Après une bonne année d’exubérance soutenue, la gueule de bois est enfin là. Elle est douce (pour l’instant), car le marché corrige le cours des actions des principaux acteurs (comme Nvidia, Microsoft et Google), tandis que d’autres acteurs réévaluent le marché et ajustent leurs priorités. Gartner appelle cela le creux de la désillusionlorsque l’intérêt s’affaiblit et que les mises en œuvre ne parviennent pas à produire les avancées promises. Les producteurs de la technologie se retirent ou échouent. L’investissement ne se poursuit que si les fournisseurs survivants améliorent leurs produits à la satisfaction des premiers utilisateurs.
Soyons clairs, cela devait toujours être le cas : la révolution post-humaine promise par les partisans de l’IA n’a jamais été un objectif réaliste, et l’incroyable enthousiasme suscité par les premiers LLM n’était pas basé sur un succès commercial.
L’IA est là pour rester
Quelle est la prochaine étape pour l’IA ? Si elle suit le cycle de battage médiatique de Gartner, le krach sera suivi par la pente de l’illumination, où la technologie en cours de maturation reprendra pied, les avantages se cristalliseront et les fournisseurs mettront sur le marché des produits de deuxième et troisième génération. Et si tout se passe bien, il sera suivi par le plateau sacré de la productivité, où l’adoption par le grand public décollera, poussée par l’attrait général de la technologie sur le marché. Gartner insiste sur le fait qu’il y a deux grands « si » : toutes les technologies ne sont pas destinées à se rétablir après le krach et ce qui est important, c’est que le produit trouve assez rapidement sa place sur le marché.
À l’heure actuelle, il semble presque certain que l’IA est là pour rester. Apple et Google commercialisent des produits grand public qui reconditionnent la technologie en éléments plus petits, digestes et faciles à utiliser (retouche photo, édition de texte, recherche avancée). Même si la qualité est encore très inégale, il semble qu’au moins certains acteurs aient trouvé un moyen de transformer l’IA générative en produit, d’une manière qui ait du sens – à la fois pour les consommateurs et pour leurs propres résultats financiers.
Qu’est-ce que le LLM nous a apporté ?
Bon, où en sont les clients d’entreprise – et les applications de cybersécurité en particulier ? Le fait est que l’IA générative présente encore des inconvénients importants qui entravent son adoption à grande échelle. L’un d’eux est sa nature fondamentalement non déterministe. Étant donné que la technologie elle-même est basée sur des modèles probabilistes (une fonctionnalité, pas un bug !), il y aura une variation dans les résultats. Cela pourrait effrayer certains vétérans du secteur qui s’attendent à des comportements logiciels à l’ancienne. Cela signifie également que l’IA générative ne remplacera pas les outils existants – il s’agira plutôt d’une amélioration et d’une augmentation de ces outils. Néanmoins, elle a le potentiel de fonctionner comme une couche d’une défense multicouche, une couche difficile à prévoir pour les attaquants également.
L’autre inconvénient qui provoque des frictions dans l’adoption est le coût. Les modèles sont très coûteux à former et ce coût élevé est actuellement répercuté sur les consommateurs des modèles. Par conséquent, on s’efforce de réduire le coût par requête. Les avancées matérielles, associées à des résultats révolutionnaires dans le perfectionnement des modèles, promettent une diminution significative de la consommation d’énergie des modèles d’IA en cours d’exécution, et il est raisonnable de s’attendre à ce que (au moins la sortie textuelle) se transforme en une activité rentable.
