Julie Bilodeau:
Bonjour et bienvenue à "BDO Digital Digest," où, en tant que leaders curieux, nous sommes ici pour explorer comment l'évolution de la technologie fait progresser les entreprises et redéfinit notre travail. Je suis Julie Bilodeau, et je suis ici avec mon co-animateur Hamed Faghfoury. Comment allez-vous aujourd'hui, Hamed ?
Hamed Faghfoury:
Je vais bien, Julie. Cela va être un épisode vraiment génial. J'ai hâte de commencer.
Julie Bilodeau:
Je suis d'accord. Je dois dire, pour ceux d'entre vous dans l'audience, nous abordons dans le sujet d'aujourd'hui l'avenir de la cybersécurité dans un monde d'IA, et nous avons beaucoup de points à discuter aujourd'hui. Le moment est bien choisi avec DeepSeek qui vient d'être lancé récemment, et nous commençons à voir les risques liés. Donc, pour nous guider dans cette conversation, J'aimerais accueillir Mark Zuzarte, qui est notre directeur de la pratique en ingénierie de la cybersécurité chez BDO Technology. Mon Dieu. C'est un sacré rôle.
Hamed Faghfoury:
Oui, quel sacré rôle. Je ne sais pas comment il fait pour se présenter à chaque fois, avec cet elevator pitch de cinq secondes pour nous expliquer son rôle. Je pense que c'est un elevator pitch de cinq minutes.
Julie Bilodeau:
C'est vrai.
Hamed Faghfoury:
Mais cela dépend de la hauteur du bâtiment. Alors, accueillons Mark et nous allons lui demander de nous en dire un peu plus sur lui.
Julie Bilodeau:
Parfait timing, Mark. Merci de nous rejoindre aujourd'hui.
Mark Zuzarte:
Merci de m'avoir invité, Julie.
Julie Bilodeau:
Nous venons de donner la description très longue. Nous venons de donner la description très longue de votre poste. Pourriez-vous nous en dire un peu plus sur vous au-delà de ce titre ?
Mark Zuzarte:
Oui, bien sûr. Je suis l'un des responsables de la cybersécurité ici chez BDO Canada. Je suis spécifiquement impliqué dans la gestion des équipes qui aident les organisations à créer des applications sécurisées, à intégrer des capacités de sécurité dans leurs applications personnalisées ou dans leur organisation, mais en parallèle, j'aide les organisations à effectuer des tâches comme des tests d'intrusion ou des tests de sécurité qui imitent ceux d'un cyber attaquant, aidant les organisations à trouver ces vulnérabilités critiques dans leur organisation ou leur infrastructure avant les méchants.
Julie Bilodeau:
Mark, je voudrais aborder un domaine, car je sais que c'est une priorité pour beaucoup de gens, d'activer les capacités d'IA générative. Évidemment, il y a beaucoup de domaines passionnants liés à cela en ce qui concerne l'impact sur les entreprises, mais de votre point de vue, évidemment, cela a remodelé la cybersécurité de nombreuses façons. Comment l'IA générative a t-elle remodelé à la fois du point de vue offensif et, je suppose, du point de vue de la protection en ce qui concerne les menaces cybernétiques ?
Mark Zuzarte:
Oui, bien sûr. Donc, je pense qu'il y a beaucoup de domaines différents où l'IA générative et l'IA en général ont impacté la cybersécurité, mais je vais me concentrer sur deux, qui sont je pense, les plus importantes en ce moment. Le premier concerne le fait que je suis sûr que vous avez tous les deux été impliqués dans des projets où l'IA a été intégrée dans une organisation. Donc, une organisation a mis en place un moteur d'IA pour les aider à être plus productifs, aider à répondre aux questions des employés, ou des chatbots et des choses comme ça. Lorsque les organisations cherchent à mettre cela en place, à intégrer ce genre de fonctionnalités, nous leur disons généralement, « Vous savez, c'est vraiment facile. Vous installez un package… » Vous installez un package, cliquez sur quelques boutons, et c'est parti. Ce que beaucoup d'organisations ne sont pas capables de faire, ou peut-être parfois négligent, c'est de s'assurer que ce moteur d'IA a le niveau d'accès adapté, et par niveau adapté, je veux dire le minimum d'accès dont il a besoin.
