L’intelligence artificielle (IA) est un sujet très débattu et médiatisé dans l’ensemble du secteur de la sécurité. Malgré la variété des définitions de l’IA, les experts du secteur s’accordent sur le fait que son véritable potentiel reste à concrétiser. Car la transformation numérique est cruciale pour les entreprises de demain. L’IA s’inscrit au cœur de cette discussion avec ses possibilités illimitées de gains d’efficacité et de performance opérationnelle.
La progression de l’IA a-t-elle atteint son point de bascule ?
Les applications recourant à l’IA ont besoin d’une puissance de calcul considérable car elles utilisent des modèles complexes et sophistiqués de deep learning et s’appuient sur des technologies intensives en traitement, comme les processeurs graphiques. Ajoutez-y les innovations dans le domaine du Big Data, l’amélioration des algorithmes et surtout des financements et des investissements, et vous avez aujourd’hui des entreprises, des universités et des administrations de toutes tailles qui sont en train de s’approprier l’IA.
Gestion du risque
Notre secteur d’activité n’est pas le seul à vouloir profiter des atouts de l’IA. Mais son énorme potentiel est associé à un risque important, car les technologies qui forment le socle de l’IA sont affectées de menaces intrinsèques qu’il faut traiter. Certes, de nombreuses études rigoureuses préconisent l’exploitation de l’IA pour contrer les cyberattaques. Cependant, il est clairement établi que les cybercriminels ont aussi recours à l’IA dans le cadre de leurs activités.
Les technologies de sécurité sont traditionnellement déployées pour limiter et/vérifier les accès, authentifier les identités ou surveiller un environnement à des fins de détection ou de dissuasion. Tout ceci avec la finalité ultime de protéger les actifs et les installations d’une entreprise. Mais aujourd’hui plus que jamais, ces mêmes systèmes de sécurité physique sont connectés à de nombreux autres systèmes métier tels que CVC (chauffage, ventilation et climatisation), RH ou marketing.
Certains acteurs ont peut-être déjà considéré la sécurité comme un frein potentiel au développement de l’activité. Cependant, en exploitant les systèmes de sécurité pour améliorer la performance opérationnelle et l’agilité par l’adoption d’innovations qui stimulent la croissance, on conçoit facilement que la sécurité se redéfinit de plus en plus comme un stimulateur d’activité. Employées de cette manière, les technologies de sécurité peuvent se convertir en avantage concurrentiel.
Potentiel des technologies de sécurité
En capitalisant sur le véritable potentiel des technologies de sécurité, une entreprise peut gagner en visibilité et en acuité commerciale. Ces utilisateurs peuvent prendre d’authentiques décisions motivées par les données, qui peuvent rationaliser et améliorer les opérations grâce à diverses formes d’optimisation.
En transposant cette conversation à un environnement physique en contact avec les consommateurs, ces nouvelles informations sur les clients peuvent être inestimables. Des fonctions comme le comptage de personnes, la gestion des files d’attente, les durées de séjour, les cartographies de fréquentation et les informations démographiques, toutes anonymisées à des fins statistiques, constituent des atouts significatifs pour l’activité.
Outre ces avantages pour le commerce, l’IA présente un intérêt pour la sécurité publique, par exemple la recherche d’enfants disparus. Si un individu correspond à un profil donné, il peut être identifié et éventuellement localisé sans avoir à visionner des heures d’enregistrement vidéo. Ce scénario est possible en exploitant les avantages des métadonnées générées par les caméras de vidéosurveillance.
Après traitement et analyse de ces informations, les organisations peuvent les transférer vers le cloud ou un site distant, par exemple un centre d’alerte ou de surveillance vidéo. Mises bout à bout, ces méthodes améliorent la précision de la détection, accélèrent les investigations et automatisent la réponse à apporter.
Et le risque dans tout ça ?
Toutes ces technologies peuvent apporter une forme d’intelligence à une entreprise, mais elles restent limitées si elles sont utilisées isolément. Pour qu’elles soient profitables, les technologies doivent être connectées à d’autres systèmes qui analysent les données pour aboutir à un résultat utile en pratique.