Les modèles moins chers et plus précis sont une bonne chose, mais on se rend de plus en plus compte que l’intégration de ces modèles dans les flux de travail des organisations constituera un défi de taille. En tant que société, nous n’avons pas encore l’expérience nécessaire pour savoir comment intégrer efficacement les technologies d’IA dans les pratiques de travail quotidiennes. Il y a aussi la question de savoir comment la main-d’œuvre humaine existante acceptera et travaillera avec les nouvelles technologies. Par exemple, nous avons vu des cas où les travailleurs humains et les clients préfèrent interagir avec un modèle qui privilégie l’explicabilité à l’exactitude. Étude de mars 2024 Une étude de la Harvard Medical School a révélé que l’effet de l’assistance de l’IA était incohérent et variable selon les échantillons de radiologues testés, les performances de certains radiologues s’améliorant avec l’IA et se détériorant chez d’autres. La recommandation est que, même si les outils d’IA doivent être introduits dans la pratique clinique, une approche nuancée, personnalisée et soigneusement calibrée doit être adoptée pour garantir des résultats optimaux pour les patients.
Qu’en est-il de l’adéquation au marché évoquée précédemment ? Même si l’IA générative ne remplacera (probablement) jamais un programmeur (quoi que prétendent certaines entreprises), la génération de code assistée par l’IA est devenue un outil de prototypage utile pour une variété de scénarios. Cela est déjà utile aux spécialistes de la cybersécurité : le code ou la configuration générés constituent un point de départ raisonnable pour construire quelque chose rapidement avant de le peaufiner.
Le gros bémol est que la technologie existante permet d’accélérer le travail d’un professionnel chevronné, qui peut rapidement déboguer et corriger le texte généré (code ou configuration). Mais cela peut être potentiellement désastreux pour un utilisateur qui n’est pas un vétéran du domaine : il y a toujours un risque qu’une configuration ou un code non sécurisé soit généré, ce qui, s’il se retrouve en production, réduirait la position de l’organisation en matière de cybersécurité. Ainsi, comme tout autre outil, il peut être utile si vous savez ce que vous faites, et peut conduire à des résultats négatifs dans le cas contraire.
Il faut ici mettre en garde contre une caractéristique particulière de la génération actuelle d’outils d’IA générative : ils semblent trompeusement confiants lorsqu’ils proclament les résultats. Même si le texte est manifestement erroné, tous les outils actuels le présentent avec une assurance qui induit facilement en erreur les utilisateurs novices. Alors, gardez à l’esprit que l’ordinateur ment sur sa certitude, et parfois il se trompe lourdement.
Un autre cas d’utilisation efficace est le support client, plus précisément le support de niveau 1 : la capacité d’aider les clients qui ne prennent pas la peine de lire le manuel ou les FAQ affichées. Un chatbot moderne peut raisonnablement répondre à des questions simples et acheminer les requêtes plus avancées vers des niveaux de support plus élevés. Bien que ce ne soit pas exactement l’idéal du point de vue de l’expérience client, les économies de coûts (en particulier pour les très grandes organisations avec beaucoup d’utilisateurs non formés) pourraient être significatives.
L’incertitude sur la manière dont l’IA s’intégrera dans les entreprises est une une aubaine pour le secteur du conseil en gestion. Par exemple, le Boston Consulting Group tire aujourd’hui 20 % de son chiffre d’affaires de projets liés à l’IA, tandis que McKinsey prévoit que 40 % de son chiffre d’affaires proviendra de projets liés à l’IA cette année. D’autres cabinets de conseil comme IBM et Accenture sont également sur la sellette. Les projets commerciaux sont très variés : faciliter la traduction des publicités d’une langue à l’autre, améliorer la recherche d’achats lors de l’évaluation des fournisseurs et renforcer les chatbots du service client qui évitent les hallucinations et incluent des références aux sources pour renforcer la fiabilité. Bien que seulement 200 des 5 000 requêtes des clients passent par le chatbot chez ING, on peut s’attendre à ce que ce chiffre augmente à mesure que la qualité des réponses s’améliore. De manière analogue à l’évolution de la recherche sur Internet, on peut imaginer un point de basculement où il deviendra une réaction instinctive de « demander au bot » plutôt que de fouiller soi-même dans le bourbier de données.
