Abonnez-vous à la 👉 newsletter

🎤 Mythos : révolution ou mirage de la cybersécurité ? (Vincent Laurens, Capgemini)
Maison Connectée24 avril 202614:29
Interviews,

🎤 Mythos : révolution ou mirage de la cybersécurité ? (Vincent Laurens, Capgemini)

Jérôme ColombainJérôme ColombainHost

L’intelligence artificielle bouleverse les équilibres de la cybersécurité, entre promesses de protection et nouvelles menaces. Vincent Laurens décrypte les enjeux autour de Mythos, une IA aussi puissante que controversée.

Interview : Vincent Laurens, directeur activité cybersécurité chez Capgemini

En partenariat avec Capgemini

Punchlines

  • Une détection plus puissante implique une protection plus puissante.

  • Les attaquants utilisent déjà l’IA pour cibler leurs victimes.

  • Mythos est puissant mais ne doit pas provoquer de panique.

  • La cybersécurité reste une bataille entre chapeaux blancs et noirs.

  • Une bonne hygiène cyber reste la première ligne de défense.

L’IA comme Mythos est-elle une bonne ou une mauvaise nouvelle ?

C’est les deux. Aujourd’hui, on peut clairement utiliser l’intelligence artificielle pour se défendre, ce qui n’était pas évident il y a encore quelques années. Mythos permet de détecter des vulnérabilités de manière beaucoup plus rapide et plus profonde, ce qui améliore mécaniquement la protection. Mais en parallèle, cette même puissance peut être exploitée par des attaquants pour identifier des failles inconnues et les utiliser.

Pourquoi cette IA représente-t-elle une menace potentielle ?

Parce qu’elle est extrêmement performante. Elle peut automatiser des tests et analyser des systèmes à une vitesse bien supérieure à celle des humains. Elle détecte notamment des failles inconnues, y compris des vulnérabilités anciennes jamais identifiées. Cela ouvre des opportunités pour les attaquants. Mais il faut rester mesuré : aujourd’hui, il n’y a pas de dégâts avérés et beaucoup d’idées circulent qui relèvent du fantasme.

Peut-on voir un aspect positif dans cette capacité à découvrir des failles ?

Oui, clairement. C’est même le cœur de la cybersécurité depuis toujours. Il y a un équilibre entre ceux qui découvrent des vulnérabilités pour les corriger et ceux qui cherchent à les exploiter. Mythos renforce cet aspect vertueux, mais cela nécessite un cadre : mieux organiser la diffusion des vulnérabilités, protéger les chercheurs et structurer les pratiques.

Comment les entreprises peuvent-elles se préparer face à ces évolutions ?

Il y a trois piliers essentiels. D’abord, maintenir une bonne hygiène de cybersécurité en appliquant régulièrement les correctifs. Ensuite, instaurer une culture de sécurité portée par la direction. Enfin, rester en veille permanente pour anticiper les évolutions. L’automatisation, notamment via des agents, peut aussi aider à accélérer la détection et la correction des vulnérabilités.

