• il y a 11 mois
Transcription
00:00 Alors, à ce moment-là, j'aurais dû présenter le programme de la journée, mais, comme je
00:10 le fais chaque année, nous avons la chance d'avoir une personnalité importante qui
00:15 a bien voulu ouvrir ces rencontres, le contre-amiral Vincent Sébastien, adjoint au commandement
00:21 de la cyberdéfense. Celui-ci devra impérativement nous quitter avant 10 heures. Je vais lui
00:26 céder rapidement la parole. Je vais quand même prendre quelques instants pour le présenter.
00:33 Amiral, vous n'êtes pas un inconnu pour l'ARCSI, pour les adeptes des lundis de la sécurité
00:38 non plus, car, à peine nommé cet été en remplacement du général Bauer, qui nous
00:44 avait fait le plaisir de venir à notre Assemblée générale, vous n'avez pas hésité à répondre
00:49 favorablement à la demande de Gérard Pellix de venir présenter ce commandement lors d'une
00:55 séance de visioconférence dès le mois de septembre. L'expérience n'a pas dû vous
01:00 déplaire, vous avez eu beaucoup de succès et, peu de temps après, vous avez sauté
01:04 le pas et décidé d'entrer dans la grande famille de l'ARCSI. Sollicité de nouveau
01:11 pour participer à cette manifestation, vous avez répondu favorablement sans hésiter.
01:16 Nous vous en remercions très chaleureusement. Je dois tout de même parler un peu de votre
01:21 carrière d'officier de la Royal, car vous avez commandé plusieurs bâtiments, dont
01:26 le plus grand a été le Mistral. Est-ce que je peux avoir une photo ? Voilà, voilà ce
01:36 magnifique bateau. Un navire que certains membres de l'ARCSI ont eu le privilège de
01:43 visiter il y a déjà quelques années. Pour les non-initiés, c'est un immense bateau,
01:48 multi-services, porte-hélicoptère, pouvant servir de transport de troupes, de véhicules
01:54 blindés ou de chalons de débarquement, mais aussi de navire hôpital, comme vous avez
01:58 pu le voir dans vos informations à propos de Gaza. Je me suis laissé dire, lorsqu'il
02:06 est apparu et que les Russes voulaient l'acheter, il avait fait une grande impression en arrivant
02:13 dans un port, dépourvu de remorqueurs, je crois, pour une grève ou je ne sais pas quoi,
02:18 en se garant tout seul, comme une Twingo. C'est extraordinaire, d'ailleurs le Pacha dispose
02:26 d'une petite console de jeux et puis il se déplace tout le long de la passerelle, il
02:31 va jusqu'au bord pour garer son bateau à 10 cm près. C'est super. Il peut servir
02:41 également de PC flottant, intégrant le commandement des cycles, ça tombe bien car
02:45 vous-même êtes un spécialiste du monde numérique et cyber. Vous avez été chef
02:51 du bureau numérique et système d'information et de communication à l'état-major de la
02:54 Marine, puis chef d'état-major du com'Cyber avant d'en devenir l'adjoint. Amiral, vous
03:00 imaginez bien que dans le contexte actuel, votre parole est très attendue. Tant de choses
03:05 nouvelles et révolutionnaires se sont produites dans les deux conflits actuels, impactant
03:10 directement le domaine dont vous avez la charge. Amiral, sans tarder, je vous cède la parole.
03:16 Monsieur le Président, merci beaucoup pour ces quelques mots de présentation et qui
03:36 me rappellent d'excellents souvenirs de navigation sur le Mistral, qui effectivement est un bâtiment
03:42 extraordinaire. Des souvenirs qui me paraissent presque lointains depuis que je suis dans
03:48 le cœur de la cyber et qu'il s'y passe tous les jours, beaucoup d'événements.
03:53 Alors, effectivement, je suis l'adjoint au général Bonne Maison qui commande le
04:00 com'Cyber. J'ai pris mes fonctions cet été et je suis ravi d'avoir l'honneur
04:04 d'être invité pour ces 15e rencontres de l'Arxis et dans ce cadre prestigieux.
04:09 Alors, j'ai eu le plaisir effectivement il y a quelques semaines, c'était au mois
04:12 de septembre, de présenter aux membres de l'Arxis, c'était par visioconférence,
04:17 la L2I, c'est-à-dire la lutte informatique d'influence, un des trois domaines de lutte
04:23 que nous couvrons avec le com'Cyber. Et c'est un plaisir renouvelé d'intervenir
04:27 aujourd'hui plutôt sur la thématique qui occupe ces rencontres, l'impact des progrès
04:34 technologiques et évidemment mes propos seront orientés sur le domaine de la cyberdéfense,
04:40 les impacts sur la cyberdéfense. Alors, avant d'entrer dans le vif du sujet,
04:45 je vais faire quand même un rappel sur le com'Cyber, sur le commandement de la cyberdéfense
04:51 au sein des armées que je représente aujourd'hui et puis cette principale mission parce que
04:56 le général Bauer, effectivement, avait présenté déjà le com'Cyber et puis j'ai
04:59 eu l'occasion d'aborder un sujet particulier qui est celui de la L2I. Mais je pense que
05:03 si tout le monde n'était pas là, c'est important de faire quelques rappels parce
05:07 que ça, de toute façon, ça sous-tendra tout le reste de mes propos.
05:11 Donc un rappel sur les missions du commandement de la cyberdéfense qui dépend donc du chef
05:17 d'état-major des armées. Ses missions principales, c'est assez simple, c'est assurer la protection
05:23 des systèmes d'information des armées. Donc ça a un côté préventif, ça passe
05:28 par des contrôles, des audits, ça passe par effectivement des spécifications pour
05:35 bâtir correctement les différents systèmes d'information. Donc ça, c'est plutôt le
05:38 côté amont. Et puis ensuite, assurer la défense des systèmes d'information du ministère
05:44 des armées, à l'exception de deux services de renseignement. Donc là, le périmètre,
05:48 vous voyez, il s'est étendu, ce n'est pas simplement des armées, mais c'est du ministère.
