Hacking AI - Comprendre les cyber-risques dans les applications pilotées par l'IA

WEBINAIRE À LA DEMANDE | CYBERSÉCURITÉ

Alors que l'IA s'intègre de plus en plus dans les opérations critiques, il est essentiel de comprendre comment les acteurs de la menace peuvent exploiter ces systèmes. Si vous êtes impliqué dans les opérations d'IA, le développement ou la cybersécurité, cette session vous apportera de précieuses informations.

Avec l'essor de l'IA, les organisations sont confrontées à de nouvelles vulnérabilités qui diffèrent des cybermenaces traditionnelles. De la fuite de données à l'accès non autorisé, l'IA peut ouvrir des voies qui sont particulièrement susceptibles d'être exploitées.

Dans cette session, Ralph Moonen, directeur technique chez Bureau Veritas Cybersecurity, explorera les vecteurs d'attaque potentiels dans les systèmes d'IA et discutera des mesures d'atténuation pratiques pour protéger vos applications. Découvrez les risques réels associés aux technologies basées sur l'IA et prenez des mesures concrètes pour protéger votre organisation.

REGARDER LA REDIFFUSION

Points clés de ce webinaire

Voici les points clés de ce webinaire :

1. L'IA en tant que risque de cybersécurité : principales menaces et vulnérabilités

• Les modèles d'IA peuvent faire fuir des données confidentielles s'ils sont entraînés sur des ensembles de données contenant des informations sensibles (par exemple, des mots de passe ou des données personnelles).
• L'injection de messages est une technique d'attaque courante qui consiste à manipuler les systèmes d'IA pour qu'ils adoptent un comportement indésirable, comme la divulgation de données sensibles ou l'exécution d'actions malveillantes.
• Les acteurs de la menace utilisent de plus en plus l'IA pour mener des attaques, comme la création de deepfakes et la conduite de campagnes d'ingénierie sociale.

2. Réglementations et normes en matière d'IA

• La loi sur l'IA (le monde) classe les systèmes d'IA dans des catégories de risque, telles que les "systèmes interdits" et les "systèmes à haut risque", qui nécessitent une réglementation stricte.
• La norme ISO 42001 à venir fournit un cadre pour la gestion de l'IA, y compris l'évaluation des risques, l'utilisation éthique et l'assurance qualité.
• Différences régionales : le monde et la Chine se concentrent sur des réglementations plus strictes, tandis que les États-Unis privilégient les lignes directrices et l'innovation.

3. Meilleures pratiques pour sécuriser l'IA

• Les organisations devraient mettre en œuvre une politique d'utilisation de l'IA et former les utilisateurs à reconnaître les menaces liées à l'IA, telles que les deepfakes et les contenus générés par l'IA.
• Dans la mesure du possible, optez pour des solutions d'IA sur site, car l'IA basée sur le cloud présente des risques de fuite de données et un contrôle de sécurité réduit.
• Validez les résultats de l'IA et utilisez des ressources telles que le LLM OWASP Top 10, qui donne un aperçu des principales menaces et des directives de sécurité pour les modèles d'IA.

Public visé

Ce webinaire est conçu pour les professionnels impliqués dans le développement, la mise en œuvre et la sécurité des systèmes d'IA, en particulier ceux qui souhaitent comprendre les risques de cybersécurité uniques des applications pilotées par l'IA. Les principaux participants sont les suivants

• Les opérateurs d'IA qui supervisent les déploiements d'IA dans leurs organisations
• Développeurs et responsables informatiques chargés de mettre en œuvre des solutions d'IA
• Les pentesters chargés d'identifier les vulnérabilités des technologies émergentes
• Les professionnels de la sécurité intéressés par l'atténuation des cybermenaces spécifiques à l'IA.

Regardez la rediffusion de ce webinaire aujourd'hui :

VISIONNER LA REDIFFUSION

Questions et réponses du webinaire

1. Existe-t-il des cas connus de fuites de données liées à l'IA ?

Réponse : Oui, il existe des cas documentés de fuites de données liées à l'IA. Par exemple, Prompt Security répertorie 8 exemples réels de fuites de données liées à l'IA.

2. Existe-t-il des outils permettant d'"humaniser" les résultats de l'IA ?

Réponse : Oui, il est possible d'humaniser les résultats de l'IA en lui demandant d'adopter des caractéristiques spécifiques. En outre, d'autres modèles d'IA peuvent traiter et affiner les résultats pour les rendre plus naturels. Par exemple, certains outils logiciels utilisent l'IA pour ajouter des nuances humaines, comme dans la production musicale, où l'humanisation améliore la sensation naturelle du résultat.

3. Comment formez-vous les utilisateurs à reconnaître les deepfakes ?

Réponse : Former les utilisateurs à reconnaître les deepfakes est un défi à mesure que la technologie devient plus avancée. Une approche efficace consiste à utiliser des mots de code ou des questions uniques que seule une personne réelle connaîtrait. Par exemple, une attaque de deepfake contre un dirigeant de Ferrari a été déjouée en posant des questions auxquelles seule la personne réelle pouvait répondre. Une vigilance accrue est essentielle dans de tels scénarios.

4. Y a-t-il des risques à bloquer toutes les IA et à n'autoriser que Microsoft Copilot ?

Réponse : Il est très difficile de bloquer complètement toutes les IA en raison du large éventail de versions et de méthodes d'accès disponibles. L'élaboration de politiques d'utilisation et de directives d'utilisation est une approche plus pratique que de tenter de bloquer toutes les IA.

5. Que faudrait-il pour que l'IA devienne sensible ?

Réponse : Il s'agit d'une question complexe. Si les IA peuvent réussir le test de Turing, cela n'implique pas qu'elles soient conscientes. Une véritable sensibilité nécessiterait une architecture nettement plus avancée, mais le chemin exact pour y parvenir reste incertain.

6. Comment Secura utilise-t-elle l'IA pour améliorer la productivité ?

Réponse : Un exemple est celui d'un testeur qui a utilisé l'IA pour générer rapidement des scripts PowerShell pour l'escalade des privilèges au cours d'un test interne. L'IA peut être particulièrement utile pour automatiser des tâches répétitives telles que l'écriture de scripts.

7. Quels sont les risques liés à l'utilisation de Microsoft Copilot dans le cadre du développement de logiciels ?

Réponse : L'un des risques est que les données d'entrée, telles que les clés API dans le code source, soient involontairement utilisées pour entraîner le modèle d'IA, ce qui rendrait ces clés accessibles à d'autres utilisateurs. Un autre risque provient de l'entraînement des modèles sur des exemples de code provenant de plateformes telles que StackOverflow, qui peuvent inclure des vulnérabilités, ce qui conduit à un code généré par l'IA qui n'est pas sûr. La désactivation de l'option permettant d'entraîner le modèle à partir des données de l'utilisateur peut atténuer ce risque.