« Or noir de ce siècle
[1]
», la donnée est la nouvelle énergie de l’économie mondiale. La collecte et l’exploitation de la donnée constituent désormais le levier de croissance de l’ensemble des acteurs économiques. À ce stade, deux constats contradictoires s’imposent. La « datafication » de l’économie s’est fortement accélérée au cours de la dernière décennie (2008-2018) avec le déploiement de nouvelles technologies (smartphone, API, blockchain, IA, cloud en mode SaaS, etc.), générant un océan de données à l’échelle mondiale, le Big Data, dont les experts s’accordent à dire qu’il est largement sous-exploité. On peut se demander quelle est aujourd’hui la proportion des données exploitées/inexploitées dans le monde ? Curieusement, aucune étude d’ampleur ne semble établir avec précision cette proportion. Le Big Data serait décidément trop grand, trop vaste, trop profond… pour être modélisé.
Cet océan, qui regorge dans ses profondeurs de « nappes » de données inexploitées ou sous-exploitées, présente cependant d’importants gisements en surface, au premier rang duquel figure l’industrie bancaire et financière. Secteur économique le plus régulé au monde, les banques fondent leurs activités sur la collecte des données. Ces données recouvrent une variété très large allant de la microdonnée aux données agrégées, en passant par les métadonnées. Sur le cas des données personnelles en particulier, rappelons que la définition est extrêmement large : il s’agit de toute donnée concernant une personne identifiable directement ou indirectement (ex : nom, numéro de téléphone, date de naissance, empreinte digitale, plaque minéralogique, etc.). En outre, l’explosion des usages de connexion sur les mobiles a augmenté de manière exponentielle les volumes de données, de tous formats (chiffres, textes, images, bandes audio, géolocalisations etc.) et de tous types (structurées et non structurées) collectés par les établissements bancaires. Parmi ces données se trouvent les données de fonctionnement des comptes qui seraient encore sous-exploitées et les données d’interactions avec les clients (applications mobiles, courriels, etc.). La récente étude de l’ACPR relative à « la révolution numérique dans le secteur bancaire français »
[2]
souligne que « certains groupes bancaires s’affirment ouverts à l’exploitation de données externes (open data) comme les données socio-économiques, les données de conjoncture ou encore les données issues des réseaux sociaux français ». Compte tenu de cette richesse des données existantes et disponibles, les établissements bancaires ont identifié de nombreuses opportunités d’usage du Big Data pour le marketing, la lutte contre la fraude ou encore la gestion des risques (pour le suivi des populations précaires par exemple).
Les banques traitent donc d’importantes masses de données à caractère personnel, allant des données de paiement (relevé de comptes), aux données liées à leurs obligations de connaissance-client (KYC) et de lutte antiblanchiment (LAB/FT). La donnée est un matériau cardinal de l’activité bancaire, au cœur du déploiement de ses services et de la gestion des risques. L’exploitation de ces données reste toutefois difficile du fait de leur dispersion dans les organisations et d’un manque d’homogénéité dans leur présentation.
Parallèlement à l’accélération technologique de la dernière décennie, les répercussions de la crise financière de 2008 ont conduit aux accords de réglementation bancaire du 16 décembre 2010 par le Comité de Bâle, plus communément appelés Accords de Bâle III. Ces accords marquent un tournant important en matière d’obligation de surveillance et de vigilance des banques sur leurs activités, de manière à détecter et contrecarrer l’émergence de risques systémiques. C’est dans ce contexte de renforcement du contrôle prudentiel qu’a été publiée la norme BCBS239 du Comité
[3]
en janvier 2013, applicables depuis le 1er janvier 2016 à toutes les banques d'importance mondiale. L'objectif général de la norme est de renforcer dans les banques les capacités d'agrégation de données, des risques et des pratiques internes de notification des risques, afin d’améliorer la gestion de ces derniers et les processus de décision les concernant. La norme BCBS 239 est basée sur quatorze principes, les onze premiers de ces principes concernent les banques, alors que les trois derniers concernent les autorités de contrôle. Cet ensemble de principes vise à permettre aux banques d’améliorer leurs capacités de production de reportings et de rendre ces reportings réglementaires plus fiables. Le Comité de Bâle estime que les banques doivent effectuer davantage de reporting de risques et améliorer la qualité des informations présentées. Le deuxième principe relatif à « l’architecture de données et infrastructure informatique » retient notamment l’attention : « Toute banque devrait concevoir, mettre en place et gérer une architecture de données et une infrastructure informatique soutenant pleinement ses capacités d’agrégation des données de risque et ses pratiques de notification en la matière, non seulement en situation normale mais aussi en période de tensions ou de crise, sans manquer aux autres Principes
[4]
». L’industrie bancaire et financière doit donc rechercher de nouveaux outils technologiques permettant de déterminer leur exposition aux risques financiers et de gérer ces risques. Au même moment, les développements des technologies liées à l’intelligence artificielle (ci-après l’IA), notamment du machine learning, ont révélé de nouvelles potentialités de traitements en masse des données. La conjonction de ces impératifs normatifs et de l’accélération technologique a naturellement fait converger l’ensemble du secteur bancaire vers l’IA, une IA orientée métiers.
