Un sondage de KPMG révèle que l'IA générative pourrait augmenter la vulnérabilité des organisations aux cyberattaques

Les organisations canadiennes vulnérables aux cyberattaques se tournent vers l'IA générative pour obtenir de l'aide, mais la considèrent comme une arme à double tranchant qui pourrait encourager les criminels

MONTRÉAL, le 24 oct. 2023 /CNW/ - Selon le plus récent sondage Perspective des chefs de la direction de KPMG International, tout juste la moitié (56 %) des chefs de la direction au Canada estiment que leur entreprise est actuellement prête à faire face à une cyberattaque, et plus de 9 sur 10 (93 %) s'inquiètent à l'idée que l'émergence de l'intelligence artificielle (IA) générative augmente davantage leur vulnérabilité à des violations.

Les résultats reflètent ceux de l'enquête de KPMG Entreprises privées ^MC au Canada, qui révèle que 81 % des petites et moyennes entreprises (PME) s'entendent pour dire que l'IA générative est une « arme à double tranchant » qui pourrait aider leur organisation à mieux déceler les cybermenaces et à y répondre tout en augmentant le nombre de cyberattaques et en offrant aux criminels de nouvelles méthodes d'attaque.

« L'IA générative peut aider les organisations à renforcer leur sécurité et, ce faisant, à gagner en efficacité. Toutefois, la réalité est que les cybercriminels augmenteront également leur utilisation de l'IA générative dans leur stratégie d'attaque et qu'ils peuvent adopter la technologie beaucoup plus rapidement que les grandes organisations. Cela signifie que les attaques reposant sur l'IA générative risquent d'augmenter, en particulier par l'intermédiaire du piratage psychologique, qui permet le déploiement d'hypertrucages pour duper les employés et les inciter à compromettre les données d'entreprise et le contournement des méthodes d'accès traditionnelles », explique Hartaj Nijjar, associé et leader national du groupe Cybersécurité de KPMG au Canada. 

« Étant donné qu'il peut s'avérer difficile pour les organisations de prédire avec exactitude quelles seront les répercussions l'IA générative sur leur situation en matière de cybersécurité, la meilleure façon de se protéger de l'inconnu consiste à établir des défenses robustes qui comprennent des investissements dans la technologie et des programmes de cybersécurité, et à assurer une formation rigoureuse du personnel. Les organisations qui disposent de bases solides en matière de cybersécurité seront mieux outillées que les autres pour composer avec les risques inconnus liés à l'évolution des technologies comme l'IA générative », ajoute M. Nijjar.

Au Canada, plus du tiers des chefs de la direction qui affirment que leur organisation n'est pas prête à faire face à une cyberattaque mentionnent des systèmes technologiques désuets, puis la complexité croissante de la cybercriminalité et un manque d'investissements en cyberdéfense comme principales causes de ce manque de préparation. Moins de 5 % d'entre eux estiment que leur organisation est « tout à fait prête » à faire face à une cyberattaque.

Si certains chefs de la direction considèrent que l'IA générative joue un rôle dans l'amélioration de leurs programmes de cybersécurité, ce rôle leur paraît mineur et les risques l'emportent largement sur les avantages. Seulement 8 % des chefs de la direction mentionnent l'amélioration de la réponse aux cyberattaques parmi les avantages de la mise en oeuvre de l'IA générative au sein de leur organisation. En revanche, un quart des chefs de la direction affirment que les enjeux de conformité et de sécurité, comme les adversaires dotés de l'IA, représentent un obstacle à la mise en oeuvre de la technologie, et 68 % des petites et moyennes entreprises sont du même avis.

Faits saillants du sondage Perspective des chefs de la direction :

• 93 % des chefs de la direction au Canada s'inquiètent à l'idée que l'IA générative donne lieu à d'autres cyberattaques (82 % à l'échelle mondiale)
• 56 % affirment que leur organisation est prête à faire face à une cyberattaque (53 % à l'échelle mondiale), un résultat inchangé par rapport à l'an dernier.
  • 52 % déclarent que leur organisation est « prête » et 4 %, qu'elle est « tout à fait prête » (45 % et 8 % à l'échelle mondiale, respectivement)

Raisons pour lesquelles les chefs de la direction estiment que leur entreprise n'est pas prête à faire face à une cyberattaque :

