La montée en puissance des processus informatiques automatisés et des algorithmes capables d’apprendre change la donne en matière de sécurité au sein des entreprises. Ces dernières doivent prendre en compte les bouleversements en cours pour mieux se défendre contre de nouveaux risques. Dans cette perspective, les grandes sociétés semblent, mais avec beaucoup d’exceptions, mieux armées que les PME. Toutefois, au-delà des problématiques techniques et dès lors que l’on explore les failles éventuelles présentes au cœur d’un dispositif de protection d’un réseau d’ordinateurs, d’autres questions se font jour, liées au management global d’une organisation, quelle qu’elle soit.
L’intelligence artificielle – comprise, dans une acceptation large, comme une tentative de recréation partielle ou totale, voire de dépassement, de l’intelligence humaine à l’aide de différentes techniques –, constitue une source d’espoirs, mais aussi de craintes pour les entreprises romandes. Un concept informatique comme le deep learning (l’apprentissage profond), une méthode de traitement des données et d’apprentissage automatique par les machines grâce à des algorithmes adaptés, révolutionne bien des aspects de la société, pour le meilleur et pour le pire, et le monde économique doit être attentif à ces changements. Pour l’anecdote, l’intelligence artificielle se manifeste dans des «exploits» ludiques, comme le fait de battre des champions du jeu d’échecs (en 1997 déjà) ou du jeu de go (en 2016 et en 2017). Pour Guillaume Chanson, maître de conférences en sciences de gestion à l’Université Paris 1 Panthéon-Sorbonne, qui exprimait récemment son point de vue dans la presse, face à de tels événements, «on peut s’attendre à ce que les programmes d’apprentissage profond modifient les processus de décision en entreprise». Pour lui, «(le logiciel) Deep Blue avait réussi à battre le champion du monde d’échecs (Garry Kasparov) il y a vingt ans grâce à ses algorithmes et à une puissance de calcul lui permettant de balayer toutes les séquences de jeu sur de nombreux coups. Mais le nombre de combinaisons possibles au go rendait ce jeu réfractaire à ce type de méthode».
Dès lors, le nouveau programme d’intelligence artificielle AlphaGo, pour réaliser ses performances de 2016 et de 2017, a introduit de nouvelles approches originales pour remédier à cet écueil, dont le deep learning. Celui-ci a permis de «nourrir» le programme de très nombreuses parties et à le faire jouer contre lui-même: les progrès furent considérables en un temps extrêmement court. «Le succès d’AlphaGo pourrait ouvrir une véritable ère de l’apprentissage profond», avertit Guillaume Chanson. Il voit, pour les entreprises, des applications possibles dans les domaines opérationnels – «par exemple, l’attribution d’une prime à un salarié ou d’une remise à un client» – ou stratégiques – «par exemple l’entrée sur un nouveau marché ou l’externalisation d’une fonction».
De nouvelles menaces pour les PME
D’une façon plus inquiétante, le cabinet d’audit KPMG, dans une étude de mai dernier, Clarity on Cyber Security, mentionne une «forte augmentation et de nouvelles menaces engendrées par l’intelligence artificielle» en Suisse. Ce rapport repose sur une combinaison d’interviews qualitatives individuelles et sur un sondage en ligne et groupe les témoignages de quelque soixante représentants d’entreprises. Par intelligence artificielle, KPMG entend «en principe des machines intelligentes capables d’automatiser des processus complexes et de grande envergure et de soutenir les hommes dans les décisions critiques». Dès lors, la société de conseil insiste sur le fait que «les attaques sur de telles machines peuvent avoir des effets considérables sur la résistance des marchés ou même sur celle d’économies nationales entières et de systèmes soutenant l’ordre établi». Les interviews effectués par KPMG révèlent que les entreprises ne prennent que lentement toute la mesure de cette situation: 26% seulement des sondés ont indiqué avoir conscience des «cyber-risques» liés à la mise en œuvre de l’intelligence artificielle dans leur propre entreprise ou dans les produits et les prestations. Matthias Bossardt, responsable Cyber Security de KPMG Suisse, résume la situation ainsi: «En raison de l’utilisation accrue de l’intelligence artificielle, nous nous voyons confrontés à de tous nouveaux risques dans le domaine de la cybersécurité. Simultanément, il existe aussi de nouvelles possibilités dans la défense contre les cyberattaques, mais l’intelligence artificielle n’est pas un remède miracle».