L’IA recouvre au sens large des techniques algorithmiques. Dans son rapport de décembre 2018 consacré aux enjeux de l’IA dans le secteur financier, l’ACPR définit l’IA comme « l’ensemble des technologies tendant à imiter le fonctionnement humain de manière autonome
[5]
». Plus explicitement, il s’agit de « l’ensemble des techniques et des applications qui permettent de créer une machine capable d’imiter de manière autonome, l’intelligence humaine
[6]
». Dans son rapport sur l’IA publié en mars 2018
[7]
, Cédric Villani élargit la définition à un « champ interdisciplinaire théorique et pratique qui a pour objet la compréhension de mécanismes de la cognition et de la réflexion, et leur imitation par un dispositif matériel et logiciel, à des fins d’assistance ou de substitution à des activités humaines
[8]
». Selon le vocabulaire de l’informatique, l’IA est la « discipline relative au traitement par l'informatique des connaissances et du raisonnement
[9]
».
Aujourd’hui, les progrès techniques de l’IA concernent principalement le domaine du machine learning, c’est-à-dire « l’ensemble des algorithmes qui permettent d’apprendre en identifiant des relations entre des données et de produire des modèles prédictifs de manière autonome
[10]
». Il s’agit d’algorithmes auto-apprenants (algorithmes d’apprentissage automatique), dont le paramétrage dépend de l’expérience acquise par l’algorithme. Le deep learning, ou apprentissage profond, est un « domaine particulier du machine learning dont les algorithmes sont particulièrement efficaces dans le traitement des données complexes et non structurées comme les images ou la voix »
[11]
.
Pour garantir leur conformité à leurs obligations KYC, certains groupes bancaires ont ainsi fait appel à des solutions de traitement des documents-clients intégrant des traitements IA en deep learning et d’OCRisation des images
[12]
. L’IA permet un traitement de ces documents par un repérage des zones de texte, de logo et une classification des documents. Mais l’attrait de ces solutions repose surtout sur leur forte scalabilité, c’est-à-dire leur capacité de s'adapter à un changement d'ordre de grandeur en maintenant leurs fonctionnalités et leurs performances, notamment en cas de forte demande. Dans son rapport de mars 2018 sur « la révolution numérique dans le secteur bancaire français », l’ACPR mettait en exergue trois domaines d’application des « algorithmes innovants » dans le cadre de l’activité bancaire : les traitements administratifs, l’analyse et les règles de gestion opérationnelle (recommandations adressées au client, analyse marketing, politique de gestion du risque, conformité et lutte contre la fraude, gestion d’actifs, etc.) et l’interaction humaine avec les agents conversationnels (les « chatbots »
[13]
). Les outils de l’IA permettent d’analyser et de structurer ces données en bases de données cohérentes et exploitables, prérequis indispensables pour assurer la transformation digitale des produits et services bancaires et financiers.