Considérons par exemple l’impact de la sécurité sur une stratégie de cause à effet dans d’autres systèmes de constructions comme le système CVC : très sommairement, il est possible de gérer l’éclairage ou la climatisation pour aider les entreprises à aligner les technologies sur leurs engagements de viabilité. Cependant, une telle automatisation est réalisable uniquement par la connectivité et l’ouverture d’accès pour autoriser le transfert de données à travers les systèmes de sécurité de l’entreprise.
Traditionnellement, les systèmes de sécurité possèdent leur propre réseau dédié, à savoir un circuit fermé sans possibilité de diffusion, qui évite également toute intrusion et crée une protection pratiquement invulnérable. Aujourd’hui, l’ouverture de l’accès à ces dispositifs et la transmission de données précieuses sur les réseaux jusqu’aux utilisateurs au sein d’une entreprise génèrent des risques potentiels.
Le véritable intérêt de l’IA se concrétise lorsque les informations ont un impact positif sur la performance opérationnelle, en réduisant les tâches triviales et fastidieuses et en permettant aux individus et aux entreprises de se recentrer sur des domaines plus importants. Cependant, lorsqu’on commence à connecter plusieurs systèmes et infrastructures pour partager des données, on risque de créer d’importants problèmes de sécurité.
Pour réduire le risque, il est indispensable de cerner les responsabilités de chacun pour garantir une sécurité de bout en bout. Avec une interconnexion toujours plus étroite des individus, départements, dispositifs et technologies, les limites de responsabilité s’estompent, ce qui représente un facteur de risque. Au niveau de la cybersécurité, la détermination des responsabilités peut être délicate, notamment lorsqu’une entreprise est victime d’une attaque.
Et après ?
Les entreprises n’ont pas de raison de paniquer et de freiner des quatre fers lorsqu’elles abordent des technologies commercialisées sous l’étiquette IA. Si le produit est véritablement à base d’IA, avec collecte, gestion des données et accès partagé, il convient d’adopter une démarche sécurité et d’appliquer les bonnes pratiques de cybersécurité de la même manière que pour toute autre technologie informatique, IoT ou opérationnelle. Ce faisant, il est évident qu’il reste un vide de sécurité à combler au niveau de la conception, de l’application et de la gestion des solutions d’IA.
De nouveaux outils complexes seront également nécessaires pour sécuriser les processus pilotés par IA et atténuer les risques majeurs de cybersécurité. L’IA n’en est encore qu’à ses débuts. Des vulnérabilités, des problèmes techniques et des erreurs des fournisseurs vont apparaître. Car les fournisseurs de technologies ont naturellement tendance à lancer la commercialisation de leurs offres aussi rapidement que possible. C’est là que leurs investissements en R&D se convertissent en chiffre d’affaires. Il faut néanmoins s’assurer que la cybersécurité n’est pas prise en compte après coup, car le risque pourrait être beaucoup plus important que le bénéfice potentiel.
L’évaluation de ces technologies est peut-être un nouveau concept, mais l’application des bonnes pratiques traditionnelles reste d’actualité. Il faut notamment vérifier la cybermaturité de l’entreprise qui fournit la technologie, soumettre la technologie à des essais d’intrusion ou au moins à une analyse de vulnérabilité, mais aussi évaluer l’efficacité de ses fonctions de sécurité, car elles seront cruciales. Par ailleurs, le fournisseur doit avoir mis en place une stratégie de prise en charge future de la technologie, notamment au travers de politiques de gestion des vulnérabilités, de notifications d’alerte de sécurité et de mises à jour de firmware.
Enfin, vous devez examiner les méthodes de votre propre entreprise. Vérifiez que votre plan de sécurité réseau est à jour et évaluez l’intérêt de passer à un modèle de sécurité « Zéro-Confiance ». Bien sûr, vous devez évaluer l’impact potentiel de votre stratégie d’approvisionnement sur vos politiques de sécurité et éventuellement la consolider.