05:52 En fait, cette responsabilité de la défense, elle est surtout le périmètre du Minard.
05:57 Et puis ensuite, c'est d'intégrer finalement le fait cyber dans les opérations militaires.
06:04 Donc c'est concevoir, planifier et conduire ensuite des opérations militaires de cyberdéfense
06:11 dans trois domaines de lutte dont un avait été largement abordé lors d'une précédente
06:16 rencontre. Donc la lutte informatique défensive, donc se défendre contre des attaques. Donc
06:24 ça nécessite, il y a trois grands piliers pour cette lutte informatique défensive.
06:30 Tout d'abord, anticiper. Donc anticiper la menace, la connaître. Donc ça, on a besoin
06:35 de ce qu'on appelle du renseignement d'intérêt cyber qui passe par des aspects plutôt stratégiques,
06:40 mais aussi très techniques. Donc là, on parle souvent de cyber threat intelligence
06:44 dans le jargon, vous connaissez ça par cœur. Ensuite, des capacités de détection. Donc
06:50 là, il nous faut des socs. Donc au sein des armées, nous avons plusieurs socs, lesquels
06:55 sont fédérés pour obtenir une hypervision de nos réseaux et une détection en temps
07:03 réel. Et ensuite, une fois que nous avons fait cette détection, il s'agit de répondre
07:08 à l'attaque, d'agir. Et là, nous avons également un dispositif d'alerte et des
07:14 groupes d'intervention cyber que nous déployons sur le terrain pour aller mener les investigations
07:19 en cas d'attaque. Donc premier domaine de lutte, la lutte informatique défensive.
07:24 Le second, la L2I, la lutte informatique d'influence. Donc là, j'avais eu l'occasion
07:28 de vous faire une présentation dédiée sur le sujet. C'est un domaine qui concerne
07:32 la couche supérieure du cyberespace, la couche cognitive, couche informationnelle. Là aussi,
07:38 il s'agit d'anticiper, d'être capable de détecter, de caractériser des manœuvres
07:42 adverses et puis de les contrer. Alors, ce domaine de lutte, nous l'appliquons en dehors
07:48 du territoire national et, comme j'avais eu l'occasion de le dire déjà, en pleine
07:53 conformité avec le droit international, ce qui n'est pas le cas de tous nos compétiteurs,
07:57 vous l'imaginez bien. Concrètement, ça passe par quoi ? Le vecteur sur la lutte informatique
08:05 d'influence, c'est souvent les réseaux sociaux. Et puis, il peut s'agir de valoriser
08:10 l'action des armées françaises en utilisant un vecteur réseau sociaux, mais qui soit
08:15 démarqué de la communication institutionnelle. Mais il peut aussi s'agir, en s'insérant
08:21 dans des boucles de réseaux sociaux, de se renseigner sur la manœuvre adverse et puis
08:25 de contredire l'adversaire, de discréditer sa manœuvre si nous détectons une manœuvre
08:30 qui, de manière assez évidente, manipule l'information et ment. Et puis, utiliser
08:38 les faits à notre profit pour effectivement contrer ceux qui veulent empêcher les armées
08:42 françaises d'agir dans leurs opérations. Troisième et dernier domaine de lutte, la
08:48 lutte informatique offensive. Là, les objectifs sont de trois natures. Le premier, c'est
08:56 se renseigner, donc rentrer dans des infrastructures de systèmes d'information adverse pour
09:02 aller capter du renseignement d'intérêt. Mais il peut aussi s'agir d'entraver, donc
09:07 là c'est causer un dysfonctionnement majeur d'un système d'information ou retardateur.
09:13 Et une autre manière d'agir, c'est fausser finalement l'appréciation de situation
09:21 par l'adversaire en modifiant les données qu'il possède. Et donc, il aura beaucoup
09:28 plus de mal à faire fonctionner ses outils d'aide à ces décisions ou de synthèse
09:33 d'appréciation de situation. Alors évidemment, les détails en la matière, en matière de
09:38 lutte informatique offensive sont secrets, sont classifiés. Malgré tout, je tiens à
09:43 préciser que la France est un des rares pays à avoir publié des éléments publics de
09:50 doctrine sur Internet pour les trois domaines de lutte. La LIO, la L2I, c'est le plus récent.
09:57 Ça s'est étalé entre 2019 et 2022 pour la publication de ces éléments publics de
10:03 doctrine que vous pouvez donc retrouver sur Internet. Et par ailleurs, la France, elle
10:08 a aussi, dès 2019, expliqué son appréciation ou son interprétation du cadre d'application
10:17 du droit international aux opérations militaires dans le cyberespace. Là aussi, peu de pays
10:23 l'ont fait. La France, elle a eu le mérite de clarifier sa position dans le domaine.
