Cybersecurity Identity Summit 2024 à Ottawa : ce qu'il faut retenir

Le Cybersecurity Identity Summit (CIS) est un salon thématique de deux jours qui se tenait du 30 avril au 1er mai 2024 à Ottawa, au Canada. Ce sommet réunissait des experts de l'industrie et des professionnels de la cybersécurité du monde entier pour aborder les défis majeurs en matière de cybersécurité et de gestion de l'identité numérique.

Une délégation de la filiale canadienne d'Extia a eu l'opportunité de s'y rendre la première journée pour participer aux conférences, échanger avec les sociétés présentes et confirmer les grandes tendances du secteur.

Discours d'ouverture du CIS

Todd McCarthy, ministre des Services au public et aux entreprises de l'Ontario, a inauguré le sommet en affirmant sa volonté de positionner l'Ontario comme leader mondial de l'intelligence artificielle (IA) de confiance. Selon lui, l'usage responsable de l'IA est au cœur des préoccupations de ses services, dans l'objectif d'améliorer le service rendu aux citoyens et résidents. Pour cela, le gouvernement ontarien a établi dès fin 2023 un groupe de travail constitué d'experts de l'IA. Ces travaux ont abouti au développement du Cadre ontarien pour la fiabilité de l'intelligence artificielle (Trustworthy AI Framework) visant à faire en sorte que l’utilisation de ces technologies soit conforme aux considérations et aux valeurs morales de la province.

L'IA générative au cœur des discussions

Sans surprise, l'IA générative a été largement abordée dans les conférences. Selon Gartner, 35% des entreprises utiliseront de l'IA générative d'ici 2025. Plus largement, 98% des professionnels de la sécurité s'accorderaient à dire que l'IA aidera à lutter contre les violations d'identité.

Les nombreuses opportunités qu'elle offre pour la cybersécurité semble aussi vaste que les menaces qu'elle fait peser. Par exemple, elle permettrait de fluidifier la réponse à incident au sein des SOCs, en synthétisant rapidement une situation complexe à partir de journaux d'événements (logs) ou d'une base de connaissances interne. Dans l'ingénierie, elle permet d'accélérer le cycle de conception, de développement, de refonte et d'aider aux contrôles de sécurité et de qualité. Enfin, elle pourrait aider à organiser des entraînements de sécurité en concevant des scénarios d'attaques.

D'un autre côté, elle donne de nouvelles armes aux cyber-attaquants avec la simplification des manipulations vidéo et audio (deepfakes), l'automatisation des attaques d'ingénierie sociale ou par ses vulnérabilités en phase d'entraînement. Elle est aussi naturellement prône aux biais et aux hallucinations. Dernièrement, plusieurs publications telles que les recommandations du Centre canadien de la cybersécurité et de l'ANSSI ont été partagées par des organismes officiels qui semblent particulièrement vigilants face à ces nouvelles menaces.

Plus généralement, on ressent de l'appétence chez l'ensemble des acteurs de la cybersécurité pour intégrer des technologies d'IA générative. Parmi celles présentes au salon, nombreuses sont celles qui utilisent de l'IA dans leurs produits mais peu semblent pour l'instant intégrer nativement de l'IA générative, à l'instar de sociétés comme Cyberark, Okta, OwlEye ou SentinelOne. Quasiment aucune ne proposait de démo sur leur stand, laissant songeur sur leur véritable intégration de l'IA générative au-delà des effets d'annonce. L'ambiance générale sur l'adoption de l'IA générative pourrait donc se résumer à "doucement mais sûrement", avec de nombreuses préoccupations autour de la maîtrise des risques qui y est liée.

L'identité numérique : un enjeu central

L'identité numérique a aussi été au cœur des discussions, comme enjeu à la fois pour le service public et les sociétés canadiennes (ex: les banques et assurances). Par exemple, le système d'authentification de la majorité des 160 agences publiques canadiennes est fédéré par la technologie de Services partagés Canada, une agence qui diffuse des services numériques aux organismes gouvernementaux canadiens - à l'instar de la DINUM en France (ex: FranceConnect). Cela serait en partie en raison d'un long historique administratif et technique avec lequel traiter. Mais une identité numérique globale pour les citoyens reste à l'état de projet.

Paul N. Wagner, directeur du Service numérique canadien (SNC) met en avant la problématique du manque de normes pour établir une identité numérique canadienne commune entre les provinces (le Québec semble par exemple avoir pris une voie distincte). Il avance l'importance de cette technologie pour lutter contre les fake news ou les deep fakes et rester en mesure de “maîtriser le narratif" souverain. Enfin il évoque le quantique comme enjeu d'importance et nous rappelle qu'une stratégie quantique nationale a été publiée en janvier 2023. "Les données sont chiffrées, pour l'instant" cite le directeur du SNC, faisant référence à la fragilité des techniques actuelles dans un monde post-quantique. Pour lui, l'un des défis est aussi de garder la propriété intellectuelle au Canada sur ces thèmes stratégiques.

Abordé par le directeur technique de Services partagés Canada (SPC), le concept de zero trust (zéro confiance) a été discuté. Selon Matt Davies, le prérequis organisationnel à cet ensemble de technologies reste d'établir une gouvernance. Zero trust, surveillance continue et gestion d'accès privilégiée seront les 3 priorités des 3 prochaines années pour SPC.

Les acteurs publics ontariens pourront se faire accompagner à la fois par un large panel de sociétés privées (très majoritairement en provenance des Etats-Unis) et compter sur leur Centre d'excellence en Cybersécurité, un organisme public ayant vocation à entraîner et sensibiliser les acteurs gouvernementaux à la cybersécurité.

En résumé

La mise en lumière des innovations et des défis du secteur au CIS a confirmé l'engouement de l'écosystème pour l'IA générative. Dans le même temps, elle a souligné la prise de conscience des acteurs privés comme publics à rester vigilants face aux nouveaux risques qu'elle induit. La gestion de l'identité numérique reste l'enjeu majeur pour les institutions canadiennes, avec des défis comme la mise en place de normes communes et la lutte contre les fraudes.

Extia reste fermement engagée à accompagner ses clients dans leurs défis cyber. Notre équipe de professionnels qualifiés se tient prête à vous répondre et à vous offrir des solutions sur mesure pour garantir la sécurité et la pérennité de vos activités : contact@extia.fr.

Cet article a été rédigé par Flavien, Spécialiste SRE Cloud DevOps