Vincent Laurens: [0:01] Mythos peut aider toute une série de personnes, d'entreprises, de sociétés, d'éditeurs de logiciels, de gens qui sont au cœur des systèmes d'information à détecter d'une manière beaucoup plus puissante et qui dit détection plus puissante Vincent Laurens: [0:16] dit protection plus puissante. Vincent Laurens: [0:18] Mais ça, c'est qu'un côté de la barrière. Il y a aussi le côté des attaquants qui dit plus de choses détectées, dit potentiellement plus de barrières que les attaquants peuvent ouvrir. Monde Numérique : [0:37] Bonjour Vincent Laurens. Vincent Laurens: [0:39] Bonjour Jérôme. Monde Numérique : [0:40] Vous êtes directeur activité cybersécurité au sein du groupe Capgemini et on se retrouve en partenariat avec Capgemini pour parler de l'actualité du moment. Le FIC, le grand salon de la cyber qui avait lieu récemment, mais d'abord le sujet qui fait trembler les entreprises. J'ai nommé Mythos, cette super IA créée par Anthropic qui serait capable de détecter des failles de sécurité dans tous les systèmes, Donc, d'augmenter les risques de cyberattaques, mais aussi d'augmenter les capacités de protection, si j'ai bien compris. Donc, en fait, c'est à la fois une bonne et une mauvaise nouvelle, c'est ça ? Vincent Laurens: [1:16] Je pense qu'il y a trois piliers qu'on peut regarder. Piliers numéro un, l'IA pour se défendre. Si, Jérôme, vous m'aviez posé cette question il y a deux ans, trois ans, est-ce qu'on peut utiliser l'IA pour se défendre ? J'aurais parlé de mythes, j'aurais parlé de buzz. aujourd'hui, je me dois de ravaler ma langue, on peut se servir de l'IA pour se défendre. Mythos... Monde Numérique : [1:38] Bon, ça c'est la bonne nouvelle. Vincent Laurens: [1:39] Ça c'est une excellente nouvelle. Mythos peut aider, toute une série de personnes, d'entreprises, de sociétés, d'éditeurs de logiciels, de gens qui sont au cœur des systèmes d'information à détecter d'une manière beaucoup plus puissante, et qui dit détection plus puissante dit protection plus puissante. Mais ça, c'est qu'un côté de la barrière. Il y a aussi le côté des attaquants qui dit plus de choses détectées, dit potentiellement plus de barrières que les attaquants peuvent ouvrir. Monde Numérique : [2:10] Alors, si on entre un peu dans le détail, est-ce qu'on peut expliquer pourquoi ça ? Et peut-être d'abord le côté attaquant malgré tout. Pourquoi est-ce que tout d'un coup, un modèle d'IA devient une menace potentielle, surtout pour les entreprises ? Vincent Laurens: [2:25] Tout simplement parce qu'il est ultra performant. Il faut être très clair, Mythos est capable d'absorber et de traiter et d'automatiser toute une série d'informations, mais aussi de cheminement de tests et de procédures qui, à l'époque, étaient faits par des testeurs humains, mais à une vitesse plus-plus. Il est capable de lancer des tests sur des logiciels d'une manière hyper accélérée, détectant des bugs, si je peux m'exprimer ainsi, Jérôme, donc des problèmes liés au industriel, qui vont permettre... Monde Numérique : [2:56] Des failles, et notamment ce qu'on appelle les failles 0D, c'est-à-dire celles qui n'ont jamais été exploitées. Vincent Laurens: [3:02] Exactement, des failles qui étaient inconnues via la puissance et la profondeur que Mythos peut amener. Les attaquants, eux, vont pouvoir les exploiter, et c'est pour ça qu'Enthropic eux-mêmes ont décidé de ne pas mettre à disposition du marché, de la communauté, ce modèle IA qui juge eux-mêmes très puissant. Mais si on continue d'analyser cela du côté attaquant, je parlais il y a quelques minutes du fait qu'il y a quelques années, j'aurais dit l'IA pour se défendre, bof, mais aujourd'hui oui. Il y a quelques années, j'aurais dit la même chose du côté des attaquants, mais on a des preuves concrètes et extrêmement factuelles que les attaquants aujourd'hui utilisent des moteurs IA pour cibler des organisations, des cibles géopolitiques et des systèmes d'informations qui jusqu'alors n'étaient pas cibles d'attaque. Monde Numérique : [3:53] Et on sait déjà si ça fait des dégâts, ça, concrètement ? Vincent Laurens: [3:57] Non, concrètement, aujourd'hui, il n'y a pas de dégâts qui sont avérés. Il y a des peurs des organisations qui disent, en admettant que des attaquants puissent mettre la main sur ce type de modèle, on va avoir une augmentation drastique des vulnérabilités. Je vais devoir corriger mes systèmes, ces fameux patches, ces fameuses mises à jour qu'on doit faire de manière récurrente, cette fois-ci accélérées. Et pour beaucoup d'organisations, faire des mises à jour, Ça veut dire faire des petites pauses dans leur business, mettre leur système d'information un peu en arrêt, même pendant quelques instants. Mais au jour que l'on vit aujourd'hui, dans ce système temps réel, même faire une pause de quelques secondes peut coûter de l'argent aux organisations. Vincent Laurens: [4:41] Donc, on est face à beaucoup de peurs et d'éléments. Et on a mis des mythes qui commencent à se créer sur Mythos et qu'on voit apparaître, même à des niveaux exécutifs dans les organisations et je pense qu'il est temps tout de suite de mettre un cadre pour pouvoir trier le bon grain de livret, si je peux m'exprimer. Monde Numérique : [4:57] Alors ça, c'est intéressant. Vous êtes en train de dire que, ok, c'est hyper puissant mais en même temps, on fantasme peut-être un peu quand même. Vincent Laurens: [5:03] Il y a beaucoup de fantasmes qu'on a entendues ces derniers temps. Il y a des fantasmes qui ont dit que le système avait été mis à disposition de tout à chacun, c'est pas vrai. Anthropie a mis en place une structure très précise pour gérer, un projet très précis pour gérer la mise à disposition du modèle. Il a aussi été dit que des attaquants, des acteurs malicieux avaient eu la main sur le modèle, Là aussi, il y a beaucoup de dénis dessus. Et il s'est aussi dit que ce modèle était capable d'absolument tout casser. Donc, je pense que là-dessus, il faut quand même revenir sur Terre. Oui, c'est un modèle extrêmement puissant. Oui, il découvre des vulnérabilités qui n'avaient pas été découvertes depuis, par exemple, plus d'une vingtaine d'années sur certains systèmes. Mais il ne faut non plus pas rentrer dans un mode de panique. On est dans quelque chose de fortement accéléré, mais non pas destructeur. Au moment où vous et moi, on est en train de parler. Monde Numérique : [5:57] Mais Vincent Laurence, découvrir des failles, finalement, est-ce qu'il n'y a pas aussi un côté vertueux ? Ça peut permettre de les colmater, ces fameuses brèches ? Vincent Laurens: [6:06] Il y a un côté extrêmement vertueux et c'est un peu le côté schizophrénique de la cybersécurité. Depuis les 25-30 ans que la cybersécurité existe, je pense qu'on a toujours eu cette bataille entre les chapeaux blancs et les chapeaux noirs. Les gens qui découvrent des vulnérabilités pour pouvoir les corriger et les gens qui exploitent ces vulnérabilités pour faire des actions malicieuses. Donc oui, oui et oui, c'est un côté extrêmement vertueux. Et je pense qu'il ne faut absolument pas s'en passer. Il faut laisser les chercheurs faire leur travail. Il faut absolument laisser les chercheurs continuer à avancer, à utiliser ce type d'outils. Mais il faut un cadre. Ce cadre, pour l'instant, n'est pas forcément extrêmement précis. La cybersécurité est un des domaines de l'informatique qui est un des plus régulés. Vincent Laurens: [6:49] Néanmoins, ça reste quelque chose qui reste non cadré aujourd'hui. Mais je pense qu'il y a peut-être temps de mettre un cadre à tout ça. Monde Numérique : [6:56] Qu'est-ce que vous appelez un cadre, c'est-à-dire ? Vincent Laurens: [6:59] Réglementer les aspects dont les gens peuvent diffuser des vulnérabilités qui ont été découvertes, faciliter la communication aux entreprises de ces vulnérabilités, ne pas punir les chercheurs parce que potentiellement ça peut arriver, on a vu ça dans le passé, porter plainte contre des chercheurs en vulnérabilité. Je pense que si on pouvait cadrer un peu tout ça, ça permettrait