Julie Bilodeau:
Exactement.
Mark Zuzarte:
Pour faire son travail. Alors, utilisons un exemple. Si un moteur d'IA indexe toutes les données dans une organisation et qu'il consomme des données RH ou des données de paie, en théorie, vous pourriez demander à cette capacité d'IA générative, « Combien gagne mon patron ? Quels sont les avis de performance de mes collègues ? » Et parfois, les moteurs d'IA ne sont pas capables d'avoir cette connaissance ou cette capacité pour s'assurer que les informations importantes ne sont pas partagées avec les mauvaises personnes.
Mark Zuzarte:
De l'autre côté, il y a ce que font les attaquants, et tout comme nous chaque jour, je suis sûr que nous augmentons notre utilisation de l'IA générative pour nous aider dans notre travail. Nous continuons à poser des questions, nous demandons des choses comme, « Donne-moi des informations sur une organisation. Aide-moi à écrire un email, aide-moi à créer du code. » Les attaquants peuvent alors utiliser ces mêmes fonctionnalités pour créer des exploits ou développer des logiciels malveillants ou des emails de phishing, des choses comme ça.
Donc, ce que nous prenions pour acquis comme, une compétence linguistique ou une compétence en codage, les attaquants peuvent maintenant simplement demander à l'IA générative, « Comment faire cela ? Écris-moi un kit de logiciels malveillants, écris-moi un exploit. » Elle le générera, et le niveau de compétence de l'attaquant a pu diminuer considérablement à cause du soutien de certaines de ces capacités.
Julie Bilodeau:
Et nous avons...
Mark Zuzarte:
C'est fou.
Julie Bilodeau:
Oui, c'est fou.
Julie Bilodeau:
Oui, je dois dire, désolé, il s'agit vraiment du côté sombre de l'IA, non ? Qu'elle soit bien sûr accessible, n'est-ce pas... Elle est accessible pour le monde entier, mais cela comprend les mauvaises personnes, qui peuvent profiter de ce que cela offre, et bien sûr, la cybersécurité est une priorité lorsqu'il s'agit de ces mauvaises personnes qui s'emparent de ce niveau de pouvoir, disons.
Hamed, désolé, je ne voulais pas vous interrompre, allez-y.
Hamed Faghfoury:
Non, je voulais juste rebondir là-dessus. Nous le voyons à un niveau personnel évidemment avec les deep fakes et le phishing qui deviennent de plus en plus sophistiqués. J'imagine que ce que vous dites, Mark, c'est qu'en fin de compte, les entreprises remarquent la même chose, non ? Ce que nous voyons en termes d'emails ou d'appels téléphoniques frauduleux qui viennent, de personnes mal intentionnées. Je suppose que c'est le même type de sophistication que les organisations voient de leur côté.
Mark Zuzarte:
Oui, bien sûr, et disons, vous avez mentionné les emails de phishing, quand vous recevez un e-mail de phishing, une des choses que vous feriez est de lire cet email de phishing et de vous dire, il y a des fautes d'orthographe, ce n'est pas bien formulé, cela ne semble pas être adapté à mon organisation. Par exemple, il pourrait mentionner un produit ou une fonctionnalité que vous ne faites pas ou ne gérez pas, n'est-ce pas ? Donc, ce serait un indicateur disant, que cela ne semble pas légitime, mais maintenant avec l'IA ayant cette intelligence, vous êtes capable d'avoir un email en anglais correctement rédigé et parfait qui a du contexte sur vous et votre organisation. Donc, tous ces petits indices qui vous indiquaient que ce n'était pas légitime, ils ont tous disparu et c'était traditionnellement ce que nous utilisions pour recommander aux organisations de s'assurer d'inclure dans leur programme de formation la capacité de détecter certains de ces problèmes, mais, le monde a changé.
