Comment répondre aux modèles d’IA Frontier : un leader cyber de Deloitte donne son avis
Les équipes de sécurité ont toujours couru contre la montre. Pendant la majeure partie de l’histoire de la cybersécurité, cette horloge avançait assez lentement pour être gérée.
Les attaquants avaient besoin de temps pour trouver des vulnérabilités et construire des exploits. La fenêtre entre la découverte et l’exploitation se mesurait en jours ou semaines — souvent assez longue pour qu’un correctif effleure un tableau de changement.
Cette fenêtre s’est effondrée.
Les modèles d’IA Frontier peuvent désormais découvrir des vulnérabilités, les enchaîner et générer des failles en quelques secondes. Cela inclut les vulnérabilités des systèmes hérités qui n’ont pas été correctifs depuis des décennies. La rapidité de l’exploitation a atteint des niveaux records.
Nous avons rencontré Andrew Rafla, principal chez Deloitte & Touche LLP et leader Zero Trust au sein de sa pratique Cyber Risk, pour comprendre ce que ce changement signifie pour les programmes de sécurité d’entreprise et ce qui distingue les équipes qui répondent bien de celles qui ne le sont pas.
Pourquoi les modèles d’IA offensifs représentent un changement majeur
La plupart des menaces en cybersécurité ont évolué à un rythme que les équipes peuvent suivre. Une nouvelle technique d’attaque émerge, et la communauté de la sécurité l’analyse. Les fournisseurs publient leurs signatures, et les défenseurs répondent.
Les modèles de frontière de l’IA offensive brisent ce cycle.
Ces systèmes détectent à grande échelle des vulnérabilités inconnues et peuvent les enchaîner en exploits fonctionnels. Cela inclut des infrastructures vieillissantes que personne n’a réparées depuis des décennies.
Les modèles les plus sophistiqués ont été strictement restreints en raison de ces capacités offensives. Mais les restrictions ne tiendront pas éternellement et des imitateurs open source existent déjà.
Les clients de Deloitte se demandent déjà comment mettre la main sur ces modèles pour scanner leur propre environnement avant que les adversaires ne le fassent. Andrew pense que cet instinct est juste. La fenêtre entre « cette capacité existe » et « elle est utilisée contre vous » est plus courte que tout cycle de menace précédent dans l’histoire de la sécurité en entreprise.
Le risque plus large est que même les outils de vulnérabilité de l’IA défensive pourraient finir par être utilisés comme une arme. Le moment est venu de mettre en place des contrôles compensateurs pour la surface d’attaque étendue.
Le paradigme de gestion des vulnérabilités doit évoluer
Pendant des décennies, la gestion des vulnérabilités suivait une séquence prévisible. Les équipes de sécurité ont scanné leurs environnements, trié les résultats, priorisé les résultats, testé les correctifs, vidé le tableau de changement et corrigé les systèmes vulnérables. Le cycle se répétait chaque trimestre, parfois chaque mois.
Ce processus a toujours été lent, mais maintenant il est intenable.
Comme l’a expliqué Andrew, « Les processus historiques et assez manuels pour la gestion des vulnérabilités — tout, de l’identification à la remédiation — ne fonctionneront tout simplement pas dans le nouveau modèle, avec la rapidité à laquelle les vulnérabilités peuvent être détectées et les exploits associés créés. »
Le changement de paradigme que les responsables de sécurité doivent opérer est de fusionner la vulnérabilité et la gestion des exploits en intervention rapide et opérations de confinement. Il ne peut plus être principalement un exercice de détection et de documentation.
Andrew a partagé trois changements concrets dans la manière dont les programmes de Gestion Continue de l’Exposition aux Menaces (CTEM) devraient être structurés :
- La priorisation doit être impitoyable et automatisée. On ne peut pas tout patcher assez vite. Les équipes qui survivront à ce moment seront celles qui pourront rapidement identifier les vulnérabilités de leur environnement les plus exposées, les plus critiques et les plus susceptibles d’être exploitées — et concentrer leurs ressources là-bas. Les processus de priorisation manuelle conçus pour les cycles trimestriels de correctifs ne survivront pas au contact avec la génération d’exploits pilotée par l’IA.
