Bienvenue dans la série de podcasts The Global CISO
Je suis ravi de vous présenter ma nouvelle série de podcasts, The Global CISO : Pour les défenseurs, par des défenseurs. J’exerce en tant que CISO depuis plus de 20 ans et j’occupe aujourd’hui le poste de CISO terrain chez F5. L’expérience est la meilleure enseignante, mais son coût peut être élevé. C’est pourquoi je lance cette série de podcasts pour vous aider, en tant que RSSI ou DSI, à mieux suivre le rythme incroyable des évolutions techniques de notre époque et à vous préparer aux défis futurs de la sécurité de l’information.
F5 accompagne plus de 23 000 entreprises dans plus de 170 pays, dont les plus grandes banques, constructeurs automobiles et opérateurs de télécommunications au monde. J’ai parcouru environ 300 000 miles l’an dernier, collaborant avec certaines des organisations les plus complexes, et c’est de ce point de vue que cette série de podcasts analyse les tendances majeures en matière de sécurité de l’information, conformité et gestion des risques aujourd’hui. Je vous expliquerai ce qui fonctionne, ce qui ne fonctionne pas, et comment les RSSI et DSI peuvent tirer parti de la révolution de l’IA pour réussir dans un monde en mutation rapide.
Écoutez dès maintenant
Voici les principaux enseignements de mon premier épisode :
Soyez vigilant face à l’idéologie intégrée dans les modèles nationaux d’IA
En matière de leadership mondial en matière d’IA, les États-Unis et la Chine se disputent la domination mondiale et l’influence dans les pays du Sud. Cependant, les deux nations intègrent des contraintes idéologiques dans leurs piles d’IA. Les États-Unis Le plan d’action de l’IA a un thème géopolitique qui motive son modèle et qui pousse les États-Unis. L'Institut national des normes et de la technologie (NIST) va supprimer des sujets tels que le changement climatique, la DEI ou la désinformation du cadre de gestion des risques du NIST. La pile d’IA officielle chinoise, commercialisée comme open source (poids vraiment ouvert) et facilement accessible au Sud global, est conçue pour rester fidèle aux principes socialistes.
Je pense que les aspects idéologiques présents dans ces modèles d’IA et les architectures qu’ils promettent pourraient freiner leur adoption. Par exemple, les actuaires du secteur de l’assurance voudront-ils vraiment se fier aux modèles d’IA américains pour l’évaluation et les prévisions en assurance dommages si ces modèles excluent les données liées au changement climatique ? Quel avantage offre l’adhésion à des principes socialistes si vous utilisez des modèles d’IA chinois pour analyser les marchés financiers ? Je suis convaincu que beaucoup d’organisations mondiales choisiront d’éviter les modèles d’IA basés sur des positions idéologiques strictes.
Voyez l’UE comme un outsider capable de tirer parti de la rivalité idéologique autour de l’IA entre les États-Unis et la Chine. L’UE n’est pas forcément la première innovatrice mondiale en IA, mais les entreprises technologiques européennes excellent, et la France compte parmi les meilleurs mathématiciens au monde. Son approche en matière d’IA évite les biais idéologiques, en se focalisant sur la gestion et l’acceptation des risques, ainsi que sur des sanctions sévères envers les entreprises qui déploient l’IA de façon irresponsable. Ne sous-estimez donc pas l’UE pour autant.
À retenir : Vous devez peser avec soin les modèles d’IA et les plates-formes technologiques que vous adoptez, car ces choix initiaux auront des répercussions durables et pourraient entraîner des coûts importants en cas de changement. Toutefois, attendez-vous à une adoption toujours plus forte des modèles ouverts sur tous les fronts.
Préparez-vous à une augmentation marquée des fraudes
Sam Altman, PDG d'OpenAI, est récemment monté sur scène pour évoquer la montée spectaculaire de la fraude alimentée par les systèmes IA. Nos expériences chez F5 confirment ce constat. Nous affirmons depuis longtemps que la plupart des tests de Turing automatisés et des CAPTCHAs sont obsolètes, surtout face aux bots sophistiqués. Pourtant, les défenseurs ont visiblement sous-estimé la facilité avec laquelle un agent ChatGPT contourne les restrictions CAPTCHA.
Nous observons aussi une forte hausse de la fraude vocale, où des agents IA adoptent désormais des accents locaux si crédibles qu’on croirait qu’ils habitent à côté. Nous enregistrons une augmentation d’environ 2 400 % de fraudes exécutées par IA, utilisant messagerie vocale, phishing par SMS, ingénierie sociale, deep fakes, et des courriels indésirables de plus en plus réalistes qui exploitent la confiance humaine.
Préparez-vous, car la fraude assistée par l'IA va exploser. C'est là que l'argent circule, et où les criminels s'engouffrent.
À retenir : L’IA amplifie la fraude, rendant les protections classiques comme les CAPTCHA dépassées. Vous devez prioriser la formation de vos équipes et adopter des stratégies de sécurité adaptatives, pilotées par l’IA, pour contrer des escroqueries de plus en plus sophistiquées via la voix, les messages et les réseaux sociaux.