• 38 % mentionnent des systèmes ou une infrastructure vulnérables ou anciens (20 % à l'échelle globale)
• 25 % mentionnent les cybermenaces croissantes et la complexification des attaques (34 % à l'échelle mondiale)
• 19 % mentionnent les investissements insuffisants en cyberdéfense (15 % à l'échelle mondiale)
• 13 % mentionnent une pénurie de personnel compétent (24 % à l'échelle mondiale)
• 6 % affirment que la cybersécurité n'est pas considérée comme une priorité d'entreprise (7 % à l'échelle mondiale)

Les PME sont prêtes à faire face à des cyberattaques

En revanche, les PME interrogées par KPMG au Canada rapportent une plus grande préparation que les grandes entreprises à faire face à des cyberattaques, 88 % d'entre elles affirmant être prêtes à se défendre contre une cyberattaque. Il s'agit d'un résultat en hausse par rapport à 73 % l'an dernier, malgré le plus grand nombre de répondants (63 %) qui affirment avoir été victimes d'une attaque par des cybercriminels cette année que l'an dernier (56 %).

Bien qu'il existe divers types de cyberattaques (p. ex., hameçonnage, logiciels malveillants, déni de service ou déploiement d'un programme malveillant), ce sont surtout les rançongiciels qui posent problème pour les PME. Six entreprises sur dix déclarent avoir versé une rançon à des cybercriminels au cours des trois dernières années. En outre, 59 % affirment ne pas disposer de plan pour faire face à une attaque par rançongiciel (une hausse par rapport à 32 % l'an dernier). Une attaque par rançongiciel survient lorsqu'un criminel vole les données d'une organisation et les garde en otage jusqu'au versement d'une somme d'argent.

« Le versement d'une rançon à des cybercriminels représente une dépense coûteuse et généralement imprévue, en particulier pour les PME, dont les ressources sont moindres et les budgets, limités. Malheureusement, un grand nombre de PME choisissent de payer les cybercriminels étant donné que les attaques par rançongiciel peuvent paralyser leurs activités, voire y mettre fin, et qu'un grand nombre d'entre elles ne peuvent se le permettre », explique Robert Moerman, associé au sein du groupe Cybersécurité de KPMG et leader des services gérés de sécurité.

« Le versement d'une rançon à un criminel coûtera probablement plus cher que ce qu'il en coûterait pour mettre en place des cyberdéfenses efficaces afin de dissuader ce criminel de commettre une attaque. Les investissements planifiés en cybersécurité réduisent la probabilité et le coût d'un cyberincident et une cyberassurance peut contribuer à contrer le risque résiduel. Dans le cas des petites entreprises qui ne disposent peut-être pas des capacités ou de l'expertise pour mettre en oeuvre des programmes de cybersécurité robustes, des fournisseurs de services externes peuvent également contribuer à combler les lacunes », ajoute M. Moerman. 

Faits saillants de l'enquête de KPMG Entreprises privées^MC

• 88 % des petites et moyennes entreprises interrogées par KPMG au Canada affirment être prêtes à se défendre contre une cyberattaque (une hausse par rapport à 73 % l'an dernier).
  • 41 % sont « fortement d'accord » et 47 %, « plutôt d'accord »

Raisons pour lesquelles les PME estiment ne pas être prêtes à faire face à une cyberattaque :

• 71 % affirment que leurs systèmes ou leur infrastructure anciens (c.-à-d. technologie de l'information ou technologie opérationnelle) les rendent vulnérables aux cyberattaques
• 66 % affirment ne pas disposer de personnel compétent pour mettre en oeuvre un programme de cybersécurité ou une surveillance contre les attaques
• 64 % affirment ne pas avoir suffisamment de ressources financières pour investir en cyberdéfense
• 62 % affirment que la cybersécurité n'est pas considérée comme une priorité d'entreprise

IA générative et cybersécurité

Comme leurs homologues de grande taille, les petites et moyennes entreprises mentionnent que ce sont leurs systèmes technologiques vieillissants ou anciens qui les rendent les plus vulnérables aux cyberattaques, suivis d'un manque de ressources financières et de professionnels compétents en cybersécurité. Malgré ces difficultés, 80 % des PME affirment envisager l'utilisation de l'IA pour renforcer leurs cyberdéfenses et estiment avoir une bonne compréhension des risques qui y sont associés et de la façon d'en assurer la gestion.