- Les délais de remédiation doivent être considérablement compressés. Cela signifie repenser les processus de gestion du changement et simplifier les approbations pour les correctifs critiques en matière de sécurité. Certaines équipes créent des fonctions centralisées de bureau de gestion de projet (PMO) pour accélérer cette coordination.
- Les contrôles compensateurs doivent devenir une composante de première classe de la réponse à la vulnérabilité. Il y aura toujours des vulnérabilités que vous ne pouvez pas patcher, y compris des systèmes hérités, des applications critiques qui ne peuvent pas avoir de temps d’arrêt, et des logiciels vieux de plusieurs décennies sans support fournisseur. Pour ceux-là, votre stratégie doit passer de la remédiation à la confinement.
Contrôles compensateurs : la défense la plus efficace que vous sous-utilisez probablement
Quand Andrew a parlé de ce que Deloitte recommande actuellement aux clients, les contrôles compensateurs étaient en tête de liste, notamment la microsegmentation.
« Les organisations disposant de capacités de segmentation, où des politiques peuvent être créées et déployées rapidement pour les actifs connus comme vulnérables, devraient mieux pouvoir réduire le rayon d’explosion du risque de mouvement latéral », a déclaré Andrew.
La microsegmentation est une pierre angulaire du zéro trust depuis des années. L’environnement de menace créé par les modèles d’IA de pointe lui confère une nouvelle urgence et une application plus spécifique.
Quand un système hérité vulnérable n’a pas de patch, la question change. Corriger la vulnérabilité n’est plus la priorité ; Réduire l’exposition aux exploits par des contrôles compensateurs devient primordial.
La microsegmentation rend cette deuxième question répondable. Ces contrôles peuvent transformer une brèche potentiellement catastrophique en un incident contenu en :
- Encerclement des actifs vulnérables et critiques
- Créer des politiques basées sur des tags qui signalent les systèmes vulnérables connus et restreignent leur communication réseau
- Limitez ce que ces actifs peuvent atteindre et réduisez l’utilisation de ports et protocoles réseau risqués
La rapidité est la principale exigence opérationnelle. Si il faut des semaines pour construire et déployer une politique de segmentation vers un nouvel actif vulnérable identifié, vous avez raté la fenêtre.
Les équipes capables de gérer cela efficacement devraient pouvoir passer de l’identification d’un atout vulnérable à son encerclement en quelques minutes.
La visibilité est un élément clé à table, et la plupart des équipes n’en ont pas assez
La deuxième capacité qu’Andrew a identifiée comme critique est la visibilité est-ouest en temps réel. La plupart des équipes sont bien en retard sur ce qu’elles devraient être.
« La plupart des organisations disposent encore de réseaux plats hérités avec une capacité très limitée à identifier et inspecter le trafic est-ouest », a déclaré Andrew. « Ils regardent toujours les pare-feux périmétriques comme point d’étranglement où ils peuvent voir ce qui entre et sort de leur réseau. »
À l’ère des menaces de l’IA, ce point mort est dangereux.
Un modèle d’IA offensif exploite les vulnérabilités, se déplace dans un réseau, enchaîne des attaques et transforme des actifs compromis en rampes de lancement pour la frappe suivante.
La sécurité traditionnelle était construite autour de la visibilité nord-sud, c’est-à-dire la circulation qui entre et sort du périmètre. Mais les acteurs malveillants qui exécutent avec succès une brèche accélèrent leurs attaques en se déplaçant latéralement jusqu’à atteindre les joyaux de l’organisation. Le trafic est-ouest où ils passent d’une charge de travail à une autre est là où les vrais dégâts surviennent.
Les équipes de sécurité ont besoin d’une visibilité en temps réel du trafic est-ouest, pour détecter des schémas anormaux ou potentiellement malveillants, et agir rapidement.