10:29 Voilà, alors une fois effectués ces quelques rappels, je souhaiterais donc aborder devant
10:34 vous un sujet qui est aujourd'hui particulièrement prégnant pour le comcyber, pour les opérations
10:40 militaires dans le cyberespace, qui est lié à l'émergence, la thématique des rencontres
10:46 d'aujourd'hui, l'émergence de nouvelles technologies en matière de cyberdéfense
10:51 et en particulier l'intelligence artificielle, évidemment. Alors, intelligence artificielle
10:57 et cyberdéfense ont, de notre point de vue, indéniablement un avenir qui est désormais
11:04 indissociable et l'aventure a déjà commencé, largement. On n'est pas dans des questionnements
11:13 sur du futur, on est vraiment sur quelque chose, une aventure qui a déjà commencé
11:17 largement. Alors pour cela, je m'appuierai sur les trois domaines de lutte que j'ai
11:22 évoqués précédemment. Je vous avais dit que ça soutiendrait un petit peu tous les
11:25 propos et je vais commencer par la lutte informatique d'influence, justement. J'avais déjà eu
11:30 d'ailleurs l'occasion de vous le dire il y a quelques semaines, mais l'IA est déjà
11:33 largement utilisée de manière importante dans le domaine de la L2I. Le premier aspect,
11:41 c'est l'aspect production de contenu, diffusion de contenu, mais aussi la manière de contrer
11:49 la détection de campagnes adverses. Donc une IA aujourd'hui peut d'ores et déjà
11:54 administrer totalement un site web, rédiger des articles, produire ou choisir des images
12:00 pour illustrer les différents articles. Donc la production de contenu de type par IA générative
12:06 de texte, images, vidéos ou sons d'ailleurs, progresse largement avec une crédibilité
12:13 qui commence à devenir assez étonnante. Vous avez tous entendu parler des deepfakes
12:20 avec ces images ou ces vidéos d'ailleurs qui sont générées. Alors les exemples caricaturaux
12:25 évidemment, c'est ceux où vous voyez le président Macron ou le président Obama s'exprimer
12:31 avec une voix qui est tout à fait crédible et une vidéo qui l'est presque tout autant
12:36 on voit parfois malheureusement quelques mouvements. Mais aujourd'hui il y a des outils qui sont
12:44 effectivement redoutablement efficaces en la matière. Alors si vous voulez faire un
12:49 test sur Internet, vous pouvez aller sur un site qui s'appelle "This person does not
12:55 exist". Donc là c'est tout simplement un site qui va vous permettre de générer en
12:58 choisissant vos critères la photo d'une personne qui n'existe pas vraiment, qui n'a jamais
13:05 existé mais qui a des caractéristiques type européen, tel âge, avec des lunettes, etc.
13:15 Et ça c'est évidemment, éminemment utilisé par nos compétiteurs pour pouvoir générer
13:23 des profils sur les réseaux sociaux qui soient tout à fait crédibles mais en même temps
13:28 comme la personne n'existe pas, aucune recherche dans des bases de données permettra de contrer
13:33 ce profil là, de dire que quelqu'un d'autre se cache derrière. Sauf évidemment à utiliser
13:43 nous-mêmes de l'IA pour contre-détecter des manœuvres adverses. C'est ce que je vous
13:46 disais, c'est qu'il y a aussi une capacité à contrer. L'IA permet aussi une massification
13:54 des campagnes d'influence en augmentant largement leur efficacité et ça permet aussi de mieux
13:59 segmenter finalement par une étude qui sera beaucoup plus rapide les audiences cibles
14:03 qu'on va vouloir toucher. La lutte informatique d'influence, il faut savoir quel message
14:08 porter et surtout vers quelle audience cible, à quelle audience cible exactement on s'adresse.
14:13 L'IA, parce qu'elle va être capable de scanner finalement l'environnement informationnel
14:19 dans une zone donnée ou sur des réseaux sociaux données, va pouvoir permettre de
14:24 beaucoup mieux segmenter ces audiences cibles. Voilà, alors cela dit, aujourd'hui il y
14:28 a d'ores et déjà quelques limites en termes d'IA, notamment encore en termes de compréhension
14:34 de la nuance de la langue ou de production de contenu, je vous l'ai dit un petit peu,
14:39 qui soit parfaitement crédible et donc on a encore toujours besoin de l'humain pour
14:46 oeuvrer en matière de lutte informatique d'influence et pour contrôler ce que l'IA
14:51 peut nous apporter. Et typiquement il y a toujours et effectivement une balance entre
14:55 coûts bénéfices et risques en comparaison à des recours à des services typiquement
15:00 humains qui peuvent être parfois externalisés par exemple. Et il peut être parfois, si
15:07 vous voulez porter un message d'influence plus rapide, de faire appel à un dessinateur
15:15 qui soit un humain plutôt que de tenter de générer vous-même un dessin par de l'IA
15:19 et c'est tout ce qui existe aujourd'hui. Vous avez certains sites qui le permettent.
15:24 À partir d'un prompt texte de générer une image type vue d'artiste. Donc ça il
15:33 y a des sites qui s'appellent Stable Diffusion par exemple si vous faites le test vous verrez
15:38 qui vous permettent ou Midjourney qui vous permettent de générer des vues d'artistes
15:42 des dessins mais ça reste encore perfectible et surtout ça nécessite aussi une certaine
15:49 expertise technique finalement pour que l'outil génère ce que vous voulez derrière il faut
15:54 une certaine maîtrise donc il y a forcément un rapport entre coûts et bénéfices qui
15:58 reste à analyser. L'IA elle augmentera aussi largement la qualité de l'animation
16:06 des dispositifs donc une fois que vous avez pu générer du contenu de manière massive
16:11 analyser complètement votre environnement finalement très rapidement segmenter les
16:16 audiences etc. Vous avez aussi la capacité grâce à l'IA finalement d'augmenter la
16:21 qualité d'animation et le volume en considérant des tâches un peu fastidieuses à différents
16:27 opérateurs donc typiquement ça vous permet d'avoir une capacité de riposte beaucoup
16:33 plus massive avec un nombre d'avatar mis en oeuvre simultanément et ça de manière
16:39 plus fine en réduisant aussi les chances d'être détecté parce que par ailleurs
16:43 évidemment les comportements vous le savez inauthentiques sur les réseaux sociaux font
16:47 l'objet de plus en plus de contrôles donc là ce sont les GAFAM qui sont à l'oeuvre
16:51 qui ont leur propre d'ailleurs algorithme d'IA pour vérifier que le comportement de
16:57 tel ou tel avatar sur les réseaux sociaux est authentique. Voilà enfin les capacités
17:04 d'analyse massive offerte par l'IA améliore aussi quantitativement et qualitativement
17:11 les capacités généralement de renseignements en source ouverte et en particulier sur les
17:16 réseaux sociaux mais pas seulement et ça permet donc de traiter de grands volumes de
17:20 données de faciliter un travail d'analyste et tout ça pour identifier de manière beaucoup
17:25 plus fine les dynamiques du dispositif adverse ou de l'audience ciblée, les faiblesses,
17:31 les éventuelles, les faiblesses effectivement éventuelles et les acteurs clés dans ces
17:37 dispositifs donc en termes d'optimisation des capacités de veille sur les réseaux
17:42 sociaux pour ensuite pouvoir détecter, caractériser, contrer une manœuvre c'est largement décuplé
17:49 par des outils d'IA et ça permet même d'identifier des signaux faibles qu'un humain n'aurait
17:54 pas vu par le biais d'une veille beaucoup plus classique et qui serait d'ailleurs beaucoup
17:59 plus limitée. Donc voilà pour l'apport de l'IA à la lutte informatique d'influence.
