Cet article a été publié pour la première fois sur inside-it.ch (en allemand) dans le cadre de la rubrique #Security de Switch. Cette rubrique paraît six fois par an. Les experts de Switch s'expriment de manière indépendante sur des sujets liés à la politique, à la technique et à la sensibilisation de la sécurité informatique.
GPTs – les sauveurs de la cybersécurité
Dans le monde du numérique, on ne parle plus que d’eux: ils se nomment ChatGPT, LLM, BabyAGI, pour ne citer que ceux-là. Comme on pouvait s’y attendre, tous les grands noms sautent dans le train en marche dans l’espoir de ne pas se laisser distancer. À l’avenir, tout doit devenir beaucoup plus simple et plus sûr, non seulement pour le monde en général, mais aussi pour le domaine de la cybersécurité en particulier. Une révolution s’annonce. Tout va s’améliorer. Mais est-ce vraiment le cas ?
Penchons-nous sur le quotidien d’un responsable de la sécurité informatique – appelons-le Paul – dans n’importe quelle université suisse. Paul soupire. Son « petit département » est responsable de la cybersécurité de l’université. Ces dernières années, il a beaucoup œuvré pour la sécurité générale de l’université, mais garde cette impression d’en avoir fait trop peu et trop tard. La complexité est en pleine explosion – c’est d’ailleurs le propre de la complexité. Les menaces s’intensifient. Ici aussi : c’est dans l’ordre des choses. La seule constante reste le budget, et il est constamment trop bas.
Ni budget ni sensibilisation à la cybersécurité
Bien sûr, Paul avait attiré l’attention du recteur à plusieurs reprises sur ce coûterait une reconstruction totale du système informatique de l’université – du moins de la partie connue. Paul et son équipe ont certes une vague idée de ce qui se cache derrière les portes des armoires et sous les bureaux des instituts, mais ils manquent de maîtrise, d’énergie et de poids politique pour faire comprendre aux chercheurs l’importance de systèmes sûrs à long terme.
Paul s’arrache déjà les cheveux sur le dispositif informatique, dont dépendent toutes les fonctions moins «glamour», mais hélas nécessaires, comme la comptabilité salariale, l’administration des cours, la gestion des étudiants et d’autres tâches à organiser. Ce système de base est déjà tellement complexe qu’il lui faudrait un dispositif de gestion dédié. Mais c’est exactement ce qui manque. Le projet « Asset Management » (ou CMDB, « Configuration Management Database » comme on l’appelle simplement) a déjà réussi une ou deux fois à dépasser la phase «Ça serait bien», s’est hissé à quelques reprises jusqu’au statut « Calculons ce dont nous avons besoin », mais s’est finalement retrouvé dans l’impasse du « C’est si cher ? » ou « On ne se doutait pas que ça serait si complexe ».
Les coûts estimés par Paul pour la reconstruction de l’infrastructure informatique s’élevaient à 10% du budget annuel de l’université. Une somme conséquente, qui n’a pas été allouée malgré une présentation PowerPoint convaincante. Alors cette sensation d’en avoir fait trop peu et trop tard demeure, et il ne reste qu’à espérer les coïncidences telles que les sacs de sport oubliés permettront encore d’éviter les pires situations.
L’IA doit arranger les choses
Les fabricants de solutions de sécurité promettent bien sûr que leurs solutions résoudront automatiquement tous les problèmes grâce à l’apprentissage automatique et à l’intelligence artificielle, et avec un tel volume de données d’entreprise évaluées à l’échelle mondiale qu’ils jouent dans la même catégorie que la NSA. Bien sûr, Paul et son équipe ont déjà essayé ces solutions, et le résultat ne s’est pas fait attendre. L’équipe s’est vite retrouvée submergée par les incidents : « Impossible Travel », «U se of VPN », « Use of TOR », « Traffic to North Korea » (celui-ci venait du pare-feu, également devenu intelligent après l’une des dernières mises à jour), « Login at Unusual Time », « Installation of Unknown Software », « Execution of Possible Malicious Process », etc.