Andrew a recommandé d’aller au-delà des modèles centrés sur l’EDR, qui se concentrent sur des hôtes individuels. Un avantage supplémentaire des solutions de microsegmentation est leur capacité à améliorer la visibilité du trafic réseau dans l’environnement d’entreprise, y compris le trafic est-ouest et dans les environnements cloud. Ils agissent également comme un point de contrôle critique, capable d’isoler des régions entières, des centres de données ou des clusters d’applications lorsque des schémas suspects apparaissent.
La vitesse compte. Trier actif par actif pour contenir une menace en expansion dans des conditions d’attaque assistée par l’IA n’est pas une stratégie viable ; C’est là que les solutions de microsegmentation évolutives peuvent se distinguer
Comment se défendre contre des modèles d’IA que vous ne comprenez pas encore pleinement
Les modèles de frontière cyber offensive n’ont pas encore pleinement démontré leurs capacités. La plupart des équipes n’ont pas un accès direct pour tester dans leurs propres environnements.
Alors, quelle est une voie pratique à suivre ?
Voici le conseil d’Andrew :
- Faites d’abord le point. Faites en sorte que les bonnes personnes s’asseont, y compris les équipes cybersécurité, risques, conformité et opérations. N’attendez pas d’obtenir des informations parfaites pour commencer à agir.
- Engagez vos fournisseurs de technologies. La question de la lettre de matériaux des logiciels (SBOM) est désormais urgente. Savez-vous quels composants fonctionnent dans votre environnement ? Vos fournisseurs de logiciels en tant que service (SaaS) ont-ils ? La gestion des risques par des tiers à l’ère de l’IA signifie poser des questions difficiles aux fournisseurs sur leur propre exposition à la vulnérabilité et ce qu’ils font à ce sujet.
- Regardez attentivement votre environnement de contrôle. Utilisez-vous pleinement les outils de sécurité que vous avez déjà ? De nombreuses organisations disposent de contrôles compensateurs, tels que la segmentation ou l’isolement basé sur les politiques, qui sont sous-déployés. Utilisez ce que vous avez, rapidement et délibérément, avant d’acheter quelque chose de nouveau.
- Les intégrations natives comptent. Les technologies de votre écosystème offrent-elles une intégration native ? Passer d’une posture de sécurité défensive à une posture de sécurité proactive, où les contrôles peuvent être orchestrés en temps réel via un écosystème entièrement intégré, permet de réduire les risques et de rationaliser les opérations. Une technologie intégrée et des contrôles de sécurité bien associés sont essentiels pour identifier et répondre aux menaces pilotées par l’IA.
- Pensez à l’avenir agent. Les équipes dirigeantes construisent des cadres où les agents IA découvrent, priorisent et corrigent les vulnérabilités dans un flux de travail coordonné. C’est le modèle opérationnel qui correspond à la vitesse de la menace tout en maintenant des contrôles et contrepoids humains dans la boucle.
Attendre de réagir aux modèles d’IA de pointe est une stratégie risquée
Les modèles de frontière de l’IA offensive représentent un changement radical dans les cybermenaces.
L’approche de gestion des vulnérabilités sur laquelle la plupart des équipes s’appuyaient depuis vingt ans était déjà mise à rude épreuve. L’expansion des surfaces d’attaque, la complexité du cloud et la dette héritée l’avaient poussée à leur limite. Mais la génération d’exploits assistée par l’IA la rend pratiquement obsolète.
Les équipes qui gèrent bien cette situation prendront la nouvelle menace IA au sérieux, agiront sans attendre une clarté parfaite, construiront des contrôles compensateurs autour de leurs actifs les plus exposés et transformeront la gestion des vulnérabilités en une opération de réponse rapide.
C’est le nouvel environnement opérationnel. Les responsables de la sécurité qui considèrent l’IA offensive comme une perturbation temporaire peuvent se retrouver exposés à des attaques et à la régulation, aux risques et à la responsabilité des conseils d’administration qui découlent lorsque ces attaques réussissent.
La fenêtre pour agir avant l’exploitation adversaire est désormais ouverte. Elle ne restera pas ouverte.
Pour un regard plus approfondi sur ce que signifie l’IA de pointe pour le modèle de sécurité dans son ensemble, lisez l’avis du PDG et fondateur d’Illumio, Andrew Rubin..

.webp)



