Depuis des années - voire des décennies - attaquants et défenseurs jouent au chat et à la souris. Alors que les premiers usaient de techniques plus ou moins élaborées basées aussi bien sur des failles humaines que logicielles ou matérielles, les seconds ont toujours su s’adapter et se montrer même parfois proactifs face aux pirates. Mais avec l’IA et l’explosion des modèles spécialisés utilisés aussi bien à des fins bienveillantes que malveillantes, le paradigme a changé, plaçant les équipes de défense quasiment dans un cul de sac. « Autrefois les capacités à exploiter des vulnérabilités étaient rares et entre les mains de peu de gens. Ce n'est plus le cas », a lancé Nadav Zafrir CEO de Checkpoint en ouverture de sa conférence Engage Paris (1er-2 juillet) à Paris. Il ajoute qu'à l'époque « il fallait construire une infrastructure au fil des années, s’appuyer sur des talents et de l’expérience mais maintenant quiconque à Internet et un serveur MCP peut industrialiser des attaques et pas besoin d’être un attaquant sophistiqué soutenu par un Etat. » L’électrochoc perçu par le dirigeant de Checkpoint - comme pour bien d’autres fournisseurs de sécurité - est venu du modèle Claude Mythos d'Anthropic qui a servi de révélateur à une situation aussi inédite qu’inquiétante. A savoir que les entreprises n’ont jamais été aussi proches d’un gouffre de sécurité sans que les RSSI aient finalement beaucoup de cartes à abattre pour s’en sortir.
Le fournisseur indique s’adapter à la situation en mobilisant des ressources pour simuler les futures attaques, examiner leur potentiel de destruction et planifier à l’avance les mesures de remédiation à appliquer immédiatement. « Nous essayons de comprendre à quoi ressemblera l’avenir et à ce que nous devons faire maintenant pour être pertinent », poursuit Nadav Zafrir. « Nous utilisons continuellement l’IA pour simuler des attaques sur nos réseaux afin de comprendre de l’intérieur qu’elles pourraient être les vulnérabilités. » Pour monter d’un cran sa sécurité et également celles de ses produits mais aussi workflows et services managés utilisés par ses clients, Checkpoint a dernièrement annoncé intégrer des capacités avancées de GPT-5.5 Cyber d'OpenAI en rejoignant le programme Daybreak Cyber Partner. Réservé à un groupe restreint de fournisseurs de sécurité, ce modèle doit servir à améliorer l'ensemble des services pour prévenir les menaces, accélérer la remédiation et de renforcer les opérations de sécurité.
Les modèles de sécurité IA, des armes à double tranchant
« Les modèles ont atteint un niveau de sophistication capable d'accomplir des grandes choses dans les mains des défenseurs mais ils représentent aussi un risque de sécurité énorme », nous a expliqué Jonathan Zanger CTO de Checkpoint. « Nous allons voir émerger des modèles de pointe qui vont obtenir de plus en plus de capacités, imitant l’expertise que les humains avaient autrefois dans différents domaines et où ils vont exceller comme la réponse à la détection aux incidents, la posture de sécurité et la gestion des configurations. » Pour le directeur technique, les défis à relever sont nombreux, au premier rang desquels comprendre le comportement de ces modèles, et protéger efficacement les infrastructures de l’entreprise avec des agents IA sécurisés. Pour y parvenir, le fournisseur a renforcé ses capacités dans ce domaine en rachetant Lakera. Basé à Zurich, ce dernier propose de la protection temps réel des LLM, des tests de pénétration et un outil de formation à la sécurité, Gandalf, qui génère et s'enrichit de données en temps réel sur les menaces liées à l'IA.
Si les modèles orientés sécurité montent en puissance et tendent à devenir incontournable dans l’arsenal de défense des entreprises, dans certains cas faire preuve de bon sens dans la manière d’appréhender sa sécurité informatique peut suffire. « Les fournisseurs de sécurité comme Checkpoint utiliseront ces modèles pour rendre leurs produits plus sûrs et améliorer leurs défenses, mais dans les entreprises il y a statistiquement beaucoup de routeurs et de smartphones qui ne sont pas à jour, de caméras IP achetées n’importe où ce qui démocratise la capacité à les pirater. » Et si le meilleur moyen pour commencer à se défendre efficacement face aux cybermenaces avancées n’était tout simplement pas le bon sens ? « La seule façon de survivre, c’est d’abord de revenir aux bases », assure Nadav Zafrir. « Vous devez évaluer l’efficacité des outils que vous possédez déjà et patcher en quelques heures et ne pas le faire de temps en temps. »