18:08 Je vais passer désormais au volet sécurité des systèmes d'information et lutte informatique
18:14 défensive. Là aussi l'IA est d'ores et déjà un apport considérable en la matière.
18:22 Alors il y a un côté plutôt on va dire couche basse, amélioration du niveau de sécurité
18:33 des composants ou des réseaux. Typiquement en matière de sécurisation des couches bases
18:39 du cyberespace, les composants, les produits, les systèmes, cette sécurité là bénéficiera
18:44 largement des apports de l'IA par le biais d'évaluations, de tests et d'audits qui
18:49 pourront être largement optimisés. Donc dans le domaine typiquement de l'hardware,
18:53 il y a un gain d'efficacité dans la résistance des composants à des attaques que vous connaissez
18:59 bien qui sont des attaques surtout, vous êtes bien plus galé que moi sur les aspects techniques
19:08 pointus. Mais les attaques dites par canaux auxiliaires qui sont une famille d'attaques
19:14 qui permet d'extraire des informations par récupération, interprétation de signaux
19:19 émis involontairement. Ça c'est le côté plutôt hardware mais même dans le domaine
19:26 du software, l'IA permet d'ores et déjà d'atteindre un certain niveau d'automatisation
19:30 dans la recherche de vulnérabilité et des tests de pénétration finalement de systèmes
19:36 d'information. Alors donc ça c'est un apport considérable mais évidemment cet apport
19:42 là il peut sur le modèle de ce qu'on observe déjà pour des outils de pen-test plus classiques
19:48 être largement détourné à des fins malveillantes afin d'identifier évidemment des vulnérabilités
19:54 mais pour les exploiter à des fins d'attaque. Alors aujourd'hui les sociétés proposent
20:00 concrètement des services d'automatisation ou en tout cas d'aide considérable à l'automatisation
20:07 des processus typiquement d'homologation qui sont un processus qui est traditionnellement
20:13 long, compliqué dans les différentes entités donc comme cyber je vous l'ai dit on est
20:19 chargé de la partie de protection des systèmes d'information des armées. On a après dans
20:24 le patrimoine du Minarm c'est de l'ordre de 1800 systèmes d'information. Vous imaginez
20:31 la charge que représentent à la fois les homologations mais aussi les audits et les
20:35 contrôles au sein du ministère des armées. Donc là l'IA pour nous c'est un apport qui
20:43 commence déjà à être intéressant mais qui sera considérable à l'avenir. L'autre
20:48 intérêt de l'IA évidemment c'est sur l'aspect supervision donc ça c'est plutôt l'aspect
20:52 lead, défense que j'évoquais mais c'est sur la supervision, la détection et la réponse
20:57 à un incident. Alors d'ores et déjà dans les systèmes de supervision aujourd'hui
21:02 vous avez des capacités d'IA qui sont basées sur de l'analyse comportementale et qui permettent
21:09 de caractériser, classifier les malwares, cartographier aussi la surface d'exposition
21:14 et de faire de la détection. Évidemment pour ça, ça nécessite d'avoir un modèle
21:23 d'IA, de pouvoir entraîner cette IA sur la base de données et là on rebondit sur
21:28 l'aspect fondamental du renseignement d'intérêt cyber et du CTI avec une sorte d'atelier
21:34 ou en tout cas de sources de données qui permettent d'entraîner pour que ce soit
21:37 le plus complet possible. C'est pour ça que c'est très souvent connecté en réalité
21:42 pour pouvoir fonctionner correctement. Donc cette analyse comportementale par l'IA
21:49 effectivement elle améliore considérablement les capacités de détection. L'exemple
21:54 que vous connaissez ce sont ce qu'on appelle les EDR, les Endpoint Detection and Response,
22:02 en identifiant les comportements anormaux, inauthentiques, les activités malveillantes.