La gouvernance de l’IA doit répondre aux préoccupations en matière de cybersécurité
Indépendamment des cas d’utilisation spécifiques, les nouveaux outils d’IA posent un tout nouvel ensemble de problèmes de cybersécurité. Comme les RPA par le passé, les chatbots en contact avec les clients ont besoin d’identités de machines avec un accès approprié, parfois privilégié, aux systèmes de l’entreprise. Par exemple, un chatbot peut avoir besoin de pouvoir identifier le client et d’extraire certains enregistrements du système CRM, ce qui devrait immédiatement déclencher l’alarme pour les vétérans de l’IAM. contrôles d’accès Autour de cette technologie expérimentale se trouvera un aspect clé du processus de mise en œuvre.
Il en va de même pour les outils de génération de code utilisés dans les processus Dev ou DevOps : définir l’accès correct au référentiel de code limitera le rayon d’action en cas de problème. Cela réduit également l’effet d’une violation potentielle, au cas où l’outil d’IA lui-même deviendrait un problème de cybersécurité.
Et bien sûr, il y a toujours le risque de tiers : en adoptant un outil aussi puissant mais peu compris, les organisations s’exposent à des adversaires qui sondent les limites de la technologie LLM. Le manque relatif de maturité dans ce domaine pourrait être problématique : nous ne disposons pas encore de bonnes pratiques pour renforcer les LLM, nous devons donc nous assurer qu’ils ne disposent pas de privilèges d’écriture dans des endroits sensibles.
Les opportunités de l’IA dans l’IAM
À ce stade, les cas d’utilisation et les opportunités pour L’IA dans le contrôle d’accès et l’IAM prennent forme et sont livrées aux clients sous forme de produits. Les domaines traditionnels du ML classique, comme l’exploration de rôles et les recommandations de droits, sont revisités à la lumière des méthodes et des interfaces utilisateur modernes, la création et l’évolution des rôles étant plus étroitement intégrées dans les flux de travail et les interfaces utilisateur de gouvernance prêts à l’emploi. Les innovations plus récentes inspirées de l’IA, telles que l’analyse par groupe de pairs, les recommandations de décision et la gouvernance axée sur le comportement, deviennent monnaie courante dans le monde de la gouvernance des identités. Les clients s’attendent désormais à des technologies de point d’application telles que les systèmes de gestion des accès SSO et Systèmes de gestion de comptes privilégiés pour proposer une détection d’anomalies et de menaces basée sur l’IA en fonction du comportement et des sessions des utilisateurs.
Les interfaces en langage naturel commencent à améliorer considérablement l’expérience utilisateur dans toutes ces catégories de Solution IAM en permettant des échanges interactifs en langage naturel avec le système. Nous avons toujours besoin de rapports et de tableaux de bord statiques, mais la possibilité pour des personnes ayant des responsabilités et des besoins différents de s’exprimer en langage naturel et d’affiner les résultats de recherche de manière interactive réduit les compétences et la formation nécessaires pour garantir que les organisations tirent profit de ces systèmes.
C’est la fin du début
Une chose est sûre : quel que soit l’état de la technologie de l’IA à la mi-2024, ce domaine ne s’arrêtera pas là. L’IA générative et les masters de l’IA ne sont qu’un sous-domaine de l’IA, de nombreux autres domaines liés à l’IA progressant rapidement grâce aux progrès du matériel et aux généreux financements publics et privés de la recherche.
Quelle que soit la forme que prendra l’IA mature et prête à l’emploi, les vétérans de la sécurité doivent déjà considérer les avantages potentiels que l’IA générative peut apporter à leur posture défensive, ce que ces outils peuvent faire pour percer les défenses existantes et comment pouvons-nous contenir le rayon de l’explosion si l’expérience tourne mal.
Note: Cet article rédigé avec brio est rédigé par Robert Byrne, stratège de terrain chez One Identity. Rob a plus de 15 ans d’expérience dans le domaine informatique, occupant divers postes tels que le développement, le conseil et les ventes techniques. Sa carrière s’est principalement concentrée sur la gestion des identités. Avant de rejoindre Quest, Rob a travaillé chez Oracle et Sun Microsystems. Il est titulaire d’une licence en mathématiques et en informatique.