Julie Bilodeau:
Y a-t-il des outils d'IA pour aider avec ces nouveaux indices que peut-être nous, en tant qu'humains, ne pouvons plus voir parce que c'est tellement bien fait ?
Mark Zuzarte:
D'accord. Donc, je dirais que peut-être... La réponse courte est oui, il y a de nouveaux outils et capacités, mais nous sommes vraiment au stade de la diffusion progressive en ce moment. Donc, généralement, lorsque ces nouveaux outils ou capacités sont publiés, ils sont accessibles seulement au niveau le plus haut de l'entreprise. Ils ont tendance à être assez chers et les organisations, à mesure que l'adoption augmente et que les coûts diminuent...
Mark Zuzarte:
D'autres organisations peuvent l'adopter. Donc en ce moment, nous sommes dans cette phase de diffusion où beaucoup d'outils et de capacités, principalement autour du phishing et de l'ingénierie sociale, sont encore, ils sont encore au niveau de la direction, mais ils commencent à exister et l'IA commence à être utilisée pour combattre l'IA. Mais je dirais que beaucoup d'organisations qui sont préoccupées par l'IA et, préoccupées par ce nouveau, ce que nous appelons le nouveau paysage des menaces, elles devraient vraiment regarder les investissements qu'elles ont déjà réalisés. Beaucoup d'entre elles ont, comme nous trois, nous avons tous fait des investissements consciemment ou non, dans des capacités de sécurité. Tandis que le monde change, est-ce vraiment logique de continuer à utiliser les mêmes capacités, ou devrions-nous réévaluer ce que nous faisons pour nous assurer que nous faisons toujours la bonne chose pour nous assurer que nous sommes protégés ? Il faut effectuer cette réévaluation et s'assurer que tout est aligné, s'assurer que les bonnes cases sont cochées de façon à refléter le monde aujourd'hui est vraiment important.
Julie Bilodeau:
Je veux mentionner quelque chose que je fais moi-même, bien que je ne sache pas, Mark, si cela compte pour vous, mais s'il y a un numéro de téléphone que je ne reconnais pas, qui m'appelle, je ne décroche même plus. Il y a tellement de choses auxquelles je ne fais personnellement pas confiance parce que je ne sais pas, et je ne sais pas s'il y a quelqu'un d'autre dans l'audience qui fait la même chose, je suppose que c'est une réaction extrême en ayant une tolérance zéro, mais selon moi, s'ils me connaissent et que je n'ai tout simplement pas leur numéro déjà enregistré dans mon téléphone, ils peuvent me laisser un message vocal. Au final, c'est comme ça que je vérifie si quelqu'un essaie de me joindre, si une mauvaise personne essaie de m'attaquer.
Mark Zuzarte:
Je ne sais pas si... Je fais la même chose.
Julie Bilodeau:
Les entreprises ne peuvent pas faire ça, mais peut-être que vous pouvez donner... Un aperçu d'une étude de cas ou d'un autre client avec lequel vous avez travaillé dans ce genre de contexte.