22:06 C'est particulièrement utile pour des types d'attaques dont vous avez entendu parler
22:11 qui sont sournoises et qui ont été d'ailleurs dénoncées par les Five Eyes il n'y a pas
22:19 si longtemps dans des communautés qui s'appelaient Vault Typhoon, donc avec la Chine qui a été
22:26 accusée par les Five Eyes de pénétrer les infrastructures, les systèmes d'infrastructures
22:30 critiques des Etats-Unis et en utilisant des attaques type "leaving off the land",
22:39 ce qui veut dire tout simplement en utilisant des outils finalement qui sont tout à fait
22:47 légitimes dans le système d'information et en se camouflant donc cette activité malveillante
22:52 dans un flux et dans un outil, un outillage qui est tout à fait légitime dans le réseau
22:57 et donc ce qui rend la détection particulièrement difficile. Là, pour ce type d'attaque,
23:03 l'IA représente un apport qui est tout à fait considérable. Et enfin il y a aussi
23:09 le volet réponse à incident, le dernier étage de la fusée dans la lutte informatique
23:14 défensive qui bénéficiera aussi des outils d'assistance de l'IA, donc à la fois pour
23:19 améliorer la rapidité de la réaction, la priorisation des actions à effectuer et puis
23:25 les propositions aussi d'aide, enfin de modalité de réponse, donc ça c'est l'outil plutôt
23:30 d'aide à la décision, proposer à des opérateurs ou un décideur la meilleure décision à
23:35 prendre pour réagir à un incident. Voilà, donc l'émergence en fait de ces outils d'IA
23:43 sur tous les étages, l'anticipation de la menace, la capacité de surveillance, la
23:50 capacité ensuite de réaction, ça fait dire que ça poussera largement à une automatisation
23:59 partielle de la défense, d'autant plus si les outils offensifs par ailleurs en face,
24:06 eux aussi connaissent une automatisation. Et donc finalement c'est ce qui nous fait
24:10 dire qu'à terme l'humain sera sans doute plus, et d'une certaine manière il l'est
24:14 déjà plus, assez efficace pour prendre en charge lui-même tout seul sans aide de l'IA
24:22 des aspects défensifs. Le dernier domaine de lutte, la lutte informatique offensive,
24:31 là ce qu'on observe c'est avec la généralisation d'outils grand public d'IA, finalement une
24:38 réduction des coûts d'entrée en fait pour s'improviser en attaquant, alors s'improviser
24:45 pas tout à fait, vous imaginez bien que ça demande quand même un petit peu de compétences,
24:50 mais ça abaisse considérablement les coûts d'entrée tout en améliorant largement l'efficacité
24:56 des outils. Donc effectivement avec de l'IA vous pouvez générer du code aujourd'hui,
25:01 ça abaisse le niveau technique en réutilisant par ailleurs d'autres briques pour élaborer
25:05 finalement de nouveaux outils défensifs. Il y a aussi le cas de détournement d'outils
25:11 que j'évoquais précédemment de tests d'intrusion qui sont très assez facilement accessibles
25:20 au grand public, en tout cas dans certaines versions, ce qui va réduire considérablement
25:25 le travail humain nécessaire pour, au moins dans un premier temps identifier les vulnérabilités,
25:29 mais même ensuite pour générer du code. Alors vous savez que les outils actuels, certains
25:34 outils actuels, avant même qu'on ne parle d'IA générative ou d'apport de l'IA,
25:40 des outils pour identifier des vulnérabilités ont été détournés à des fins d'attaque
25:45 comme Mimikatz, CobaltStrike, etc. Donc il se posera quand même aussi la question finalement
25:55 de la régulation un petit peu de ces outils particuliers. Les outils d'IA permettront
26:01 également de déjouer certaines protections liées typiquement à l'authentification.
26:06 Donc là finalement on voit aujourd'hui apparaître des outils d'authentification qui utilisent
26:12 des caractères humains de l'utilisateur, certains filtres de sécurité comme de la
26:17 reconnaissance faciale ou vocale. Vous voyez qu'avec de l'IA générative, ça peut poser
26:21 question. Est-ce qu'on ne sera pas capable d'atteindre un niveau suffisant pour détourner
26:25 ces mécanismes de sécurité ? L'apport de l'IA aussi sur le volet offensif, au-delà
26:34 de finalement disposer des vulnérabilités plus vite, d'avoir des capacités de générer
26:40 des outils, de contourner des systèmes de protection d'authentification, c'est aussi
26:44 d'automatiser de manière partielle les actions offensives, voire à terme d'envisager la
26:52 conception d'agents autonomes qui vont être capables finalement, une fois présents, de
26:59 se latéraliser tout seuls, d'aller se propager et eux-mêmes de constituer finalement leurs
27:07 accès ou en tout cas de les consolider, leurs accès, pour ensuite se connecter au C2 de
27:14 l'attaque. Donc on insisterait ainsi de ce fait avec l'abaissement des coûts d'entrée
27:20 et avec la puissance en fait de ces outils à une massification des attaques, une industrialisation
27:27 et vraisemblablement une prolifération des outils de nature offensive. C'est déjà
27:31 un petit peu le cas, on voit à quel point les attaques cyber ont grandi, mais cette
27:36 tendance avec l'IA va se poursuivre. C'est ce qui fait dire à certains que finalement
27:44 les conflits futurs, avec ce que je viens de vous dire sur le volet défensif d'une
27:48 part et puis sur le volet offensif maintenant, que finalement le conflit cyber du futur ce
27:57 sera vraisemblablement de l'IA contre de l'IA. Donc le professeur Evatiar Matania qui a écrit
28:03 un livre qui s'appelle Cyber Power, que vous avez peut-être lu, qui est très intéressant,
28:05 qui relate en fait l'aventure israélienne dans le cyber, à la fin de son livre effectivement
28:12 évoque le fait que l'humain ne sera plus capable d'être dans le tempo de la lutte
28:17 dans le cyber et qu'on aura vraisemblablement affaire à de l'IA contre de l'IA, avec
28:21 l'IA avec l'humain dans un premier temps sans doute dans la boucle et ensuite au-dessus
28:26 de la boucle, comme on dit. Et par ailleurs, c'est un peu la même chose que ce que j'ai
28:33 évoqué en matière de L2I, l'exploitation des données issues de la LDO va aussi connaître
28:39 une amélioration assez considérable en matière d'IA. Pourquoi ? Parce que le traitement
28:44 des données issues d'opérations de cyber et de spionnage pour un adversaire, ça peut
28:48 être des volumes qui sont assez considérables et puis ça peut être aussi des données
28:52 de nature très très variées. Et donc ça, en termes d'exploitation, c'est un véritable
28:58 calvaire. Et donc là, on voit bien que l'IA avec des capacités massives d'analyse pourra
29:07 exploiter de manière beaucoup plus rapide ces données brutes et améliorer finalement
29:13 l'efficacité du traitement en valorisant le traitement humain à des tâches à valeur
29:20 ajoutées beaucoup plus fortes. Et donc, à la fois, l'amélioration de ces capacités
29:26 de traitement et ce que je vous disais précédemment rend assez plausible le recours assez massif
29:34 ou en tout cas l'encouragement à un recours au cyber-espionnage assez massif et indiscriminé.
29:40 Voilà, alors là j'ai évoqué finalement par domaines de lutte, les domaines de lutte
29:45 qui concernent très concrètement le com-cyber, l'apport de l'IA, ce que ça va nous...
