ChatGPT : le début de la fin de la cyber

La Blockchain, je n’y ai jamais cru – au sens où elle allait tout bouleverser –, et pour le moment on n’en voit pas grand-chose, dans la santé en tout cas. Avant, il y a eu le Cloud (qui existe au demeurant depuis plus de 30 ans, mais portait à l’époque un nom différent sur lequel on est en train de revenir en partie), et maintenant le quantique qui n’existe quasiment qu’en laboratoire (et dont un algorithme prétendument inviolable a récemment été cassé sur un bête PC). Nous pourrions égrener pendant des heures les technologies prétendument disruptives qui ont surtout servi à fabriquer de belles plaquettes en papier glacé et à organiser des « petits déjeuners » en présence d’une brochette de prospects ou des séminaires thématiques dans des hôtels avec spa.

Là, par contre, pas sûr que l’on joue dans le même registre. ChatGPT a fait l’objet de multiples articles sur les grandes radios nationales et dans la presse spécialisée, et – fait marquant – une alerte managériale « Code rouge » vient d’être déclenchée chez Google, inquiet des progrès de l’IA et de celle de Dall-E en matière de langage naturel. La maison mère, Alphabet, craint en effet pour son business, et il suffit de créer en quelques minutes un compte de test sur la plateforme https://chat.openai.com pour se rendre compte des possibilités du machin. Des questions telles que « Can you please explain the word “anonymization”? » ou « Have you any idea for my daughter’s Christmas? » donnent lieu à un petit développement qu’il serait intéressant de soumettre au test de Turing. L’outil est assez bluffant si l’on en croit les commentaires de ceux qui ont joué avec de façon poussée.

Pas sûr du reste qu’à ce rythme les profs continuent de donner à leurs élèves des dissertations à faire à la maison, alors qu’il faudra certainement équiper toutes les salles d’examen de cages de Faraday dans les cinq prochaines années. Je vous laisse imaginer le nombre de métiers dont l’existence ne tient qu’à un fil avec ce genre de joujoux, mais tel n’est pas mon propos ici.

Petit retour arrière. En 2015 sont apparus les premiers cryptolockers, qui disposaient à l’époque de capacités limitées (chiffrement de répertoires locaux). Quand les versions suivantes ont été capables de chiffrer des montages réseau, un certain nombre d’experts dont votre serviteur ont prédit la chienlit qui suivrait si jamais le chiffrement des bases de données métiers était franchi, ce qui fut le cas moins de 24 mois plus tard. Actuellement, les dispositifs crypto sont tellement sophistiqués que presque aucune entreprise au monde n’est à l’abri, même les sociétés avec une forte culture de la sécurité, voire de sécurité tout court.

À découvrir → ChatGPT ou Le Bal des pleureuses

Si une IA dotée d’une capacité d’attaque est techniquement faisable, elle sera à terme développée[1], ce n’est qu’une histoire de mois. Les experts sont bluffés par la rupture que représente ChatGPT dans le domaine du langage naturel, historiquement considéré comme l’un des plus complexes, avec les échecs (sujet clos depuis Deep Blue d’IBM), le jeu de go, le poker et les quiz de culture générale (trois sujets classés aussi). Si ce type d’IA voit le jour, je n’ai tout simplement pas, à la date d’écriture de ces lignes, de plan prévisionnel de protection cyber, que ce soit à l’échelle locale ou nationale. À l’exception du Zero Trust massif, mais qui va nécessiter des ressources essentiellement humaines dont aucun État ne dispose à ce jour. On peut seulement prévoir des perturbations de fonctionnement des SI qui vont nous faire reculer de cinq ans au bas mot, si ce n’est dix.

Les professionnels du risque ont tous peu ou prou en ligne de mire le concept d’Armageddon, le pépin de niveau maximal auquel ils devront peut-être faire face un jour. Pour un RSSI, c’est l’infection du SI par un crypto, pour un expert du nucléaire, c’est l’accident d’un réacteur. Mais il y a une différence entre le risque de classe Armageddon et un environnement de classe Armageddon : l’accident d’un réacteur relève de la première catégorie, gérer le risque d’une centrale nucléaire dans un pays sous les bombes telle l’Ukraine relève de la seconde catégorie. Et ce n’est pas le même sketch.

Dans ce contexte préapocalyptique, il est urgent de réfléchir à des mesures, à des architectures techniques, pour contenir, mais surtout pour couper les branches infectées. Zero Trust généralisé, segmentation des réseaux, identification des pans du SI non essentiels susceptibles d’être définitivement éteints (vous avez bien lu : éteints), solutions mixtes On-Premise/Cloud, découpages en mode Ring 3 des architectures internes, réingénierie et automatisation au moins partielle du référentiel de contrôle, 2FA, voire 3FA.

L’une des difficultés est que ce niveau de réflexion, pour être trop technique, demeure inaudible par le top management (avant Rouen, quelle direction générale avait conscience du risque crypto ?). En plus de s’activer en soute pour préparer les douves et les meurtrières, il faut mettre au point sans tarder le délicat exercice de sensibilisation de sa DG.

[1]   C’est une variante de la loi de Murphy, dite « variante Nichols » pour les intimes.

L'auteur 

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.