IA Générative : Opportunités et défis pour la Cybersécurité
L'essor de l'intelligence artificielle générative ouvre de nouvelles perspectives passionnantes, mais soulève également des défis inédits en matière de cybersécurité. Véritable couteau suisse capable de créer du contenu de toutes pièces, cette technologie déferlante représente à la fois un levier de productivité et d'innovation, et un potentiel vecteur de menaces si elle est exploitée sans précaution ou à des fins malveillantes. Entre opportunités et risques, l’IA Générative représente un défi de taille pour le domaine de la cybersécurité.
Chapitre 1 - IA Générative : Allié ou Menace pour la Cybersécurité ?
L’intelligence artificielle générative a transformé le monde du travail, accélérant la productivité, l’innovation et la prise de décision. Toutefois, son adoption en entreprise soulève de nouveaux défis en matière de cybersécurité. Comment concilier ces avancées technologiques avec une protection efficace des données et des systèmes ? Chez Crédit Agricole, nous croyons qu’une adoption responsable et sécurisée de l’IA est non seulement possible, mais aussi essentielle pour en tirer pleinement parti.
Les outils d’IA générative, comme ChatGPT, Mistral AI, DeepSeek, offrent aux équipes informatiques et métiers des capacités inédites : rédaction automatique, génération de code, assistance à la cybersécurité, et bien plus encore. Cependant, ils ne sont pas exempts de risques, notamment :
✖ Fuites de données : L’utilisation d’IA générative en ligne dans une plateforme publique peut exposer des informations confidentielles à leurs saisies (prompts) ou lors de l’injection de documents.
✖ Désinformation et phishing avancé : Les cybercriminels exploitent l’IA générative pour générer de faux emails ou des deepfakes et usurper ainsi des identités avec un réalisme inquiétant.
✖ Vulnérabilités logicielles : Le code généré automatiquement peut contenir des failles de sécurité si les bonnes pratiques ne sont pas respectées (maitrise des langages de programmation, contrôle de code source rigoureux (revues de code, tests, peer-revue etc …), intégration d’outils de scan de vulnérabilités intégrés, avoir un environnement d’intégration et de déploiement continue (CI/CD) robuste et automatisé etc…) .
✖ Risques d’hallucination, de régurgitations d’informations, etc...
✖ Biais de la réinjection des résultats (ex : Amazon RH)
Face à ces défis, une approche proactive permet de sécuriser nos usages tout en profitant des bénéfices de l’IA générative.
Les Bonnes Pratiques à Adopter pour une IA Générative Sécurisée
Au sein du Groupe Crédit Agricole nous avons uni nos forces à travers les différentes lignes métiers pour mettre en œuvre des mesures concrètes visant à protéger nos systèmes et nos données tout en intégrant l’IA générative de manière responsable. Voici nos recommandations clés :
1. Former et Sensibiliser les Équipes
➡ Se former : Comme nous avons pu le voir, l'essor de l'intelligence artificielle générative ouvre de nouvelles perspectives passionnantes mais cette technologie possède également des risques et des limites qu’il est important de connaitre. C’est dans cette optique, que le Groupe, à travers du DataLab Groupe, a conçu des modules de formation dédiés sur le portail de l’IFCAM pour sensibiliser l'ensemble des collaborateurs aux enjeux et bonnes pratiques liés à l'exploitation de ces technologies émergentes. Cette démarche vise à développer un usage éclairé et responsable de l'IA générative au sein de notre Groupe.
➡ Adopter une posture critique : Vérifier les sources et les contenus générés avant de les utiliser dans un cadre professionnel. Les IA Génératives peuvent vous aider dans vos tâches quotidiennes mais elles peuvent se tromper, ce sont vos compétences métiers qui doivent faire foi.
2. Protéger les Données de l’entreprise et de ses clients et renforcer la sécurité des Données
➡ Ne pas entrer des données sensibles dans les outils d’IA publics (informations clients, codes confidentiels, projets internes…). C’est d’ailleurs la raison pour laquelle le Datalab Groupe a lancé "Sécuri'Chat", une IA Générative déployée sur les infrastructures cloud du Crédit Agricole permettant de « chatter » avec une IA Générative en langage naturel et d’y intégrer des documents de classification publics à confidentiels. Elle est, pour l’instant accessible aux collaborateurs de Crédit Agricole S.A.
➡ Contrôler les accès et la gouvernance : en fonction des outils IA et des cas d’usages, une restriction d’accès à des profils spécifiques pourrait s’avérer nécessaire et s’accompagner d’une surveillance adéquate.
➡ Maitriser l’accès à la donnée source : plusieurs outils IA s’appuient aujourd’hui sur le principe de l’accès délégué (l’outil accède aux données auxquelles l’utilisateur est d’ores et déjà habilité). Les accès aux solutions non sécurisées ont donc été bloqué.
3. Réaliser des développements dans des conditions de sécurité acceptables
➡ Privilégier les solutions internes ou sécurisées : Utiliser des modèles hébergés sur nos infrastructures et validés par notre équipe IT
4. Rechercher de la souveraineté et valider l’équilibre entre potentiel et risques
➡ Valider l’équilibre entre potentiel et risques : Bien identifier si l’utilisation d’une IA générative est nécessaire pour un projet.
➡ Rechercher la souveraineté : Afin de maitriser les impacts (modèles IA / fournisseurs) sociaux économiques et politiques, il est important de rechercher une souveraineté. C’est dans cette optique que le DataLab Groupe, en collaboration avec 4 entités du Groupe cadrage un projet dont le but est de créer un LLM de code souverain (à partir d’un LLM de code open source qui sera personnalisé)
5. Encadrer l’Utilisation des Outils d’IA
➡ Aligner l’utilisation des outils d’IA avec les normes et règlementations en vigueur, notamment le cadre Normatif IA Groupe (déclinaison de l’IA Act* publié en juillet 2024) qui a été mis à disposition sous forme de note de procédure (NP 2024-44 publiée en octobre 2024 afin de définir en outre le cadre et les exigences à appliquer par chaque entité dans l’exploitation lors de l’usage de solutions IA), ainsi que le corpus normatif de la Sécurité des Systèmes d’Information du Groupe.