29:51 ce que ça va changer, ce que ça va nous apporter. Mais il y a un autre aspect, donc c'est l'IA
29:56 pour le cyber mais quid du cyber pour l'IA qui est quand même un côté qui est particulièrement
30:05 inquiétant aussi. Et là, bon, c'est assez basique de le dire mais effectivement un
30:13 système d'IA c'est d'une certaine manière un système d'information presque comme un
30:17 autre. En tout cas c'est un système d'information et à ce titre il est évidemment particulièrement
30:22 vulnérable aux cyber-attaques également. Et donc il doit être protégé et défendu
30:27 comme n'importe quel autre et je dirais même plus finalement que les autres pour garantir...
30:32 alors vous connaissez le triptyque, la confidentialité, la disponibilité, l'intégrité. La confidentialité
30:37 pour nous militaires forcément ça revient à un aspect sans doute encore plus important
30:44 que pour d'autres, sachant qu'on va nous avoir sans doute besoin de systèmes d'IA qui ne
30:52 seront pas totalement ouverts sur le reste du monde, tout en bénéficiant d'apports
30:57 de données massives évidemment. Donc cette sécurité des systèmes d'IA, on le voit
31:04 évidemment sous deux aspects, ça a été un petit peu évoqué au début en introduction,
31:09 il y a la sécurisation des données en fait qui sont employées par le système d'IA.
31:14 Donc là évidemment on aboutit à des choses qui sont assez connues, mais sécurité des
31:19 méthodes de stockage, chiffrement aussi, le chiffrement des données, le chiffrement
31:26 reste un élément qui est absolument fondamental aussi en termes de cybersécurité. Et puis
31:33 ensuite se pose la question du modèle qu'on utilise et son mode de conception en fait.
31:41 La mesure, la manière dont on a été capable d'assurer via des tests, via un processus
31:46 d'homologation aussi, ou le recours à des briques techniques, la sécurité de ce modèle
31:52 d'IA. Donc en matière de code aujourd'hui, ça c'est une récrimination souvent des
31:56 spécialistes de la cybersécurité que vous êtes, mais on est quand même assez nombreux
32:02 à se plaindre de la qualité du code, d'une manière générale qui est utilisée avec
32:08 ce qu'on observe, c'est une réutilisation massive en fait de briques existantes et on
32:12 construit du code en finalement en faisant une adjonction de briques réutilisées à
32:18 l'envie et donc on propage autant d'erreurs et de vulnérabilités malgré des processus
32:25 de tests qui se mettent en place. Mais aujourd'hui on constate quand même qu'il y a ces erreurs-là.
32:31 Et bien l'IA c'est pareil, on va avoir les mêmes sujets, c'est-à-dire qu'on va réutiliser
32:37 des modèles, on va sans doute les améliorer, on va adjoindre des briques, mais avec les
32:42 mêmes possibilités de failles et de vulnérabilité. Alors l'IA c'est effectivement un phénomène
32:53 souvent, il y a plusieurs modèles type d'IA évidemment, aujourd'hui on parle beaucoup
32:59 de machine learning, d'apprentissage donc automatique et donc évidemment les données
33:09 d'apprentissage, surtout si cet apprentissage est continu, ce qui est le cas de certains
33:14 modèles aujourd'hui qui sont très ouverts, ça rend ces IA particulièrement vulnérables
33:22 à différents types d'attaques, les attaques adversariales comme on dit, avec attaques
33:27 par manipulation pour contourner la visée initiale, donc là vous allez finalement utiliser
33:33 les données pour faire effectuer à l'IA des tâches qui sont absolument inattendues,
33:43 vous allez vouloir empoisonner l'IA, donc ça c'est une thématique qui est évidemment
33:49 particulièrement prégnante en ce moment, on l'entend régulièrement, finalement,
33:54 alors ça consiste pas tout à fait à prendre le contrôle, mais en tout cas ça permet
33:58 considérablement de modifier les résultats produits par l'IA en empoisonnant les données,
34:03 donc sur des systèmes qui apprennent en continu et vont prendre sur l'Internet de manière
34:08 massive leurs données, là vous avez des possibilités assez larges effectivement
34:12 d'obtenir ou en tout cas d'orienter les résultats vers ce que vous voulez, donc c'est
34:17 le cas par exemple, il y a eu des exemples qui sont assez connus de chatbot par exemple
34:22 qui ont été détournés de leur usage parce que finalement on leur a injecté, on a publié
34:29 massivement du contenu à caractère suprémaciste ou néo-nazi et effectivement ça a orienté
34:35 considérablement les réponses du chatbot en question.
34:37 D'autres aspects ce sont aujourd'hui, j'évoquais tout à l'heure la production
34:44 de contenu par IA, pour par exemple générer des images à partir d'un prompt-texte,
34:50 je veux un hélicoptère qui vole au-dessus de tel pays africain avec un baobab en arrière-plan
34:56 etc. l'IA va vous générer ça sans difficulté ou en mode vue d'artiste, aujourd'hui pour
35:04 contrer ces outils de génération de contenu, donc genre stable diffusion ou mid-journée,
35:09 vous avez des sociétés qui proposent aux artistes de protéger leurs images parce que
35:16 typiquement des artistes ont souvent un style qui est copié et l'IA va imiter le style,
35:23 va permettre de générer des images imitant ce style-là.
35:26 Certaines sociétés, les noms sont Glaze, Nightshade, vont proposer aux artistes de
35:33 modifier légèrement par quelques pixels leurs images pour qu'une fois qu'elles seront
35:37 avalées par ces systèmes d'intelligence artificielle, ça génère des erreurs, en
35:42 tout cas des modifications totales du mécanisme et à la fin le style ne pourra pas être
35:50 copié.
35:51 Et certains se protègent déjà contre, finalement d'une certaine manière empoisonnent
35:56 des outils d'IA pour se protéger.
36:00 C'est le cas d'artistes qui ont fait ça.
36:03 Il y a aussi évidemment de l'attaque possible par exfiltration de données, alors non pas
36:07 simplement en allant chercher dans le Data Lake les données en question, c'est de l'attaque
36:14 assez basique, mais c'est aussi finalement inférer par observation des réactions de
36:20 l'IA les données d'origine qui ont servi à constituer.