d'augmenter cet effet vertueux dont vous parliez il y a quelques minutes. Monde Numérique : [7:25] Et alors, ce fameux mythos et l'intelligence artificielle d'une manière générale, est également une aide pour ceux qui, comme vous, sont chargés d'aider les entreprises à se protéger. Vincent Laurens: [7:35] C'est une très grande aide, même si nous, au niveau de Cap Jimé, on n'a pas accès à mythos parce qu'à nouveau, il y a une quarantaine d'organisations qui ont été appelées par Anthropique, mais on est très près d'Anthropique aussi pour capturer des informations. Pour nous, ça reste une aide extrêmement précieuse pour diriger les organisations, justement, dans ce qui est le mythe ou la réalité, et anticiper. Anticiper à plusieurs niveaux. Anticiper en matière de déploiement de solutions, de nouvelles solutions, en matière d'évolution de plateforme, et aussi anticiper la gestion de tout ça en matière de gestion de crise, en admettant que Mythos permette de sortir quelque chose considéré comme extrêmement critique et impactant d'une manière fondamentale. Vincent Laurens: [8:22] Notre devoir c'est d'aider les organisations à les préparer au mieux à tout ça mais comme je vous le disais Jérôme je n'ai pas de boule de cristal j'aimerais en avoir une mais malheureusement ça ne fait pas partie de ma boîte à outils à l'heure actuelle. Monde Numérique : [8:35] Bien sûr, mais alors comment on fait pour se préparer ? Vincent Laurens: [8:38] Alors, on se prépare généralement avec trois bons piliers. Le deuxième, c'est de se dire que cela peut bien arriver et de partir du principe que l'on peut être cible d'une cyberattaque et que l'on doit corriger les failles qui sont détectées et appliquer les correctifs fournis par les éditeurs. C'est extrêmement important d'avoir une bonne hygiène de la cybersécurité par rapport à tout ça. Ça, c'est le premier point. Le deuxième point, c'est ce que nos amis anglo-saxons appellent le « tone at the top », c'est-à-dire que l'on montre l'exemple au plus haut niveau de l'organisation et donc les dirigeants doivent prêcher la bonne parole et pousser l'entièreté de l'organisation à appliquer une bonne hygiène de la cybersécurité. C'est clé. Et le dernier pilier, c'est d'appliquer une bonne veille technologique, de savoir ce qui se passe et d'avoir des oreilles grandes ouvertes. Je pense que c'est quelque chose, dans cette masse d'informations à laquelle on fait face aujourd'hui, qui est de plus en plus compliquée. Il y a beaucoup de sociétés qui peuvent aider les organisations là-dessus. Mais j'allais dire que se faire un peu violence soi-même et garder les oreilles ouvertes permet d'anticiper et de temps en temps de ne pas être trop en retard sur les bonnes actions à mener. Monde Numérique : [9:46] Ce n'est pas toujours facile de déployer et d'augmenter, d'améliorer les politiques de cybersécurité dans les entreprises, parce que c'est hyper contraignant. Est-ce que les collaborateurs n'ont pas un peu tendance à freiner des cas de fer ? Vincent Laurens: [9:58] Les collaborateurs ont tendance à freiner des cas de fer et c'est pour ça qu'il faut avoir des bons outils pour les amener à rentrer dans le jeu. D'ailleurs, en parlant de jeu, il y a beaucoup d'organisations aujourd'hui qui utilisent les principes de création de jeu autour de la cyber pour les amener à augmenter leur capacité à comprendre ces sujets. Ça, c'est le premier point. Le deuxième point, c'est tout simplement d'essayer de s'automatiser le plus possible. Plus les éléments sont automatisés, moins il y a d'actions manuelles à faire. Et on sait que c'est l'humain, in fine, qui est le maillon faible dans tout ça. Et j'allais dire aussi, essayer de simplifier son système d'information au mieux. Mais c'est un peu un vœu pieux aujourd'hui, parce que beaucoup d'organisations ont des systèmes d'information très complexes. Et généralement, ça les amènerait à repenser toutes leurs architectures. Ce n'est pas le sujet de notre discussion aujourd'hui, mais vous pensez bien que ça