Select your country

Belgium

China

Denmark

France

Germany

Maghreb & West Africa

Netherlands

Norway

South Africa

Spain

Sweden

Switzerland

United Kingdom

Not finding what you are looking for, select your country from our regional selector:

Rechercher

  1. Orange Cyberdefense
  2. Ressources
  3. Blog
  4. Avec Mythos AI, le tempo des cyberattaques accélère : 5 points que les entreprises doivent surveiller
| Blog

Avec Mythos AI, le tempo des cyberattaques accélère : 5 points que les entreprises doivent surveiller

Comment renforcer la résilience de son entreprise à l'ère de Mythos IA ?

Les modèles d’IA tels que Mythos sont en capacité d'identifier rapidement les vulnérabilités, d'évaluer les différents chemins d'attaque possibles et de monopoliser toute la bande passante des équipes de sécurité. Face à ce nouveau challenge, les entreprises doivent-elles redoubler d'efforts pour muscler leur résilience cyber ?

Lors du webinaire « Mythos : comprendre le phénomène et son impact sur la cybersécurité de votre entreprise », les experts d’Orange Cyberdefense ont discuté de son impact sur les entreprises et des mesures prioritaires à mettre en place.

Ce qui distingue Mythos, ce n’est pas tant sa capacité à détecter des vulnérabilités. Un chercheur expérimenté en est également capable. La différence réside principalement dans l'échelle et la vitesse d'une telle IA. Un expert chevronné a besoin d’une vingtaine d’heures pour parcourir une chaîne d’attaque complète. Mythos effectue le même travail beaucoup plus rapidement, sans interruption, et peut tester un millier de variations simultanément. Et cela change la donne, analyse Sebastiaan de Vries, responsable Consulting & Advisory chez Orange Cyberdefense Pays-Bas.

Cette accélération nécessite une approche différente de la gestion des risques. Voici cinq points importants pour permettre aux organisations de renforcer leur cybersécurité à l'ère de Mythos IA

1 - Ne pas s'arrêter aux vulnérabilités isolées

Développé par la société Anthropic, Claude Mythos ne se limite pas à la détection de vulnérabilités individuelles. Dans un environnement de test contrôlé, ce modèle d'IA a été chargé d’infiltrer un réseau et d’élever progressivement ses privilèges. Et Mythos a réussi trois fois sur dix, ce qui représente un taux de réussite remarquablement élevé et une avancée significative comparé aux précédents modèles d'intelligence artificielle.

L'environnement de test était dépourvu de SOC actif, d'une « blue team »(1) et d'un système de surveillance capable de détecter des comportements inhabituels. Et une infrastructure d'entreprise bien sécurisée représente un tout autre challenge. 

Cela n'en reste pas moins révélateur. Mythos IA  adresse les différentes étapes techniques bien plus rapidement, en dressant le chemin entre un point faible et une voie d'attaque exploitable. Une IA telle que Mythos abaisse également le niveau d'expertise nécessaire des attaquants, y compris dans des environnements industriels / OT bien spécifiques.

Jusqu'ici, seules les grandes banques se demandaient quelles vulnérabilités pouvaient servir de chemin d'attaque et représenter un risque. Une question qui concerne aujourd'hui un nombre d'organisations beaucoup plus vaste.  

2 - Adopter une approche du « patch management » basée sur la gestion des risques

Corriger rapidement les vulnérabilités n'est pas si simple pour de nombreuses entreprises. Et les nouveaux modèles d’IA tels que Claude Mythos Preview accentuent cette pression. Si Mythos AI ou des modèles similaires révèlent davantage de vulnérabilités, il faudra bien que quelqu’un teste, planifie et déploie tous ces correctifs.

Un délai standard de trente jours pour appliquer des correctifs peut s’avérer trop long pour des vulnérabilités pouvant être exploitées rapidement par des hackers. Dans le même temps, les entreprises ne peuvent pas tout corriger d’un seul coup. Certaines mises à jour nécessitent un temps d’arrêt, des tests supplémentaires ou une coordination avec les services opérationnels.