36:23 Et donc typiquement, si vous pouvez envisager d'extraire des informations de type génomique
36:30 sur des patients à partir du moment où vous observez les prédictions de dosage médical
36:38 d'anticoagulants, etc.
36:39 Et là, vous récupérez des données finalement d'origine des patients, surtout si vous connaissez
36:44 le modèle.
36:45 Voilà, alors en termes de sécurité de l'IA et en particulier, c'est l'espèce cybersécurité
36:52 évidemment.
36:53 Il y a aussi un sujet de souveraineté qui est important, qui est dans tous les enjeux.
36:59 Il y a une expertise française en la matière, bien sûr, mais il y a aussi quand même un
37:04 secteur qui est dominé aujourd'hui beaucoup par d'autres acteurs.
37:07 Alors les GAFAM en particulier.
37:09 Et puis on connaît d'autres États qui ont investi massivement dans l'IA.
37:14 Donc la Chine est particulièrement reconnue dans le domaine pour faire des investissements
37:19 massifs.
37:20 Et donc évidemment, pour la cyber défense, la question finalement d'absence d'alternatives
37:30 nationales pourra se poser.
37:31 Et pour le ministère des Armées, finalement, ça pose la question d'un arbitrage entre
37:38 l'efficacité de l'utilisation de certains outils et puis derrière la souveraineté
37:42 ou la garantie d'avoir le contrôle absolu sur ces outils.
37:45 Voilà, alors le sujet sécurité de l'IA, évidemment, c'est un sujet qui est assez
37:52 brûlant.
37:53 L'actualité récente nous le montre.
37:55 Alors pas que les aspects cybersécurité, à vrai dire, sécurité d'une manière générale.
38:00 Donc vous savez que la NSA a annoncé en septembre 23, donc là aussi c'est public, c'est sur
38:06 Internet, la création de l'AISC, donc Artificial Intelligence Security Center, qui sera chargé
38:12 du développement et de l'intégration de technologies AI au sein des systèmes de la
38:16 sécurité nationale et de la BITD, avec à la clé des méthodes d'évaluation des risques,
38:21 des bonnes pratiques et d'un cadre d'application des différentes technologies d'IA.
38:25 Donc voilà, ce sujet finalement, il a été pris au plus haut niveau aux États-Unis,
38:31 avec effectivement la NSA qui a ensuite créé un centre particulier, mais le président
38:35 Biden qui, le 30 octobre, a signé un décret portant sur la légestion des risques liés
38:40 à l'IA.
38:41 Alors il n'y a pas que les États-Unis évidemment qui sont impliqués dans cette réflexion
38:48 sur la sécurité d'une manière générale de l'IA.
38:52 Il y a eu, vous savez, le Royaume-Uni qui a accueilli, début novembre, donc c'est vraiment
38:56 récent, un sommet qui s'appelait AI Safety et qui a mené à la signature par les 28
39:04 nations qui étaient partie prenante d'un accord.
39:08 D'ailleurs la France, par le biais du ministre de l'Économie, a annoncé qu'elle accueillerait
39:15 le prochain sommet sur la sûreté de l'IA.
39:20 Il y a également le processus d'Hiroshima du G7 pour une IA plus sûre et digne de confiance,
39:27 là aussi avec une publication qui date du 30 octobre.
39:30 Et puis vous savez qu'au niveau européen, il y a le fameux Artificial Intelligence
39:35 Act, lequel a été voté par le Parlement en juin dernier, et qui doit encore être
39:40 pris en compte par le Conseil.
39:41 Et puis ensuite il y a des délais d'application qui prendront encore un petit peu de temps.
39:44 Mais c'est un sujet qui concerne énormément d'organisations.
39:49 Et puis pareil, fin octobre, le secrétaire général des Nations-Unis, Antonio Gutiérrez,
39:54 a annoncé la création d'un nouvel organisme consultatif sur l'intelligence artificielle
39:58 pour soutenir les efforts de la communauté internationale.
40:00 Donc vraiment un sujet qui est pris à bras le corps, pas que sous des aspects cyber,
40:04 mais sous des aspects sécurité d'une manière plus générale.
40:06 Alors évidemment, ça pose la question ensuite un peu de la régulation internationale, de
40:11 la régulation éventuelle des outils, en particulier offensifs, et d'influence utilisant
40:17 de l'IA.
40:18 Je ne parle que pour les domaines de lutte que nous assurons.
40:26 En la matière, nous, nous sommes obligés de nous préparer évidemment à une utilisation
40:32 massive de l'IA par nos adversaires, sans régulation.
40:35 Pourquoi ? Parce que de toute façon, le retour d'expérience qu'on a typiquement en matière
40:40 de négociations internationales sur la régulation du cyberespace, d'une manière générale,
40:47 ça ne nous pousse pas forcément à un grand optimisme.
40:49 Ce sont des négociations qui ont été plutôt... pas au point mort, parce que ça continue en
40:56 réalité.
40:57 Mais il y a évidemment des conflits d'intérêt stratégiques qui sont énormes en la matière.
41:04 Et donc, ça n'a pas abouti.
41:08 Alors dans ce paysage, tous les liais au profit de la cyberdéfense, est-ce qu'il y aura une
41:16 application massive à grande échelle pour tous les États ? Pas sûr.
41:21 En fait, il y a quand même quelques facteurs externes qui conditionnent la généralisation.
41:25 Ce sont les capacités de calcul, vous connaissez ça par cœur, mais en fait qui sont assez
41:30 considérables, avec des infrastructures qui sont surdimensionnées, qui sont très énergivores.
41:36 Et donc, en fait, même s'il y a un nivellement par le bas du fait que certains outils sont
41:44 accessibles publiquement, des outils plus fins qui eux ne sont pas accessibles publiquement,
41:49 des outils souverains, ne seront pas forcément accessibles à tous, parce que là, ce sont
41:53 des investissements qui sont tout à fait considérables.
41:55 Et certains ont pris de l'avance en la matière.