Conclusion : Une IA Générative Sécurisée, un atout pour l’Entreprise
L’IA générative est un levier d’innovation, de productivité ou encore d’automatisation. Elle transforme aussi la façon dont nous travaillons, à condition d’être utilisée avec précaution.
Par conséquent, il est essentiel d’allier performance et sécurité, en accompagnant nos équipes dans une adoption maîtrisée et responsable de ces nouvelles technologies, sans compromettre la protection des données.
Chapitre 2 - L’utilisation de l’IA par les cybercriminels
Comme évoqué, l’IA générative est une technologie puissante qui, comme toute autre technologie est accompagnée par ses propres risques, qui peuvent aller jusqu’à l’exploitation à des fins malveillantes par des cybercriminels.
Voici les principaux risques cyber liés à l’usage détourné de l’IA générative et comment elle peut être utilisée lors des cyberattaques :
1. Phishing et Ingénierie Sociale Améliorés
✖ Deepfakes vocaux et vidéo
La puissance des nouvelles IA permet de créer des deepfakes vocaux et vidéos pour usurper l’identité d’un dirigeant pour ordonner l’exécution d’actions.
Exemple : un cybercriminel a réussi à imiter la voix du PDG pour convaincre un employé de transférer des fonds.
✖ Usurpation d’Identité et Fraude Avancée : Création de faux profils et documents
Il est maintenant possible avec certaines nouvelles IA de créer de fausses photos d’identité et avatars réalistes.
Utilisées à des fins frauduleuses, ces usurpations d’identités peuvent être utiliser pour ouvrir des comptes bancaires frauduleux, souscrire des crédits, effectuer une escroquerie aux assurances.
✖ Escroqueries avancées avec IA conversationnelle.
2. Génération de Code Malveillant et Exploitation de Vulnérabilités
✖ Aide à la création de malwares et ransomwares
L’utilisation pour la génération du code malveillant à la demande.
Exemple : création de scripts pour des chemins d’attaques sophistiqués et la génération de ransomwares personnalisés.
✖ Optimisation des attaques sur les failles de sécurité
L’IA générative peut analyser du code source pour y détecter des vulnérabilités exploitables.
Exemple : identification automatique de failles dans des applications.
3. Automatisation des Cyberattaques à Grande Échelle
✖ Création massive de contenus frauduleux
Du fait de sa conception et sa capacité, une IA générative peut générer automatiquement des milliers de faux messages sur les réseaux sociaux ou forums pour manipuler l’opinion.
Exemple : arnaques aux cryptomonnaies, faux avis clients.
✖ Attaques DDoS plus sophistiquées
L’IA générative peut analyser le trafic réseau et adapter les attaques pour contourner les défenses automatisées.
Exemple : attaques DDoS intelligentes qui ciblent des failles spécifiques d’un serveur.
4. Vol de données
✖ Création de faux emails crédibles
L’IA générative permet de produire des emails de phishing très réalistes, exempts de fautes et adaptés à la langue et au ton de l’organisation ciblée.
Exemples : faux emails de fournisseurs, demandes de paiement urgentes, messages imitant des collègues ou des dirigeants (fraude au président).
5. Manipulation de l’Information et Désinformation
✖ Fake News et contenus trompeurs
L’IA générative peut générer de faux articles, images et vidéos pour manipuler l’information.
Par exemple, la propagation de rumeurs sur une entreprise pour faire atteinte à son image, pourrait avoir des conséquences sur sa réputation ou son cours en bourse.
Conclusion : L’IA Générative - Une Technologie à Double Tranchant
L’IA générative offre d’énormes avantages, c’est pourquoi le Groupe Crédit Agricole a décidé d’accompagner l’usage maîtrisé des IA. En revanche, c’est également un instrument de choix pour les cybercriminels. Par conséquent, il est primordial d’adopter les bonnes pratiques de cybersécurité, notamment à travers :
🔹 La sensibilisation des employés aux nouvelles techniques de phishing et deepfakes.
🔹 La surveillance des usages de l’IA générative en entreprise pour éviter les fuites de données.
🔹 La mise en place de solutions de sécurité avancées (détection des fraudes IA, authentification renforcée).
L’IA générative n’est pas un risque en soi, mais son utilisation malveillante doit être anticipée et son risque maitrisé pour protéger les entreprises et leurs employés.
L’enjeu majeur pour notre groupe consiste à détecter et contrer les attaques produites avec des IA pour maintenir la confiance de nos clients.
L'IA Générative est aussi au service de la cybersécurité comme en témoigne le cas d'usage "CA Générative Search" déployé par le Groupe Crédit Agricole. En effet, cette solution a pour objectif de permettre aux collaborateurs de rechercher des informations précises en langage naturel issues de différents corpus documentaires, génériques ou spécialisés (par exemple de type règlementaires…), grâce à une technologie combinant des IA Génératives et du Q&A augmenté (RAG). Pour en savoir plus, découvrir l'article publié sur le site IT2025.
*IA Act (Artificial Intelligence Act) : Le Règlement européen sur l'intelligence artificielle (ci-après, également, « AI Act » ou « RIA »), adopté et validé par le Conseil de l'Union européenne le 21 mai 2024, a été publié au Journal Officiel de l'UE le 12 juillet 2024. Ce règlement est entré en vigueur à partir du 1er aout 2024.