La récente décision d’Anthropic de retenir temporairement la publication de son nouveau modèle d’intelligence artificielle puissant, Claude Mythos (Mythos), est un rappel frappant de la nécessité pour la cybersécurité d’évoluer rapidement afin de suivre le rythme de l’IA.
Il est rapporté que Mythos peut identifier et exploiter de manière autonome les vulnérabilités des logiciels et des réseaux à une échelle et une vitesse qui étaient auparavant inaccessibles aux acteurs malveillants. Afin de faire face à ce risque, les autorités de réglementation canadiennes, les banques et les représentants du gouvernement tiennent des discussions d’urgence et communiquent directement avec Anthropic pour comprendre les risques posés par cette nouvelle catégorie de cyberattaques rendues possibles par l’IA.
Ce qui est particulièrement préoccupant, ce n’est pas seulement la capacité de Mythos lui-même, mais ce qu’il révèle sur la fragilité de l’infrastructure numérique moderne. Les fournisseurs de technologies de l’information ont traditionnellement hésité à entreprendre une remise à niveau architecturale approfondie. Les modèles d’IA comme Mythos peuvent tirer parti de cette vulnérabilité, en découvrant et en exploitant des vulnérabilités inconnues dans les systèmes d’exploitation, les navigateurs et les logiciels d’entreprise pour lesquels aucun correctif n’est disponible (souvent appelées « vulnérabilités de jour zéro »).
Pour les entreprises, la conclusion est claire : lorsque les activités dépendent de plus en plus de fournisseurs tiers de technologies de l’information, la posture de sécurité de ces acteurs a un impact direct sur votre niveau d’exposition aux risques. Il est maintenant temps de poser des questions précises à vos fournisseurs, notamment par exemple :
- Les fournisseurs effectuent-ils régulièrement et rigoureusement des évaluations de sécurité tieres?
- Comment se préparent-ils aux attaques rendues possibles par l’IA?
- Ont-ils des plans, au-delà des correctifs courants, pour résoudre les vulnérabilités systémiques?
Le coût de ne pas évaluer et s’adapter est bien supérieur au coût d’investir dès le départ dans la résilience. Les organisations devraient donc s’assurer auprès de leurs fournisseurs de technologies de l’information de leur préparation moderne en matière de sécurité, de leurs contrôles de gouvernance et de leurs capacités de réponse aux incidents. À l’ère nouvelle des cyberrisques alimentés par l’intelligence artificielle, poser des questions difficiles à vos fournisseurs dès aujourd’hui est une mesure pratique pour éviter d’importables responsabilités demain.