La gestion des correctifs doit être davantage orientée sur les risques.

La vulnérabilité la plus prioritaire n'est plus forcément celle ayant le score CVSS(2) le plus élevé. C'est celle qui représente le plus grand risque au sein de votre environnement IT. Une vulnérabilité évaluée comme étant moins critique peut s'avérer au final être beaucoup plus urgente à traiter si elle peut réellement être exploitée. Le catalogue KEV de la CISA(3) peut aider les entreprises et les RSSI sur ce point développe Sebastiaan de Vries.

3 - Accélérer la détection des vulnérabilités, tout en gardant les experts aux commandes

Si les attaquants sont en mesure de scanner, tester et exploiter plus rapidement les failles, les analystes SOC vont forcément recevoir davantage d'alertes, de schémas suspects et d’incidents à évaluer. 

C’est là que l’IA joue un rôle important. Les équipes de sécurité peuvent s’en servir pour accélérer le tri, les rapports d'incidents synthétiser, identifier des schémas récurrents et hiérarchiser les alertes. En conséquence, les plateformes XDR, SIEM et SOC(4) joueront un rôle plus important dans le traitement des volumes.

Pour autant, si un analyste assisté par l'IA peut traiter davantage de cas au quotidien, l'expertise humaine demeure essentielle. L'intelligence artificielle doit soutenir les équipes de sécurité, pas les remplacer. Leur expertise demeure indispensable pour prendre les bonnes décisions, en particulier dans les processus où une erreur peut avoir de lourdes conséquences, souligne Sebastiaan de Vries.

4 - Devenez un dresseur Pokémon

Les équipes de cybersécurité qui souhaitent recourir à l'IA se retrouvent face à un choix : s'appuyer sur un modèle généraliste ou bien sur un ensemble d'agents spécialisés pouvant chacun accomplir une tâche spécifique. La pratique tend à privilégier la seconde option.

Il faut amener les équipes de sécurité à penser comme des dresseurs de Pokémon. En lieu et place d'une IA toute-puissante capable de tout faire, ils doivent s'appuyer sur une équipe soigneusement composée d'agents spécialisés, qui excellent dans une tâche spécifique, conseille Sebastiaan de Vries.  

Les entreprises qui souhaitent utiliser l'IA pour des exercices de pentest - on parle de « Red team »(5) -, assurer le tri automatisé des alertes ou l'analyse des vulnérabilités, auraient tout intérêt à déterminer le modèle ou agent IA le plus adapté à chaque usage. La supervision humaine reste inchangée : l'IA peut rapidement dérailler si les instructions sont erronées ou si le contexte n'est pas pris en compte. 

5 - Avoir des bases solides en matière de cybersécurité... et impliquer la Direction

Face à l'émergence de plateformes IA telles que Mythos, les entreprises ne doivent pas forcément abandonner leur approche opérationelle en matière de cybersécurité. Un réseau correctement configuré et doté d'un dispositif de surveillance efficace est tout à fait capable de contrer un puissant modèle d'IA. Si lors de tests Mythos a eu le champ libre, c'est précisément parce qu'il n'y avait ni SOC ni « Blue team » à bord.

Les fondamentaux d'un environnement IT sécurisé sont toujours de mise :

  • L'authentification multifactorielle - « MFA » ; 
  • Une gestion rigoureuse des correctifs ; 
  • Un inventaire à jour des composants du système d'information ; 
  • La segmentation du réseau ; 
  • Un dispositif de détection efficace ; 
  • La sensibilisation et la formation des employés ; 
  • Un processus clair de réponse aux incidents ; 
  • Une visibilité globale des environnements SaaS, Cloud, IoT et OT(6).

