Mythos : il est temps de réécrire l'ensemble du modèle de cybersécurité
L'avant-première de Claude Mythos d'Anthropic est le dernier clou dans le cercueil d'un modèle de cybersécurité déjà défaillant. Comme si l'annonce initiale de la découverte de milliers de vulnérabilités critiques de type "zero-day" dans tous les principaux systèmes d'exploitation - et donc trop dangereuses pour être rendues publiques - n'était pas assez révélatrice, il a maintenant été révélé que le modèle avait déjà été divulgué à des utilisateurs non autorisés. Ceux d'entre nous qui travaillent dans le domaine de la cybersécurité savaient que, malheureusement, ce n'était qu'une question de temps. La nécessité d'agir n'a jamais été aussi urgente.
Nous devons tous comprendre une chose : il ne s'agit pas d'un changement progressif. C'est la fin de notre modèle de cybersécurité, et nous sommes sur le point d'être testés d'une manière que nous n'avons jamais imaginée.
Les cyber-maths n'ont jamais fonctionné
Pour comprendre en quoi cette avancée bouleverse tout, revenons au monde d'avant l'entrée de Mythos dans notre vocabulaire, il y a quatre semaines. Tous les systèmes d'exploitation, tous les logiciels et tous les dispositifs de réseau présentent des vulnérabilités, et ce depuis des décennies. La première question que nous devrions nous poser est la suivante : "Pourquoi n'y a-t-il pas plus de brèches ?".
Dans le cyberespace, tout le monde cite la même phrase : le défenseur doit avoir raison 100% fois, mais l'attaquant ne doit avoir raison qu'une seule fois. Ce sont des chances terribles pour les défenseurs, et cela a toujours été le "problème mathématique" de la cybersécurité. Cependant, ce qui a permis aux défenseurs de rester dans le match, c'est la rapidité des attaquants. Bien que les attaquants disposent d'un avantage mathématique, la création et l'exécution des brèches sont le fait de l'homme, à la vitesse de l'homme. Les calculs sont peut-être terribles, mais les attaquants et les défenseurs se sont battus dans des conditions relativement équitables. Cela s'est terminé avec Mythos.
Le mythe (et les modèles à venir) met fin au modèle actuel de cybersécurité
Trouver des vulnérabilités et créer des exploits à la vitesse de la machine, c'est tout casser. Il s'agit d'un modèle d'attaque complètement nouveau, et nous ne disposons pas d'un modèle de défense à la vitesse de la machine. Lorsque les attaquants se déplacent à la vitesse d'une machine et que les défenseurs se déplacent à la vitesse d'un être humain, nous ne perdons pas la partie - c'est la fin de la partie. Voici trois exemples simples :
- Patching. L'application de correctifs aux ordinateurs portables et aux serveurs prend souvent des jours, des semaines ou des mois. Parfois, cela n'arrive jamais. Nous rapatrions à la vitesse d'un humain, si nous avons de la chance. Même si les modèles qui trouvent des vulnérabilités et créent des exploits créent également des correctifs, comment pouvons-nous tout corriger à la vitesse de la machine ?
- Process. Les entreprises ont mis en place de vastes procédures d'essai et d'achat de produits qui prennent des mois rien que pour décider de ce qu'il convient d'acheter. Les attaquants ne vont pas attendre des mois ou des années que les entreprises mettent en œuvre un nouvel outil.
- Chaîne d' approvisionnement. Nous parlons sans cesse de chaînes d'approvisionnement, mais c'est l'énergie, les centres de données et les GPU qui alimentent nos rêves d'intelligence artificielle. Qu'en est-il du matériel de mise en réseau et des pare-feux qui relient tout ? Que se passerait-il si le monde entier devait procéder au plus grand rafraîchissement de matériel jamais réalisé pour combler toutes les lacunes de notre infrastructure ? Pensez en années (ou en décennies) en fonction des contraintes actuelles.
À l'ère de l'IA, les attaquants disposent d'un avantage asymétrique sans commune mesure avec ce que nous avons prévu ou vu jusqu'à présent. Une stratégie de sécurité qui repose sur l'application occasionnelle de correctifs et le maintien des menaces à l'extérieur du périmètre est une recette pour le désastre, et il y a extraordinairement peu de temps pour la changer.
Mythos n'est que la première démonstration que l'IA peut trouver et exploiter des failles plus rapidement que le monde ne peut les corriger. Mythos, et les modèles à venir, ont finalement rendu impossible d'ignorer l'évidence : le modèle de sécurité défaillant sur lequel s'appuient la plupart des organisations ne peut tout simplement pas assurer notre sécurité dans le monde de l'IA.
Une nouvelle mission pour le cyberespace
Le secteur de la cybersécurité a passé des décennies à promouvoir, vendre et optimiser la prévention. La prévention fonctionne, parfois, et continuera à fonctionner. Mais si cela fonctionnait tout le temps, il n'y aurait jamais de violations.
Mythos prouve qu'aucune vulnérabilité n'est trop ancienne, trop obscure ou trop profondément enfouie pour rester cachée à jamais. Dans un monde où rien ne peut se cacher, tout et n'importe quoi peut être exploité - et finira par l'être. Chaque organisation doit prendre en charge la violation. Lorsque des exploits apparaissent immédiatement après la découverte de vulnérabilités, le risque pour le système augmente considérablement. C'est là que le cyberespace se voit enfin confier une nouvelle mission : la résilience.
L'IA accélère ce que les attaquants peuvent trouver et la vitesse à laquelle ils peuvent l'exploiter. Mais cela ne change pas le schéma fondamental de chaque attaque réussie. L'attaquant s'infiltre, passe d'un point d'appui initial à quelque chose de beaucoup plus important, en utilisant notre propre infrastructure et nos réseaux pour ce faire. Le réseau qui nous permet de communiquer et d'opérer est le même que celui qui permet à l'attaquant de se cacher, de se déplacer et, finalement, de compromettre nos joyaux de la couronne.
De la même manière que le passage à l'an 2000 a donné lieu à un mouvement mondial et à un mandat de mise à jour de tous les systèmes, nous avons aujourd'hui besoin d'un "projet Manhattan" pour accroître la cyber-résilience. L'observabilité et la segmentation du réseau nous permettront de trouver, de contrôler et de limiter le rayon d'action des brèches. La résilience est synonyme de survie à l'ère de l'IA.
Avant Mythos, nous n'apprenions l'existence de nouvelles menaces qu'après avoir été touchés. Mais nous avons maintenant une fenêtre sur l'avenir, et nous ne devons pas la gâcher. Nous devons réunir les plus grands esprits de la technologie, de la cybersécurité et du gouvernement pour élaborer un plan visant à réparer le monde et à intégrer la cyberrésilience dans tout ce que nous faisons.
La stabilité du monde tel que nous le connaissons en dépend, et nous ne pouvons pas aller assez vite. Nous ne pourrons pas tout arrêter, mais nous pouvons survivre à tout si nous commençons maintenant.
Lisez notre Fiche d'information sur les mythes pour apprendre comment la segmentation d'Illumio contient le mouvement latéral, quelle que soit la faille exploitée par les attaquants.
.webp)
.webp)
