Rechercher

Cybersécurité : les IA vont-ils prendre votre job ? (1/3)

Voici pourquoi vous n’avez pas (encore) été remplacé(e) par un robot.

De Skynet à la réalité

 Intelligence artificielle. Pensez à ces deux mots. Qu’est-ce qu’ils vous rappellent ? Si vous êtes de la même génération que moi, vous pensez immédiatement à Skynet, aux différents films hollywoodiens et à de dangereux robots qui s’en prennent à l’humanité.

Heureusement, cette vision négative est en train d’évoluer. Les enfants qui grandissent aujourd’hui sont initiés à l’IA et intègrent facilement l’apprentissage automatique comme faisant partie de la réalité. C’est donc tout le contraire de moi, plutôt initié à cette technologie via des visions dystopiques de l’avenir. Une vision implantée par Hollywood, et comme la plupart des idées diffusées de cette manière, reposant davantage sur un propos artistique que sur des faits scientifiques.

Mais justement, que dit la science ? Commençons par le terme AI. L’intelligence artificielle, telle que définie scientifiquement, n’est pas la recréation complète du cerveau humain sous forme de machine, mais plutôt « la théorie et le développement de systèmes informatiques capables d’exécuter des tâches nécessitant normalement l’intelligence humaine, telles que la perception visuelle, la reconnaissance de la parole, la prise de décision et la traduction entre les langues ».[i]

Le mot clé ici est « tâches ». Ainsi, lorsque nous examinons l’intelligence artificielle et son utilisation dans la cybersécurité, nous devons comprendre quelles pourraient être ces tâches et, plus important encore, quand celles-ci ne peuvent pas être automatisées.

Pourtant, de nombreuses entreprises tentent de tirer profit de la perception hollywoodienne et d’utiliser des slogans qui suggèrent qu’ils ne fournissent plus de logiciels informatiques mais plutôt des IA, membres d’une équipe virtuelle, qui seront là pour soutenir toute opération de sécurité et travailler de manière indépendante. Aujourd’hui, ce n’est tout simplement pas réaliste.

L’IA, votre nouveau collègue ?

 Contrairement à certaines industries qui se sentent menacées par l’automatisation, la cybersécurité connaît certainement l’une des plus fortes pénuries de compétences de tous les secteurs. La lecture d’études sur le sujet donne une image sombre de la situation, avec des centaines de milliers à des millions d’emplois non remplis dans le domaine de la sécurité (chiffres qui diffèrent selon les zones géographiques).

A titre d’illustration, lorsque nous examinons des études telles que l’ISC² Cybersecurity Workforce Study 2019[ii] (qui estime qu’il manque environ 291 000 professionnels de la cybersécurité), nous constatons que les domaines pour lesquels nous manquons de talents se concentrent sur des sujets complexes tels que :

  • l’évaluation, l’analyse et la gestion des risques ;
  • la gouvernance, la gestion des risques et la conformité ;
  • l’analyse du renseignement de sécurité et de la menace.

Ces trois domaines impliquent intrinsèquement un apport humain pour analyser des ensembles de données et prendre des décisions en prenant en compte le contexte d’exploitation de l’entreprise dont elles font partie. Ainsi, une machine qui travaillerait essentiellement sur des données statistiques ne fonctionnerait pas (l’IA n’en est tout simplement pas encore là).

Les experts en cybersécurité prennent des décisions difficiles tous les jours, avec un sens des responsabilités mais parfois, aussi, en se fiant à leur instinct. Les machines n’ont pas encore cette possibilité. Qu’est-ce qui fait que les humains en ont la capacité ? Si nous le savions, nous serions capables de créer des machines qui pourraient réfléchir hors des sentiers battus. Ce qui n’existe pas encore aujourd’hui.

Une question de conscience

Cette série d’articles a été inspirée par l’écoute d’un podcast de Joe Rogan. Joe est un comédien de stand-up et commentateur d’arts martiaux. Il invite régulièrement des personnalités brillantes au sein de son émission afin d’explorer les sujets qui l’intéressent et essayer d’aider les néophytes à se familiariser avec certains concepts. L’un des épisodes mettait en lumière Sir Roger Penrose. Sir Roger a notamment travaillé avec Stephen Hawking à l’élaboration des théories relatives aux trous noirs. Désormais, l’un de ses principaux objectifs est d’étudier la conscience humaine et de répondre à cette question : qu’est-ce qui nous différencie des machines ?

Voici ce qu’il a imaginé[iii]: « Nous allons faire appel à des mathématiciens pour étudier la nature des tâches créatives complexes, et concevoir des énigmes qui font appel à l’intelligence créative humaine. Ces tâches créatives devraient être non calculables, de sorte que nous soyons sûrs de voir des types de pensées qui ne pourraient pas être exécutées par un ordinateur. Nous publierons ces puzzles non calculables dans les journaux, tout comme Alan Turing l’a fait pour trouver les casseurs de code de Bletchley Park. Notre objectif est de trouver les zones, les régions liées et les mécanismes qui fournissent aux humains leur pouvoir créatif en utilisant les techniques d’imagerie modernes issues des neurosciences ».

Il s’agit notamment de publier dans plusieurs revues universitaires une position d’échecs conçue pour vaincre les ordinateurs mais pouvant être résolue par des humains. L’idée est ensuite de scanner le cerveau des joueurs capables de la comprendre pour essayer de comprendre d’où viennent ces moments “eurêka”. Ainsi, qu’arrive-t-il aux ordinateurs qui tentent de résoudre cette même énigme ?

« Un ordinateur d’échecs se débat parce que cela ressemble à une position impossible, même si elle est parfaitement légale. Les trois fous obligent l’ordinateur à effectuer une recherche massive de positions possibles qui s’étendront rapidement à quelque chose qui dépasse toute la puissance de calcul de la planète Terre ».[iv]

Cette information m’a frappé et m’a aussi fait comprendre pourquoi nous ne pouvons pas utiliser l’IA pour résoudre des problèmes aussi complexes dans notre vie quotidienne en matière de cybersécurité. Il s’agit ici d’un seul mouvement d’échecs. Imaginez maintenant toutes les variables impliquées dans un incident complexe de cybersécurité ?

Il ne fait ainsi aucun doute qu’aujourd’hui, les machines ne sont pas encore prêtes à nous remplacer. Ainsi, quand une entreprise vend une nouvelle technologie brillante qui prétend remplacer des équipes entières, nous devrons être capables de voir clair dans son jeu. Que devrions-nous leur demander ? Et dans quelles mesures pouvons-nous utiliser l’IA dans nos opérations quotidiennes ?

Nous y reviendrons dans la deuxième partie de cette analyse.