peut amener à des sujets passionnants aussi de ce côté-là. Monde Numérique : [10:54] Est-ce que l'IA agentique, les fameux agents, permettent d'automatiser plus facilement des systèmes de cybersécurité ? Vincent Laurens: [11:02] Oui, oui. Et oui, les agents peuvent amener des risques et des failles. Vous avez déjà traité le sujet dans un certain nombre de vos podcasts, Jérôme. Mais oui, les agents peuvent aider à augmenter cette couverture et cette posture de cybersécurité. Je pense que des agents bien configurés peuvent aider à déployer ces fameux correctifs d'une manière plus rapide. Des agents bien configurés peuvent amener aussi à se poser la bonne question de mon système est-il vulnérable à l'instant T auquel on parle. Et les agents peuvent aussi aider au sein de l'écosystème. Est-ce que l'interaction entre mon agent et le reste du monde, qui peut être d'autres agents, est sûre et lui aussi ne mériterait pas d'être corrigé ? Donc, les agents, oui, peuvent amener. Et je pense profondément qu'on n'est qu'au début, on n'est qu'au début des capacités de ce monde agentique aujourd'hui en matière de cyber. Monde Numérique : [11:51] En matière de cyber, oui. On peut donner un exemple concrètement ? Ça peut être quoi ? Vincent Laurens: [11:55] Oui, on peut donner un exemple. Par exemple, des agents qui vont analyser des politiques de sécurité qui sont des documents en texte au sein d'un corpus, qui vont les analyser vis-à-vis des éléments techniques des configurations des systèmes, qui vont dire que ces systèmes ne respectent pas les configurations, qui vont lancer des demandes utilisateurs pour mettre en place les correctifs, pour soit corriger les configurations ou appliquer des mises à jour quand elles sont nécessaires. Et c'est quelque chose qui existe aujourd'hui, qui est en cours de test par beaucoup d'organisations. C'est ce qu'on appelle la gouvernance augmentée, donc j'ai une demande liée à une politique qui se traduit en une automatisation technique c'est vraiment quelque chose qu'on voit se populariser de plus en plus. Monde Numérique : [12:41] Une dernière question, Vincent Laurence. Je le disais en début de mois, c'est tenu le FIC, le salon de la cybersécurité. Qu'est-ce que vous en retenez ? Qu'est-ce que vous en avez perçu ? C'est quoi l'air du temps ? Est-ce que l'heure est à la panique ou l'heure est à l'inconscience ou l'heure est à la prise de conscience raisonnable et constructive, je dirais ? Vincent Laurens: [13:03] C'est un excellent point. L'heure est à la prise de conscience raisonnable et constructive, soyons très clairs. Si je devais donner trois thèmes, Jérôme, qui m'ont frappé lors de cette année. Premier thème, c'est la souveraineté. Soyons très clairs, ça serait se cacher que ce n'est pas un sujet. Aujourd'hui, on se pose énormément de questions. Je ne vais pas aborder les sujets de click switch qui seraient amenés par tel ou tel État. Mais aujourd'hui, la souveraineté est un sujet. Deuxième sujet, on vient d'en parler, c'est l'IA. Beaucoup de gens se posent des questions. Beaucoup de technologies maintenant nous disent qu'elles sont capables d'amener des résultats et de la protection supplémentaire. Donc ça, c'est quelque chose aussi qui m'a frappé. Et le troisième point qui m'a frappé, c'est l'augmentation du sujet de la cyber sur les systèmes critiques, les systèmes d'importance vitaux, tout ce mot qu'on appelait système industriel avant, que les Anglais appellent plutôt OT, Operational Technology, aujourd'hui, ces systèmes industriels, qui étaient les systèmes un peu mis de côté en matière de cybersécurité parce qu'on se disait qu'ils n'intéressaient pas les attaquants. Aujourd'hui, il y a un énorme focus dessus et c'est le troisième point qui m'a marqué lors de cette édition du FIC. Monde Numérique : [14:14] Merci Vincent Laurens, directeur activité cybersécurité au sein du groupe Capgemini. Vincent Laurens: [14:19] Merci Jérôme.
innovation,informatique,technologies,tech news,High-tech,numérique,actualités,tech,actu tech,