Si l’IA est désormais intégrée dans les processus métiers des banques, cette transformation digitale, génératrice de valeurs pour les établissements, s’accompagne d’une montée du risque systémique. Un tel risque se traduit concrètement par la dépendance des banques aux solutions technologiques proposées par des opérateurs d’envergure internationale tels que les services de cloud intégrant de l’intelligence artificielle. L’ACPR nomme expressément ces acteurs en position hégémonique, ces fournisseurs de cloud susceptibles « d’accentuer de ce fait l’enjeu de dépendance stratégique et technologique
[14]
» : AWS (« Amazon Web Services »), « leader sans conteste du marché » avec 40 % de parts de marché dans le monde, et les challengers, Microsoft (avec Microsoft Azure), IBM (avec Blue Cloud ou Bluemix) et Google (Google Cloud Platform).
La dépendance stratégique du secteur bancaire français présente un risque de voir une sophistication croissante des algorithmes d’IA rendant impossible leur reproduction et leur explicabilité par d’autres acteurs. L’ACPR pointe ainsi le retard technologique qui « pourrait inciter les établissements financiers français à adopter des solutions étrangères », nonobstant les problématiques de souveraineté liées au contrôle des plates-formes, des technologies et des données
[15]
.
Paradoxalement, alors que le recours aux technologies de l’IA est encouragé par les régulateurs – en ce qu’elles permettent d’assurer le respect des obligations de conformité sur un secteur parmi les plus régulés au monde –, l’IA présente un risque cyber sur les systèmes d’information (SI) des établissements bancaires. La montée en puissance de ce risque est acquise depuis quelques années avec les attaques informatiques Wannacry (mai 2017) et NotPetya (juin 2017), ce dernier ayant conduit à une paralysie du système bancaire ukrainien. Parallèlement, l’ANSSI soulève la perspective d’un « Pearl Harbor numérique », scénario dans lequel un virus informatique, à la force décuplée par l’IA, sèmerait le chaos et la destruction. Cette perspective est renforcée aujourd’hui par le développement fulgurant des technologies d’IA, notamment par les entreprises chinoises qui ont pris une longueur d’avance sur les recherches occidentales. Le gouvernement chinois ambitionne, en effet, de devenir le leader mondial de l’IA d’ici à 2030. La mauvaise utilisation d'une IA forte peut augmenter le risque de cyberattaques, si des hackers mal intentionnés utilisent cette IA pour attaquer.
La maîtrise du risque opérationnel est définie depuis 2003 par le Comité de Bâle sur le contrôle bancaire
[16]
, à travers une définition large recouvrant tout « risque de perte résultant d’une inadéquation ou d’une défaillance des processus, du personnel et des systèmes, ou d’événements externes ». Cette définition a été reprise dans les différents cadres législatifs et réglementaires, notamment les directives européennes encadrant l’activité bancaire
[17]
et par la réglementation bancaire française
[18]
. Étonnamment, ces textes ne visent pas expressément le risque informatique que constitue une cyberattaque menée par des technologies d’IA. Les autorités normatives considéraient initialement que les outils technologiques et le SI dans son ensemble étaient des éléments au service de l’activité des établissements. Une défaillance informatique n’est principalement perçue que par sa conséquence sur le métier. Toutefois, si ce risque est classé par les régulateurs parmi les risques opérationnels, des éléments de définition et de traitement du risque informatique ne sont pour l’heure pas encore formulés. Les établissements sont donc laissés libres de les formuler et doivent justifier qu’ils traitent toutes les dimensions informatiques, en ce compris les attaques liées à l’IA, en accord avec les dispositions applicables au risque opérationnel.
Toute la problématique de IA en matière de sécurité des SI du secteur bancaire réside, dans un premier temps, dans l’absence d’une définition englobante et d’une catégorisation du « risque lié à l’Intelligence Artificielle » au niveau sectoriel, une IA utilisée dans « les attaques » ou « au service du glaive » (I). Parallèlement, la sécurité fondée sur les algorithmes d’apprentissage pourrait neutraliser des cyberattaques inconnues menées précisément par des technologiques IA, une IA « de défense » ou « au service du bouclier » (II), qui conduit certains experts à qualifier l’IA d’« avenir de la cybersécurité
[19]
».