Intégrez « Sécurisation de l'inférence » à votre mission professionnelle
Les RSSI ont déjà de nombreuses missions à gérer. Nous devons protéger et sécuriser les données, les e-mails, les applications, les périmètres, l’edge, les réseaux et les appareils, et désormais, il nous faut aussi assurer la sécurité des inférences.
L'inférence devient la nouvelle surface d'attaque. Elle est désormais directement liée aux décisions impactant l'entreprise, les finances, la conformité et la réputation. Les adversaires exploitent les moteurs d'inférence via diverses attaques, comme l'injection de commandes et la manipulation des modèles. Vous devez sécuriser non seulement l'infrastructure autour de l'IA, mais aussi la prise de décision de l'IA elle-même, car l'inférence constitue à la fois un nouveau vecteur d'attaque et une fonction essentielle pour votre activité.
Une nouvelle méthode de manipulation d'inférence appelée attaque de « chambre d’écho ». Elle consiste en une injection d’invite où l’on construit une série de prompts suggérant progressivement une réponse non autorisée, sans demander directement une génération interdite. C’est comme induire le modèle de langage étendu (LLM) en erreur par de petites suggestions sur plusieurs tours, poussant le modèle à se contourner ou à salir ses propres protections.
Ces attaques dites « chambre d’écho » réussissent entre 80 % et 90 % du temps. Faut-il désormais que le RSSI protège les inférences ? Si ce n’est pas le cas, qui, dans votre organisation, prendra cette responsabilité ?
À retenir : L’inférence se révèle être une nouvelle surface d’attaque majeure, et les RSSI doivent élargir leur champ d’action pour protéger directement le processus décisionnel de l’IA. Selon moi, si votre titre inclut « Chef » et « Sécurité », ce défi deviendra inévitablement le vôtre, que vous en soyez conscient ou non. Il est donc temps de s’y atteler.
La Chine dispose-t-elle d’un avantage en matière d’IA ?
Je pense qu’ils ont peut-être un avantage en IA, mais tout dépend de ce que vous mesurez. Je passe beaucoup de temps en Asie et j’ai échangé avec de nombreuses personnes qui y vivent et travaillent. Il me semble que la Chine prend une avance en appliquant concrètement l’IA de façon utile. Peut-être que la Chine ne dispose pas des modèles les plus volumineux jamais créés, mais ses modèles sont activement utilisés pour résoudre des problèmes de chaîne d’approvisionnement, réacheminer les expéditions et remplir d’autres fonctions concrètes.
Je pense que vous pouvez viser le plus grand modèle à 200 quadrillions de paramètres, si c’est ce que vous souhaitez construire. Mais aujourd’hui, aux États-Unis comme en Europe, je remarque un vrai fossé – pour reprendre une image des courses de dragsters – entre créer cette puissance et la faire vraiment fonctionner sur le terrain.
Les États-Unis Le plan d’action pour l’IA priorise fortement le développement énergétique, la création d’usines d’IA et de centres de données d’IA. Les investisseurs injectent massivement des fonds, mais vous ne constatez pas encore de valeur tangible dans le monde réel. Considérez les études récentes largement médiatisées qui montrent qu’à ce stade de l’adoption de l’IA, peu de programmes génèrent une valeur commerciale, ce qui correspond naturellement à la phase de Désillusion dans l’adoption des nouvelles technologies.
Une partie du problème est que même si les États-Unis disposent des modèles d’IA les plus vastes et puissants, ils ne les utilisent pas toujours pour générer des résultats commerciaux concrets. Peu de barrières protègent l’IA. Posséder le plus grand modèle offre un avantage compétitif temporaire qui ne durera pas éternellement.
Point clé : La Chine bénéficie probablement d’un avantage en IA, non pas en développant les plus grands modèles, mais en les appliquant rapidement à des enjeux concrets, tandis que les États-Unis et l’Europe risquent de prendre du retard en privilégiant la taille plutôt que l’impact réel. La Chine dispose aussi d’une capacité énergétique bien supérieure à celle des États-Unis, un défi que ces derniers ne peuvent pas résoudre facilement ni rapidement. Il faut forer, toujours forer, même si nous savons que cette logique n’est pas durable — c’est le reflet des dynamiques actuelles de la course mondiale.
Votre source incontournable pour devancer les menaces
Nous souhaitons que The Global CISO devienne votre référence pour anticiper les menaces et les tendances qui façonnent notre industrie et notre avenir. Si vous pensez à des thèmes que je devrais aborder, n’hésitez pas à m’envoyer un message ou à me contacter sur LinkedIn.
Abonnez-vous dès maintenant pour écouter tous les épisodes de The Global CISO : Créé par des défenseurs pour des défenseurs, écoutez-le sur votre plateforme de podcast préférée — et partagez-le avec votre équipe, vos collègues et votre réseau.
Écoutez mon premier épisode, « Dominer les API, la sécurité IA et le PQC ».
N’oubliez pas non plus de suivre mon deuxième épisode, « Automatisez en priorité : Le guide du CTO pour les API, l’observabilité et la responsabilité des fournisseurs ».