Le teneur de marché de l’assurance et de la réassurance Lloyds a publié un nouveau rapport sur la façon dont l’évolution rapide de l’intelligence artificielle générative (GenAI) a un impact sur le paysage des cyberrisques. L’impact de l’IA générative est pour l’instant minime, en grande partie grâce aux mécanismes de sécurité, mais la société met en garde contre la prolifération des grands modèles de langage (LLM) à niveau de sécurité zéro.
Le nouveau rapport, intitulé Generative AI : Transforming the cyber landscape (IA générative : transformer le paysage cybernétique), présente un historique bref, mais très complet du développement de la GenAI au fil du temps. Il résume le paysage des LLM et la façon dont ils transforment le cyberrisque, les considérations pour les entreprises et l’assurance, et aborde la façon dont Lloyds prévoit de développer de futures solutions.
Risques importants
« Nous voyons des opportunités significatives concernant l’IA afin de faciliter la vie de nos clients et de ceux qui utilisent notre marché, mais aussi des risques substantiels dans la souscription de l’IA, où le domaine continue d’évoluer chaque jour », indique le rapport.
Les auteurs affirment qu’en plus du mécanisme de sécurité en place sur la plupart des LLM accessibles au public, les coûts financiers et les obstacles informatiques à la formation et à l’exploitation de grands modèles de langage sont importants :
« Le processus de formation, de précision ou d’interférence avec les grands modèles génératifs est très gourmand en ressources informatiques et nécessite des composants matériels spécialisés », écrivent-ils, ajoutant qu’un modèle récent publié par Meta a nécessité plus de 3,3 millions d’heures de calcul, avec des coûts de formation estimée à environ 10 millions de dollars (chiffres en dollars américains), pour l’électricité et le matériel informatique. « Ce chiffre ne tient pas compte de l’acquisition et de la construction du centre de données lui-même, ni des coûts du personnel », notent-ils.
La situation est toutefois en train de changer. « Depuis février, plusieurs technologies de pointe ont été mises au point, ce qui a permis de réduire considérablement les besoins de calcul pour la formation, le perfectionnement et l’exécution d’interférences pour ces modèles. Des centaines de LLM existent aujourd’hui dans la nature pour une variété de tâches, dont beaucoup peuvent être exécutés localement sur du matériel de base ».
Absence de mesures de protection
« Nous entrons dans une période où les acteurs de la menace ne bénéficieront d’aucune mesure de protection significative ni d’aucune mesure de réduction des dommages par le biais d’une propriété et d’une gestion centralisées des modèles logiques de données (MLD) — c’est l’ère de la prolifération », notent les auteurs.
Les structures du rapport comprennent une analyse des facteurs de cybermenace, des discussions sur la découverte de vulnérabilités, la planification et l’exécution de campagnes, l’analyse risque-récompense et les points de défaillance. « Dans l’ensemble, il est probable que la fréquence, la gravité et la diversité des cybersinistres de moindre ampleur augmenteront au cours des 12 à 24 prochains mois, avant de se stabiliser à mesure que les technologies de sécurité et de défense rattraperont leur retard », écrivent-ils.
Catastrophes cybernétiques
« Il est très probable que la fréquence des catastrophes cybernétiques gérables augmentera modérément, » ajoutent-ils lors d’une discussion sur les catastrophes cybernétiques — celles qui se produisent lorsque les acteurs de la menace perdent le contrôle d’activités clandestines ou lorsque la catastrophe est le résultat d’une activité cybernétique hostile soutenue par l’État.
« Il est très peu probable que le risque augmente fortement sans améliorations massives de l’efficacité de l’IA, ce que la surveillance et la gouvernance actuelles du secteur rendent improbable ; c’est un domaine où une attention accrue des régulateurs pourrait être utile. »