I. L’IA au service du glaive
Le « risque IA » ne fait pas l’objet d’un ancrage dans le risque opérationnel. En l’état, le risque opérationnel reste décrit selon une catégorisation indicative en sept classes, dont « aucune individuellement, non plusieurs réunies, ne correspondent aux différentes dimensions du risque informatique
[20]
» selon l’ACPR
[21]
. Il est donc nécessaire que les établissements bancaires définissent le « risque IA », en lien avec la direction des risques et le Responsable de la sécurité des systèmes d'information (RSSI). On étudiera successivement les menaces basées sur l’IA sur la sécurité des SI (1.) et les actions de l’IA sur les risques déjà existants (2.).
1. Les menaces IA sur la sécurité des SI
1.1. Les piratages automatiques sophistiqués
Dans un rapport publié en février 2018
[22]
, vingt-six experts internationaux, issus de Cambridge, Oxford, Yale, Stanford, ou encore d'Open AI, l'association d'Elon Musk, alertent sur les risques d'une utilisation malveillante de cette technologie d'avenir par « des États voyous, des criminels et des terroristes ». Le rapport caractérise trois types de menaces liées au risque IA : le risque d’une expansion des menaces déjà existantes, l’introduction de nouvelles menaces et un changement des caractéristiques des menaces. Il fonde ensuite son analyse des impacts malveillants de l’IA en distinguant trois domaines spécifiques de sécurité : sécurité numérique, « physique » s’agissant des attaques par des armes ou des objets connectés détournés et « politique », en matière de surveillance dans les États autoritaires notamment. Sur la sécurité numérique en particulier, les experts ont identifié des menaces IA pesant sur les SI :
– des attaques automatiques fondées sur l’ingénierie sociale de type spear phishing
[23]
;
– des piratages automatiques plus sophistiqués ;
– la découverte automatique de nouvelles vulnérabilités sur les SI – des modèles « historiques » de vulnérabilités de code sont utilisés pour accélérer la découverte de nouvelles vulnérabilités et la création de nouveaux codes permettant de les exploiter – ;
– des attaques DDoS « d’apparence humaine » ;
– des fonctions automatiques permettant aux cybercriminels de maquiller leur attaque, par exemple lors des processus de paiement ou d’un ransomware[23 bis] ;
– des ciblages prioritaires lors des attaques grâce au machine learning ;
– le détournement de l’IA utilisée pour la sécurité de l’information sur les applications clients, notamment l’utilisation de données infectées.
Les piratages automatiques consistent à utiliser l’IA, soit de manière autonome, soit de concert avec des humains, pour améliorer la sélection des cibles et la priorisation des attaques, éviter les détections et répondre aux changements de comportement de la cible. Les experts précisent que les logiciels autonomes sont capables d’exploiter les vulnérabilités d’un SI plus longtemps et que « des outils de piratages à l’IA beaucoup plus sophistiqués pourront beaucoup mieux démontrer leur performance comparativement aux technologies “historiques” et aux humains
[24]
».
1.2. L'amplification des attaques par l’inter-connectivité des machines autonomes
Dans une étude de 2018, le groupe d'assurance Allianz passe en revue les différents risques susceptibles d’émerger avec le développement de l'IA
[25]
. Il relève que l'ampleur des attaques informatiques à l’IA sera amplifiée par l’inter-connectivité des machines automatiques employées par les organisations, dans l’hypothèse d’une utilisation massive de process IA par ces dernières. La vulnérabilité des machines autonomes aux bugs et aux cyberattaques ne fera donc qu'augmenter mécaniquement. Si une infrastructure informatique ou électrique est touchée par une cyberattaque, d'autres équipements qui y sont connectés pourront aussi être atteints. Par ailleurs, les IA ayant la capacité d'apprendre entre elles avec le machine learning, une erreur de programmation ou une attaque d'un hacker pourrait être répliquée sur de nombreuses machines. Ainsi, une machine infectée pourra alors « répéter la même erreur plusieurs fois, ce qui provoquera une accumulation de pertes inattendue et une difficulté à identifier la source du problème ».
1.3. L’altération du fonctionnement des algorithmes de l’IA
De nouvelles attaques faisant appel aux techniques de « flooding » (inondation) visent désormais à biaiser les résultats de l’algorithme d’IA par l’introduction de données falsifiées (les données infectées ou « data poisoning attacks ») dans les modèles. Le flooding est une action malveillante consistant à envoyer une grande quantité de données inutiles dans un réseau afin de le rendre inutilisable, par exemple en saturant sa bande passante ou en provoquant le « plantage » des machines du réseau, le déni de service étant la conséquence possible. Ces attaques peuvent désormais être générées automatiquement par des solutions de machine learning capables de traiter de grands volumes de données et d’envoyer un grand nombre de requêtes vers des serveurs cibles.
