RÉSUMÉ ANALYTIQUE:
En matière de transformations numériques, les capacités d'intelligence artificielle et d'apprentissage automatique présentent d'énormes opportunités. Dans le même temps, ils élargissent également la surface de menaces que les RSSI et les professionnels des cyberrisques doivent gouverner.
Pour réussir à naviguer dans ce nouveau paysage, les organisations doivent adopter une approche holistique de la gestion des risques. La réalité est que les RSSI devront peut-être maintenant demander aux équipes de mener des exercices d'équipe rouge contre des modèles d'IA et des applications compatibles avec l'IA.
Des équipes spécifiques d'AI red peuvent identifier les vulnérabilités, tester les défenses, améliorer la réponse aux incidents, garantir la conformité et ajouter de la valeur à une stratégie globale de cybersécurité.
L'IA devient un incontournable pour la prise de décision, les prévisions financières, la maintenance prédictive et de nombreuses autres fonctions d'entreprise. Cela devient pratiquement une partie du mobilier, pour ainsi dire, de la pile technologique de l'entreprise.
Le domaine de la gestion des risques liés à l'IA et de l'assurance de l'IA s'avérera être un domaine en pleine croissance pour les RSSI et les leaders de la cybersécurité dans les années à venir. La modélisation des menaces et les tests des faiblesses dans les déploiements d'IA deviendront des éléments essentiels de la gestion des risques liés à l'IA.
Les équipes AI red peuvent aider à protéger les systèmes d'IA via des exercices, une modélisation des menaces et des évaluations des risques. Dit un scientifique des données et un expert en risques d'IAt Patrick Salle, “Vous devriez associer en rouge vos modèles d'apprentissage automatique. Vous devriez au moins effectuer les attaques d'intégrité et de confidentialité sur vos propres systèmes d'apprentissage automatique pour voir si elles sont possibles.”
Bien que cela puisse être l'idéal, la mise en œuvre de nouveaux processus et systèmes pour gérer et exécuter les exercices de l'équipe rouge n'est pas une entreprise aussi claire…
Des entreprises comme Facebook et Microsoft ont développé des équipes AI red afin d'explorer les risques autour de leurs environnements de menaces IA. Les entreprises susmentionnées cherchent à mieux comprendre leurs risques d'IA et leurs capacités de réponse à la sécurité.
Mais ce n'est pas la norme. Et à l'heure actuelle, il existe peu de meilleures pratiques normalisées de l'industrie qui préconisent des équipes AI red ou qui décrivent la portée d'une équipe idéale AI red. Bien qu'il existe des ressources pour rechercher et découvrir les risques liés à l'IA, il n'existe pas encore de cadre cristallisé.
Pour certaines organisations, une équipe AI red peut s'engager dans des attaques régulières contre des modèles d'IA. Pour d'autres organisations, une équipe AI red pourrait signifier et faire tout autre chose. Indépendamment de la définition exacte d'une équipe AI red et des responsabilités correspondantes, les risques liés à l'IA existent et nécessitent une attention professionnelle.
La liste complète des risques liés à l'IA reste non écrite, mais quelques risques clés incluent:
Bien que bon nombre de ces problèmes puissent sans doute être attribués à des échecs de conception de l'IA, ils menacent les trois aspects de la triade de la CIA; confidentialité, intégrité et assurance.
Bien que les risques liés à l'IA puissent ne pas poser de problèmes sérieux pour les organisations qui commencent tout juste à intégrer l'intelligence artificielle dans leurs routines quotidiennes, les organisations qui utilisent l'IA pour prendre des décisions sérieuses ou pour des fonctions de prise de décision automatisées devraient en effet tirer parti des équipes AI red.
Développer une équipe AI red est un lourd fardeau pour la grande majorité des RSSI d'aujourd'hui. L'exécution efficace des exercices de l'équipe rouge contre les systèmes d'IA nécessitera une équipe interdisciplinaire d'experts en sécurité, en IA et en science des données.
Cela nécessitera également une meilleure visibilité sur les modèles d'IA déployés par les entreprises, y compris ceux au sein de logiciels tiers. Au-delà de cela, les équipes auront besoin de moyens pour planifier les améliorations de la sécurité en fonction des conclusions de l'équipe rouge.
La première cyberattaque majeure sur les outils d'intelligence artificielle/d'apprentissage automatique attirera probablement l'attention sur le sujet et élargira l'intérêt pour l'équipe rouge d'IA. Mais les experts disent que vous ne devriez pas attendre jusque-là pour commencer les tests d'IA…
Même si votre organisation ne peut pas commencer à tester l'IA dès maintenant, vous pouvez envisager de poursuivre les étapes préliminaires, comme la modélisation des menaces. Cela permettra à votre organisation de voir ce qui pourrait être vulnérable, facilement piraté et/ou perturbé avant un événement réel.
Pour plus d'informations sur l'intelligence artificielle et la cybersécurité, veuillez consulter CyberTalk.org couverture passée de. Vous voulez vous tenir au courant des tendances technologiques? Découvrez le CyberTalk.org infolettre! Inscrivez-vous dès aujourd'hui pour recevoir des articles de presse, des meilleures pratiques et des analyses d'experts de premier ordre; livrés directement dans votre boîte de réception.
Post Pourquoi les exercices de l'équipe rouge pour l'IA devraient être sur les radars CISO apparu en premier sur CyberTalk.