Plus de 99,99% de faux positifs
Le taux de faux positifs était nettement supérieur à 99,99% et a plutôt augmenté le taux de burn-outs que la sécurité. Les cas d’utilisation des systèmes de sécurité présentaient de nombreux avantages, mais aucun ne s’appliquait pour un usage en université. « Impossible Travel » et « Use of VPN »: deux situations parfaitement normales, car les étudiants et les chercheurs se déplacent partout dans le monde et utilisent les connexions Internet qu’ils trouvent sur place. Un accès depuis un café au Nigeria ? Naturellement: l’équipe de recherche qui effectue actuellement des fouilles dans ce pays a aussi besoin d’une connexion au réseau. Au final, la plupart des « incidents » affichés en rouge ont été réglés par le décret « Liberté de la recherche et de l’enseignement ». Les échanges suspects avec la Corée du Nord avaient aussi une explication simple: l’Institut d’études nord-coréennes envoyait des données dans ce pays habituellement suspect.
Les systèmes de sécurité, qui reposent sur l’apprentissage automatique et l’intelligence artificielle (plus simplement, sur les statistiques), « apprennent » des données d’entreprises ordinaires. Ils ne conviennent pas à l’environnement où Paul est responsable de la sécurité. Dommage.
Les systèmes, les fabricants et les prestataires de services qui partent du principe que chaque système présent sur le réseau est administré et équipé d’un agent EDR (« Endpoint Detection and Response », ou détection et réponse des terminaux) ouvrent des yeux ronds lorsque Paul leur indique les 10 000 appareils administrés par les étudiants eux-mêmes.
Et ChatGPT devrait améliorer tout cela ? Paul soupire à nouveau…
Et pourtant
Les performances des GPT et des LLM sont remarquables. Je n’ai pas besoin de revenir ici sur le tourbillon médiatique, les critiques justifiées ou les avertissements qui ont été écrits et prononcés sans cesse ces derniers mois. Il devrait être clair à ce jour qu’il n’y a aucune intelligence derrière tout cela, seulement un dispositif qui cherche le mot le mieux adapté, selon les statistiques pour suivre les mots déjà écrits ou générés.
Nous assistons ces dernières semaines à une explosion cambrienne d’améliorations, de possibilité d’application et de (re)combinaisons de technologies. De nouveaux LLM, plus performants et plus spécifiques, apparaissent chaque jour, avec des dispositifs d’apprentissage améliorés. Ils accomplissent des prouesses qui ne peuvent que nous étonner. Le phénomène est en marche et rien ne peut plus l’arrêter. Tout porte à croire que les grands groupes ne seront pas en mesure de garder secrètes leurs technologies de base. L’OpenSource gagnera – du moins si l’on suit l’idée du document interne de Google qui a fuité.
Du potentiel pour Paul
Si nous revenons à Paul, qui évolue dans un environnement qui ne correspond pas au milieu commercial traditionnel, mais qui fait partie de la réalité, le scepticisme est compréhensible. Nous connaissons tous les engagements démesurés des fabricants qui n’hésitent pas à en promettre un peu plus pour booster leurs ventes.
Et pourtant, les LLM et GPT ouvrent des voies et des possibilités au potentiel incertain, mais considérable. À l’heure actuelle, nous ne savons pas comment ces technologies (je n’ose pas utiliser le terme « IA ») vont évoluer, ni ce qui sera possible dans quelques semaines. Si vous n’avez pas encore essayé, jouez un peu avec AutoGPT et laissez-vous surprendre par les possibilités qui existent déjà en matière de fonctionnement autonome. Et ensuite, essayez de vous projeter dans un, deux, quatre ou huit mois.
Il est difficile d’imaginer à quel point ces outils seront utiles. Les GPT sont peut-être les sauveurs de la cybersécurité, et de tous les Paul du monde. C’est une possibilité tout à fait réaliste.
Innovation
Cyber Security