1.4. Les attaques « adversarials » : l’art et la science de tromper les IA
D’autres attaques ciblées apparaissent, comme les attaques « adversarials », qui par une petite altération d’une image induisent en erreur un algorithme de reconnaissance de forme. Les attaques « adverses » (« contradictoire » en anglais) consistent à tromper les outils de traitements fonctionnant à l’IA. Les réseaux de neurones profonds (« Deep Neural Networks » – DNN) sont les modèles d’apprentissage les plus performants et sont utilisés dans de nombreux environnements critiques tels que le credit scoring ou la détection de transactions financières frauduleuses. Cependant, ces modèles DNN peuvent être facilement dupé par différents types d’attaques « adverses », sous la forme d’algorithmes d’attaque ou d’attaques physiques. S’agissant des algorithmes d’attaque en particulier, l’attaque va consister à perturber un pixel sur une image ou lancer des malwares suffisamment entraînés pour accéder à des sites sensibles en trompant les « Captcha »
[26]
. L’attaquant peut passer sous les radars d’une IA s’il laisse derrière lui les « bonnes » traces informatiques. Les algorithmes d’apprentissage de la collecte de données sont notamment exposés au risque d’empoisonnement des données, sous forme d’une attaque dans laquelle une fraction des données d’apprentissage est contrôlée par l’attaquant et manipulée de manière à subvertir le processus d’apprentissage.
Dans le secteur bancaire, des systèmes d’authentification biométrique peuvent être manipulés pour permettre un accès inapproprié, via des solutions telles que Talk To Pay (reconnaissance vocale)
[27]
ou de reconnaissance faciale, permettant respectivement d’effectuer des virements frauduleux ou d’ouvrir un compte bancaire. Par conséquent, les banques doivent avoir la certitude que les DNN fonctionnent correctement et sont robustes contre les attaques éventuelles et doivent définir des métriques d’utilité permettant de mesurer la vulnérabilité des DNN.
Certaines réglementations européennes pourraient cependant inspirer l’ACPR en matière de sécurité des technologies IA déployées sur les outils métiers du secteur bancaire. En Allemagne, le dispositif de reconnaissance faciale est homologué par l’Office fédéral de surveillance des prestations financières (BaFin) depuis 2014. Outre-Rhin, la circulaire 3/2017 (GW) du 10 avril 2017 imposent aux prestataires et aux banques des obligations renforcées sur les dispositifs de reconnaissance faciale mis en œuvre. Toutefois, cette entrée en relation à distance a été battue en brèche par des experts en sécurité, démontrant la faillibilité du système. En Suisse, la circulaire 2016/7 du 3 mars 2016 sur l’identification par vidéo et en ligne de l’Autorité fédérale de surveillance des marchés financiers suisse (FINMA) fait obligation à l’intermédiaire financier d’utiliser des « supports techniques appropriés qui garantissent une transmission sûre des données, de leur lecture ainsi que le déchiffrage de la zone lisible par machine (Machine Readable Zone – MRZ) sur le document d’identification ».
2. Actions de l’IA sur les risques existants
2.1. Accroissement de la dangerosité des cybercriminels
L’étude d’Allianz et le rapport de l’ACPR précités concluent conjointement que l’utilisation de l’IA pourrait rendre plus accessible et moins chère la cybercriminalité. L'utilisation de l'IA pour automatiser les tâches nécessaires à une cyberattaque modifiera le compromis existant entre l'ampleur et l'efficacité des attaques. Les hackers pourront développer leurs outils beaucoup plus rapidement grâce à l’IA. Selon l’étude de Allianz : « L’IA pourrait faciliter des incidents plus graves en abaissant le coût des nouveaux outils et des nouvelles armes qui permettraient de lancer des attaques. »
Selon l’ACPR, l’usage du machine learning pourrait ensuite permettre de « craquer » des mots de passe à partir des archives de mots de passe précédents. Enfin, le régulateur souligne que les cyberattaques pourraient être personnalisées, ce qui les rendraient plus efficaces (phishing personnalisé, utilisation de chatbots ou de technologies d’imitation de voix pour extraire des informations confidentielles).
