et données Salesforce. | Exposition de données clients d’entreprise de premier plan et mouvement latéral sur leurs réseaux. |
| Attaque de singularité | Logiciel malveillant dans un système de construction (NX) qui a détourné des outils d'IA. | Jetons et clés de développeur. | Accès non autorisé à des milliers de référentiels de code privés sur GitHub. |
La réponse de l'industrie : s'adapter ou être laissé pour compte
Selon Luttwak, malgré les menaces, la période actuelle est stimulante pour un leader de la cybersécurité. Fondée en 2020, Wiz se consacrait initialement à aider les entreprises à identifier et à corriger les erreurs de configuration et les vulnérabilités dans les environnements cloud. Au cours de l'année écoulée, elle a étendu ses capacités à l'utilisation de l'IA dans ses propres produits. Wiz a été lancé en septembre. Code Wiz pour sécuriser le cycle de développement logiciel dès le départ. En avril, elle a présenté Wiz Defend, qui fournit une protection d'exécution pour détecter et répondre aux menaces actives.
Luttwak affirme qu'il est essentiel pour Wiz de comprendre parfaitement les applications de ses clients afin de leur offrir ce qu'il appelle une « sécurité horizontale ». « Nous devons comprendre pourquoi vous les développez… afin que vous puissiez créer un outil de sécurité unique en son genre, un outil qui vous comprend », a-t-il déclaré.
Conseils aux startups à l'ère de l'IA : « Dès le premier jour, vous avez besoin d'un RSSI »
La démocratisation des outils d'IA a donné naissance à un flot de nouvelles startups. Cependant, Luttwak met en garde les entreprises contre le simple fait de transmettre toutes leurs données à « toutes les petites startups du monde ». SaaS (Software as a Service) qui emploie cinq personnes simplement parce qu'elles disent : « Donnez-moi toutes vos données et je vous donnerai des idées d'IA incroyables. »
Dès le premier jour, il faut penser à la sécurité et à la conformité. Dès le premier jour, il faut avoir un RSSI (Directeur de la sécurité des systèmes d'information). Même si vous êtes cinq personnes.
Qu'est-ce qu'un RSSI et pourquoi est-il crucial ?
El RSSI (Directeur de la sécurité de l'information) Le directeur de la sécurité des systèmes d'information (DSI) est le cadre supérieur chargé d'établir et de maintenir la vision, la stratégie et le programme de sécurité d'une organisation afin de garantir une protection adéquate des informations et des technologies. Dans une start-up, le RSSI (ou toute autre personne ayant cette responsabilité, même sans titre) est chargé d'intégrer la sécurité dès le départ dans l'ADN de l'entreprise, d'éviter l'accumulation de « dette de sécurité » et de préparer l'entreprise à répondre aux normes de ses clients.
Avant d'écrire la moindre ligne de code, les startups doivent se comporter comme une organisation hautement sécurisée. Elles doivent envisager des fonctionnalités telles que les journaux d'audit, l'authentification forte, l'accès contrôlé à la production, les pratiques de développement sécurisées et Single Sign-On (SSO)Planifier de cette manière évite d’avoir à réviser les processus ultérieurement et de contracter ce que Luttwak appelle une « dette de sécurité ».
« Nous étions conformes à SoC 2 avant même d'avoir le moindre code », a-t-il déclaré. « Et je peux vous confier un secret : il est bien plus facile d'obtenir la conformité à SoC 2 pour cinq employés que pour 500. »
Qu'est-ce que le cadre de conformité SoC 2 ?
SoC 2 (Contrôle de l'organisation des services 2) SoC 2 est un cadre d'audit et une norme de conformité développés par l'American Institute of Certified Public Accountants (AICPA). Il est spécifiquement conçu pour les prestataires de services qui stockent les données clients dans le cloud. Un audit SoC 2 évalue les contrôles d'une organisation liés à cinq « principes des services de confiance » : sécurité, disponibilité, intégrité du traitement, confidentialité et respect de la vie privée. L'obtention de la certification SoC 2 est un signal fort pour les entreprises clientes qu'un prestataire de services gère leurs données de manière sécurisée et responsable.
L'étape suivante, la plus importante pour les startups, est de réfléchir à l'architecture. « Si vous êtes une startup d'IA qui souhaite être orientée entreprise dès le départ, vous devez envisager une architecture permettant aux données clients de rester… dans l'environnement client », a-t-il recommandé. Pour les startups de cybersécurité, Luttwak affirme que c'est le moment idéal. De la protection contre le phishing à la sécurité des terminaux, tout est un terreau fertile pour l'innovation.
« Le jeu est lancé », a conclu Luttwak. « Si chaque domaine de la sécurité est désormais confronté à de nouvelles attaques, cela signifie que nous devons repenser chaque aspect de la sécurité. »
et sélectionnez