Mark Zuzarte:
Oui, bien sûr. Donc, je suis sûr que nous avons entendu parler de la compromission de courrier électronique d'entreprise ou fraude par virement bancaire. Donc, un attaquant s'impliquerait dans le fil de discussion par courriel ou appellerait quelqu'un et dirait, « Je suis le patron de cette organisation. J'ai besoin que vous me fassiez un virement de 100 000 $ », et ce que nous formions, ou ce que l'industrie faisait, c'était de dire aux gens, cherchez les indicateurs, cherchez les signes qui montrent qu'il ne s'agit pas vraiment de cette personne. La signature n'est pas correcte. Quelque chose ne va pas, le ton, des indices comme ça. Eh bien, cela a changé maintenant avec l'IA, n'est-ce pas ? Vous pouvez réellement avoir un outil d'IA générer une conversation et la mettre en œuvre avec quelqu'un de manière... Nous avons vu des deep fakes. Nous avons vu, ils ont l'air vraiment convaincants. Il y en a beaucoup sur YouTube. Donc maintenant ce que nous disons, ce que nous recommandons aux clients, c'est d'avoir un processus de vérification. Assurez-vous que vous recevez cet appel, plutôt que de faire automatiquement ce que cette personne vous dit, vérifiez avec quelqu'un d'autre. Suivez un processus standard pour vous assurer que les bons contrôles et équilibres sont en place. Donc, même si légitimement cela pourrait être le PDG ou le propriétaire de cette organisation, mais les bons contrôles doivent être mis en place pour s'assurer que ce genre de fraude soit déjoué.
Hamed Faghfoury:
Avant de répondre à la question de Jenny, quelque chose m'est venue à l'esprit, évidemment, cela semble presque être un exercice décourageant de suivre avec le rythme de l'IA, par exemple, en termes de la menace que cela pose. Nous voyons maintenant apparaître des modèles open source. Nous voyons une progression de l'accès qui peut être utilisé par les bonnes et les mauvaises personnes en termes de renforcer leur capacité à utiliser l'IA. Comment suggéreriez-vous que les dirigeants réfléchissent à la manière dont ils se préparent pour la prochaine vague de menaces liées à l'IA et autres menaces similaires ?
Mark Zuzarte:
Oui, bien sûr. Nous pouvons élargir le concept de l'IA et simplement penser à la sécurité, au paysage des menaces en général. Le monde évolue et change constamment. De nouvelles menaces de cybersécurité apparaissent chaque jour. Ce que nous recommandons généralement aux organisations, aux PDG, aux dirigeants, c'est d'adopter une approche axée vers l'avenir. Donc, plutôt que de protéger leur organisation contre ce qui il y a aujourd'hui ou dans le passé, pensez à développer des capacités résilientes aux menaces futures en ne se concentrant pas sur la menace réelle, mais en construisant une capacité de sécurité résiliente. Donc, ce que cela inclut, c'est avoir de la classification des données, faire de la gestion des risques, avoir une gestion des risques robuste et un programme de classification des données, faire des tests de sécurité, s'assurer que ces tests sont effectués de manière constante ou continue pour s'assurer que les menaces qui existent réellement dans le monde d'aujourd'hui sont prises en compte et que votre organisation est évaluée en fonction de ces menaces. Avoir une capacité de réponse et de surveillance, s'assurer que si un attaquant cible votre organisation, qu'il y ait quelque chose en place pour au moins indiquer qu'un événement se produit afin qu'une sorte de réaction ou une sorte de remédiation puisse avoir lieu. Donc, anticiper l'avenir et avoir une approche agnostique est vraiment important.
Julie Bilodeau:
Je pense qu'il est temps pour Jenny de donner son avis parce que...
Hamed Faghfoury:
Oui. Jenny est impatiente.
Hamed Faghfoury:
Elle écoute.
Julie Bilodeau:
Nous ne vous avons pas dit, Mark.
Hamed Faghfoury:
Je vais lire ceci de la part de Jenny. Jenny a consulté votre profil, a fouillé votre LinkedIn, a fait ses recherches, et elle a dit, « C'est clair pour moi, Mark, qu'à BDO Canada, vous aidez les clients à naviguer les défis de sécurité de l'IA », et je pense que vous avez un peu couvert ce sujet. Sa question est... Pouvez-vous partager un exemple concret ? Vous n'avez pas besoin de nommer des noms, évidemment, des clients, mais je suppose qu'elle cherche un exemple concret de la manière dont l'IA, de manière réelle, a aidé à renforcer les défenses de quelqu'un avec qui nous travaillons.