Nisal Samarakkody, associé au sein du groupe Cybersécurité de KPMG et spécialisé dans l'utilisation de l'intelligence artificielle pour s'attaquer à la cybercriminalité, affirme que les organisations qui cherchent à renforcer leurs cyberdéfenses à l'aide de l'IA générative doivent d'abord évaluer les domaines dans lesquels leurs cybercontrôles peuvent être rehaussés pour optimiser l'efficacité et la sécurité.

« La mise en oeuvre et l'activation des capacités liées à l'IA, dont l'IA générative, forment un processus qui commence par l'optimisation des contrôles de cybersécurité existants, la compréhension des lacunes, la préparation et l'investissement dans des capacités émergentes qui concordent avec le contexte évolutif de la cybersécurité et les limites organisationnelles. Autrement, les organisations risquent de ne pas être en mesure de tirer pleinement parti du potentiel de l'IA, de prendre du retard par rapport à leurs pairs et de s'exposer à des menaces complexes », ajoute-t-il.

Pour obtenir de plus amples renseignements sur l'IA générative et la cybersécurité, consultez Sécuriser la transformation numérique, par Stephanie Terrill, leader nationale, Services-conseils - Management, et Thomas Davies, leader national, Transformation numérique et Services gérés, Services-conseils - Gestion des risques chez KPMG au Canada.  

À propos du sondage Perspective des chefs de la direction de KPMG
La neuvième édition du sondage Perspective des chefs de la direction de KPMG, mené auprès de 1?325 chefs de la direction entre le 15 août et le 15 septembre 2023, fournit des données uniques sur l'état d'esprit, les stratégies et les tactiques de planification des chefs de la direction. Tous les répondants cumulent plus de 500 millions de dollars américains en revenu annuel et le tiers des entreprises interrogées enregistrent un revenu annuel de plus de 10 milliards de dollars américains. Le sondage de KPMG International a été réalisé auprès de chefs de la direction de 11 marchés clés (Australie, Canada, Chine, France, Allemagne, Inde, Italie, Japon, Espagne, Royaume-Uni et États-Unis) et 11 secteurs clés (automobile, consommation et commerce de détail, énergie, services financiers, infrastructure, sciences de la vie, fabrication, technologie et télécommunications). NOTA : Les chiffres ayant été arrondis, leur somme pourrait ne pas être égale à 100 %.

À propos de l'enquête de KPMG Entreprises privées^MC 
KPMG au Canada a interrogé des propriétaires d'entreprise ou des décideurs membres de la haute direction de 700 petites et moyennes entreprises canadiennes entre le 30 août et le 25 septembre 2023 à l'aide de la plateforme de recherche Sago. Un quart des entreprises sondées comptent un chiffre d'affaires annuel de plus de 500 millions de dollars canadiens et de moins d'un milliard de dollars canadiens, un quart d'entre elles compte un chiffre d'affaires annuel de plus de 300 millions de dollars canadiens et de moins de 500 millions de dollars canadiens, 23 % d'entre elles comptent un chiffre d'affaires annuel allant de 100 millions à 300 millions de dollars canadiens et 26 % d'entre elles comptent un chiffre d'affaires annuel allant de 10 millions à 50 millions de dollars canadiens. Aucune entreprise sondée n'avait un chiffre d'affaires annuel inférieur à 10 millions de dollars canadiens.

Un mot sur KPMG au Canada
KPMG s.r.l./S.E.N.C.R.L., cabinet d'audit, de fiscalité et de services-conseils et société à responsabilité limitée, appartient à des Canadiens qui en assurent l'exploitation. Depuis plus de 150 ans, nos professionnels fournissent aux Canadiens tout un éventail de services-conseils, de services de comptabilité et d'audit et de services fiscaux qui inspirent la confiance, favorisent le changement et stimulent l'innovation. Guidé par des?valeurs fondamentales?-- Intégrité, Excellence, Courage, Ensemble, Pour le mieux --, KPMG compte plus de 10?000 professionnels et employés dans plus de 40 bureaux au Canada, qui servent des clients des secteurs privé et public. KPMG fait?régulièrement?partie des meilleurs employeurs au Canada et est reconnu comme l'un des meilleurs milieux de travail au pays. 

Le cabinet est constitué en vertu des lois de l'Ontario et membre de l'organisation mondiale KPMG de cabinets indépendants affiliés à KPMG International Limited, société de droit anglais à responsabilité limitée par garantie. Chaque cabinet membre est une personne morale distincte et indépendante, et se décrit comme tel. Pour plus d'information, consultez?kpmg.com/ca/fr. 

SOURCE KPMG LLP