La segmentation du réseau et l’authentification multifactorielle garantissent qu’un attaquant, y compris boosté à l’IA, doit franchir davantage d’étapes. Cela demande à l'attaquant plus d'efforts et de temps pour arriver à ses fins. Et ce temps là est particulièrement précieux, rappelle Sebastiaan de Vries.

Ces principes fondamentaux nécessitent également des décisions au niveau du conseil d’administration de chaque entreprise. De tels enjeux ne relèvent pas uniquement de la responsabilité du RSSI. L’IA générative a des implications en matière de budget, de management des risques, de temps nécessaire à la remédiation, d’outils, de ressources humaines et de gouvernance.

Les membres du conseil d’administration doivent comprendre ce que l’accélération qui agite actuellement le domaine de la cybersécurité signifie pour la pérennité de leur organisation. Une feuille de route pluriannuelle est utile, mais elle ne suffit plus. Les entreprises doivent également déterminer quels changements sont attendus au cours des 30, 45 et 90 prochains jours.  

Claude Mythos n'est qu'une étape dans la course à l'IA

Il est fort probable que d'autres modèles similaires à Claude Mythos fassent leur apparition. OpenAI, Google et d'autres laboratoires d'IA développent leur propre version, aux capacités toujours plus étendues. Les entreprises doivent désormais composer avec cette accélération permanente de l'intelligence artificielle. Les conseils de nos experts pour y faire face sont clairs :  

  • Connaître les plateformes IA les plus pertinentes pour votre entreprise ; 
  • Renforcer les bases de votre cybersécurité ; 
  • Former les équipes IT ; 
  • Embarquer le conseil d'administration ; 
  • Mettre en place une gestion efficace des correctifs, ainsi qu'un dispositif de détection et de réponse aux incidents capable de suivre l'évolution de la menace. 

Voir le replay de notre webinaire (en Anglais)

Vous souhaitez en savoir plus sur Claude Mythos Preview d'Anthropic et l'impact de l'IA générative sur la cybersécurité ? Regardez le replay de notre webinaire, « Mythos : comprendre le phénomène et son impact sur la cybersécurité de votre entreprise ». Des experts d'Orange Cyberdefense vous expliquent ce qu'est Mythos IA, les différentes implications pour la gestion des correctifs, la détection et la réponse aux incidents, et comment les entreprises peuvent s'y préparer concrètement.

Regarder le webinaire

Sources et notes

(1) Un SOC est un Centre opérationnel de sécurité (« Security Operational Center ») dédié à la surveillance, détection et réponse aux incidents de sécurité informatique ; Dans le langage du pentest ou du ethical hacking, l'équipe bleue désigne l'équipe chargée de protéger l'organisation contre les attaques ; 

(2) Dans le domaine de la sécurité informatique, Common Vulnerability Scoring System (« CVSS ») est un système d'évaluation standardisé de la criticité des vulnérabilités ; 

(3) Le catalogue Known Exploited Vulnerabilities (« KEV ») regroupe la liste des vulnérabilités connues et exploitées par les cyberattaquants. Les entreprises peuvent s'en servir pour prioriser la correction des failles de sécurité ; La Cybersecurity and Infrastructure Security Agency (« CISA ») est l'agence de cybersécurité des infrastructures des Etats-Unis ;    

(4) Un « XDR » ou Extended Detection and Response est une solution de détection d'investigation et de remédiation transverse, capable d'intervenir sur différentes couches du réseau : terminaux / postes de travail, serveurs et applications Cloud ; Le « SIEM » ou Security Information and Event Management est une plateforme qui collecte, agrège et analyse en temps réel les logs et évenements de sécurité provenant de divers systèmes infirmatiques ;  

(5) On parle dans ce cas de « Red team », qui désigne l'équipe ayant pour objectif de simuler des attaques réelles pour évaluer la défense et les vulnérabilités des organisations ; 

(6) SaaS 

Partager

Assistance 24h/24 7j/7