Mark Zuzarte :
Donc, nous avons un client qui a mis en œuvre, ils veulent mettre en œuvre un chatbot IA, et leur organisation était vraiment axée sur le fait que les clients puissent trier les clients afin qu'ils aient à parler à moins de personnes réelles, ce qui réduirait les coûts car il y a moins de personnes répondant aux téléphones ou répondant aux messages, et ils pensaient que la plupart de leurs clients pourraient être servis par ce chatbot IA. Ce chatbot IA aurait une intégration dans leur organisation via une application web personnalisée, mais ils veulent s'assurer que les bons contrôles et les bons équilibres étaient en place et que l'intégration était faite en toute sécurité. Donc, ce que mon groupe a fait dans notre équipe de sécurité des applications, c'est que nous avons vraiment aidé à intégrer certaines des capacités de test de sécurité dans leur pipeline de développement et construit certains des contrôles d'accès en place. Donc, ce chatbot IA a suivi ce que nous appelons la règle du moindre privilège, de sorte que seule la quantité minimale d'accès dont ce chatbot IA avait besoin pour faire son travail lui a été attribuée, et l'intégration de ce chatbot dans l'application web réelle était aussi sécurisée que possible selon les normes d'aujourd'hui, ce qui était assez sécurisé. Nous avons suivi un processus de test assez rigoureux. En plus de cela, remarquez que j'ai mentionné les normes d'aujourd'hui. Nous allons faire des tests itératifs presque constants à mesure que cette organisation apporte des modifications à l'application, met à jour des modules ou intègre de nouveaux modèles d'IA pour s'assurer que cette application reste sécurisée, les bons accès continuent d'être accordés, et nous avons les bonnes capacités en place.
Hamed Faghfoury:
Eh bien, il semble qu'ils sont prêts pour l'avenir.
Julie Bilodeau:
Je suis tellement soulagée, Mark, que vous et votre groupe et notre pratique chez BDO soyez là pour aider les entreprises, et la question que je veux vous poser ensuite, si il y a un leader d'entreprise en ce moment ou un propriétaire d'entreprise écoutant ce podcast, quels conseils avez-vous pour eux pour avancer dans ce domaine s'ils en sont vraiment à leurs débuts en matière de cybersécurité ou même de sécurité des données à ce stade ?
Mark Zuzarte:
Oui, eh bien, je suis plus que ravi de leur parler. Je dirais qu'il faut vraiment rester à jour, rester à jour dans l'industrie, comprendre comment leur organisation s'intègre et ce qui est important pour eux, comprendre quel est le niveau de gravité des données, et s'assurer qu'ils ont les bonnes tolérances au risque et que la capacité de prise de risque est bien comprise et communiqué au sein de leur organisation, je pense que c'est vraiment important. Toutes les autres décisions découlent ou sont influencées par ces décisions clés, qui, ne sont même pas vraiment, il n'y a rien de technique à ce sujet, rien qui doit réellement être, construit ou calculé. C'est une compréhension entre les dirigeants que c'est là où nous en sommes dans le monde d'aujourd'hui.
Julie Bilodeau:
Oui. Génial. Je pense que nous devons conclure pour aujourd'hui. Nous pourrions probablement continuer toute la journée sur ce sujet.
Mark Zuzarte:
Oui, nous pourrions, et je suis sûr que je pourrais en parler toute la journée.
Julie Bilodeau:
Exactement. C'est ce que vous faites tous les jours, donc je suis sûre que ce ne serait pas difficile.
Mark Zuzarte:
C'est passionnant.
Julie Bilodeau:
Merci beaucoup de nous avoir rejoints, Mark. Merci à ceux d'entre vous dans l'audience de nous avoir rejoints et de vous être connectés aujourd'hui sur notre « BDO Digital Digest ».
Rejoignez-nous la prochaine fois tandis que nous continuons à explorer l'avenir de la technologie et comment elle nous impacte au quotidien. D'ici là, soyez curieux, soyez innovants, et allez au-delà des possibles. Merci encore.