41:58 Alors évidemment, on peut y avoir un game changer sur les capacités de calcul, mais
42:02 je sais que c'est à l'ordre du jour des rencontres.
42:06 C'est le quantique, évidemment, qui peut finalement changer complètement la donne
42:11 si ça venait à émerger largement et à se démocratiser surtout.
42:15 Voilà, donc en conclusion, je dirais que l'émergence de l'IA remettra vraisemblablement
42:21 en cause les équilibres stratégiques dans le cyberespace.
42:25 Ça peut redessiner assez largement le paysage avec d'un côté donc une démocratisation
42:32 de l'accès à l'IA qui pourrait apporter un certain pouvoir égalisateur, donc apporter
42:37 par exemple des capacités offensives à beaucoup plus d'acteurs, sachant qu'ils sont déjà
42:41 assez nombreux, qu'ils soient des États bien sûr, mais aussi des acteurs non étatiques
42:45 qui sont moins matures à ce stade.
42:49 Mais à l'inverse, il y a aussi cette possibilité d'une domination majeure d'un État qui a
42:55 réalisé des investissements beaucoup plus considérables que les autres et qui pourrait
43:00 avoir un ascendant absolument déterminant et potentiellement définitif ou en tout cas
43:05 écrasant sur toutes les cyberdéfenses de ses adversaires.
43:12 Donc cette évolution de l'IA, en tout cas, elle est fondamentale et elle concerne les
43:17 trois domaines de lutte.
43:18 Comme je vous le disais, la cyberdéfense et l'IA en fait sont indissociables et l'aventure
43:24 a déjà commencé.
43:25 Ça permet donc, je l'ai dit, d'optimiser, d'automatiser la conception des composants,
43:30 la réponse à incidents plus rapide, ça permet une lutte informatique offensive plus
43:35 abordable et beaucoup plus efficace en exploitant au mieux les données d'ailleurs issues de
43:42 l'AILIO.
43:43 Le domaine de l'influence numérique bénéficiera des outils d'IA pour optimiser la détection
43:51 des campagnes adverses, la caractérisation des auditoires, je l'ai dit, et apporteront
43:55 aussi une assistance importante pour la production de contenu comme j'ai pu l'évoquer par ailleurs.
43:59 Donc, en définitive, pour atteindre la cyberrésilience de premier rang qui est un des objectifs
44:04 de la revue nationale stratégique de 2022, l'adossement au développement de l'IA n'est
44:12 pas une option.
44:13 C'est une condition qui est absolument nécessaire.
44:16 Et réciproquement, comme j'ai eu l'occasion de le dire à la fin de mon exposé, les systèmes
44:22 d'IA, comme tout système d'information, devront être protégés et défendus.
44:25 Ils seront de plus en plus vulnérables aux attaques dites adverses sur IA.
44:31 Mais je dirais même qu'ils deviendront en réalité le centre de gravité des cyberattaques
44:36 majeures futures, puisqu'ils seront au cœur des domaines de lutte.
44:41 Et alors, je n'ai évoqué que la partie qui nous concerne, finalement, la cyberdéfense,
44:44 les trois domaines de lutte.
44:45 Mais on voit bien à quel point l'IA va sous-tendre tout le reste de l'activité humaine.
44:49 Et finalement, dans la cyber, dans les attaques, ce sera bien ça le centre de gravité qui
44:55 faudra absolument protéger.
44:56 Et donc, très clairement, dans une logique qu'on connaît aujourd'hui de compétition,
45:02 de contestation et d'affrontement entre les grands compétiteurs, les systèmes d'IA
45:07 seront le centre de gravité de la lutte cyber.
45:10 Voilà, donc, les nouvelles technologies et l'IA sont, en particulier l'IA, sont à
45:18 la fois un levier de développement de la cybersécurité.
45:20 Donc, par rapport à la question qu'on se pose aujourd'hui, moi, je pense que c'est
45:24 un levier fondamental de la cybersécurité.
45:27 En réalité, l'IA, mais c'est aussi, il est vrai, il faut le reconnaître, une vulnérabilité
45:30 à part entière.
45:31 Et de manière très classique, finalement, on assistera à l'affrontement permanent
45:37 entre le glaive et le bouclier.
45:39 Mais ce qui est finalement l'histoire de la conflictualité humaine.
45:43 Voilà.
45:44 Je pense qu'on ne va pas vous retenir.
45:56 Je suis sûr qu'il y aurait eu des dizaines de questions.
46:00 En tout cas, merci infiniment de cette exposé brillantissime.
46:05 C'était un privilège de vous avoir pour ouvrir ce colloque.
46:10 Je ne vais quand même pas vous laisser partir sans un petit cadeau.
46:14 Alors d'abord, je vais vous remettre la médaille de l'Arxis.
46:19 Vous avez déjà reçu le petit pince doré, le petit sphinx, un peu plus lourd, mais bon.
46:25 Merci beaucoup.
46:26 C'est ce qu'il faut.
46:29 Et puis, je vais vous remettre un livre, un ouvrage très recherché.
46:37 Il s'agit du catalogue de l'exposition des archives nationales réalisée en 2015,
46:48 le secret de l'État, auquel l'Arxis avait participé en fournissant du matériel et
46:54 même pas mal de... une dizaine de conférences.
46:57 Mais nous avions participé à cette exposition aux archives nationales, en coopération aussi
47:03 avec la Marine, vous devez peut-être le savoir, qui avait exposé le poste de commandement
47:11 du redoutable grandeur nature à l'intérieur.
47:14 Voilà, je vous remets.
47:16 Merci beaucoup.
47:17 Et puis, puisque vous ne l'avez sûrement pas reçu, le bulletin de cette année.
47:23 Voilà, c'est tout.
47:25 Merci un peu, Dimanche.
47:27 Merci à vous.
47:28 Merci à vous.
47:29 Merci à vous.
47:30 Bon matin.
47:31 Alors, comme convenu, je garde le micro pour vous parler du reste de la journée.

Recommandations