Pas un remède miracle? On peut le croire, pourtant. Du côté des éditeurs de logiciels de gestion des risques informatiques, on se prépare – «éléments de langage» à la clé – à un nouveau marché et à des produits qui «fusionnent l’intelligence artificielle à des technologies essentielles» et qui «arrêtent les menaces connues avec l’apprentissage automatique avancé», comme chez Symantec.
Se poser les bonnes questions
«Il faut faire attention aux glissements sémantiques qui interviennent au cœur du monde informatique et qui relèvent parfois plus de la stratégie marketing que de l’innovation technologique», précise Solange Ghernaouti, professeure à l’Université de Lausanne (UNIL) et experte internationale en cybersécurité et cyberdéfense. Glissements sémantiques? «La notion d’intelligence artificielle, qui correspond souvent à un mot-valise si on ne lui donne pas une définition et un contenu précis, peut être dévoyée pour mieux servir des intérêts commerciaux. Certes, l’intelligence artificielle, comprise comme un logiciel capable d’apprendre en permanence et d’auto-adapter son comportement en fonction de l’environnement, peut représenter une solution technique efficace contre certaines cyber-attaques, surtout si elles sont réalisées par des logiciels qui intègrent une forme d’intelligence artificielle. Toutefois, l’analyse ne doit pas s’arrêter là. Une «course à l’armement technologique» se révèle vaine si un dirigeant d’entreprise ne s’interroge pas sur les motivations qui attirent les criminels vers sa société, sur les outils de défense qu’il a à sa disposition ou sur les lacunes humaines qui existent déjà au sein de son organisation en matière de sécurité». Solange
Ghernaouti indique encore que «du côté des risques amenés par les processus automatisés au sein des entreprises, il est essentiel pour un responsable de posséder les compétences nécessaires pour toujours comprendre ce qui se passe. L’intelligence humaine doit demeurer au centre des décisions».
Jacqueline Reigner, experte dans le domaine de la cybersécurité, fondatrice de Sémafor Conseil SA et présidente honoraire de l’Association suisse de la sécurité de l’information (Clusis), opte pour une même démarche analytique quand elle fournit des recommandations à ses clients, des PME notamment. «Je ne dis pas à un chef d’entreprise d’acheter tel ou tel produit pour se protéger – Sémafor Conseil reste totalement indépendant des éditeurs de logiciels de ce point de vue –, mais je l’encourage à se poser les bonnes questions à une époque où, depuis la mise en réseau de tous les systèmes, la sécurité informatique a pris une dimension sans précédent. Si l’intelligence artificielle est présente au sein de nombreuses institutions du secteur privé comme du secteur public, l’intelligence humaine, avec ses spécificités, reste derrière les choix stratégiques. Les actes de malveillance conservent des mobiles immuables alors que les moyens d’action agressifs et intrusifs changent, utilisant, pourquoi pas, le deep learning ou des concepts proches pour devenir plus efficaces. Effectuer une bonne analyse des risques constitue alors, encore et toujours, la meilleure garantie pour connaître la solution de sécurité adaptée à sa situation.»
Au-delà de ces explications, Jacqueline Reigner mentionne sa crainte de voir se développer à l’avenir une «cybersécurité à deux vitesses», avec des grands groupes qui seraient à la pointe dans ce domaine et des PME devenant de plus en plus vulnérables, faute de posséder assez de temps et d’argent à consacrer à des problématiques pourtant essentielles. «Les patrons et les informaticiens engagés au sein de PME doivent, dans le futur, être mieux formés et informés par rapport à la cybersécurité!»
Gregory Tesnier
Paru dans Entreprise romande du 23 juin 2017