2.2. Développement des points d’attaques potentielles
En matière de cybersécurité, le développement de l’intelligence artificielle accentue les failles déjà préexistantes dans les SI. Selon le rapport de l’ACPR sur l’IA
[28]
, ces algorithmes augmentent les points d’attaques potentielles sur les failles préexistantes des SI. Les auteurs relèvent que l’utilisation de l’intelligence artificielle permet d’automatiser des tâches répétitives, mais son déploiement repose sur une augmentation du volume d’interconnections informatiques. Cette automatisation décuple donc le nombre de failles potentielles exploitables par des cybercriminels.
Ensuite, le recours systématique au cloud pour assurer les besoins des outils à l’IA multiplie mécaniquement les points d’entrée possibles pour un cybercriminel, bien que les prestataires technologiques déclarent assurer un niveau de sécurité très élevé
[29]
, souvent aligné sur les standards de la norme ISO 27 001
[30]
. Par exemple, le déploiement de solutions SaaS implique des interactions régulières entre l’acteur financier et le fournisseur de services, qui peuvent ainsi faire naître de nouvelles failles exploitables par les cybercriminels.
2.3. Augmentation du risque systémique
Les attaques à l’IA augmentent le risque systémique sur le secteur bancaire. Lorsque sur un marché donné toutes les entreprises sont dépendantes des mêmes algorithmes, cela rend l’attaque encore plus massive et destructrice en cas de défaillance. La dépendance des établissements bancaires aux solutions du marché doit impliquer une réflexion autour de la résilience face à ce type de choc
[31]
. Le SI doit être en mesure de résister à une panne ou à une attaque de grande ampleur et à revenir à son état d’origine.
Parce que les hackers utilisent l’IA pour adapter leurs attaques aux outils de cyberdéfense existants et pouvoir ainsi contourner les algorithmes de sécurité, cette utilisation malveillante de l’IA oblige aujourd’hui la cybersécurité à changer totalement de paradigme.
Face à la vitesse de propagation des attaques à l’IA et au rythme effréné de création de nouveaux malwares, l’IA « défensive » est désormais « l’avenir de la cybersécurité
[32]
».
II. L’IA au service du bouclier
Confrontée désormais aux cyberattaques à l’IA, la cybersécurité doit se réinventer. La difficulté de l’entreprise réside dans le changement de paradigme sur lequel repose la cybersécurité. A l’heure actuelle, les éditeurs d’antivirus ne peuvent formellement identifier une cybermenace qu’une fois qu’elle a déjà infecté avec succès plusieurs entités et s’est répandue en masse dans le SI. Grâce à sa capacité de traitement de grands volumes de données, son aptitude d’analyse et sa faculté d’anticipation, l'IA s'invite dans le domaine de la cybersécurité
[33]
. En effet, ses algorithmes d'apprentissage automatique se révèlent être des atouts très efficaces dans la lutte contre les cybermenaces. Ce changement de paradigme s’est traduit récemment par une résolution du Parlement européen en date du 12 février 2019 sur une politique industrielle européenne globale sur l’IA et la robotique
[34]
, en mettant en évidence que l’IA est l’outil principal de lutte contre les attaques informatiques.
Il s’agira d’analyser dans un premier temps, les avantages que présente l’IA dans le domaine de la sécurité de l’information (1.) et dans un second temps, les méthodes et solutions apportées par l’IA (2.).
1. Avantages de l’Intelligence artificielle en matière de sécurité
1.1. Efficacité de l’apprentissage automatique
L’intégration d’algorithmes d’apprentissage grâce à l’IA pourrait marquer un tournant majeur pour la cybersécurité. En effet, tout système d’IA en matière de sécurité des SI se fondera sur la capacité d’apprentissage des comportements des individus. Ces algorithmes « dopés » à l’IA peuvent être en mesure, grâce à la quantité astronomique de données qu’ils sont capables de traiter en un minimum de temps, d’identifier plus rapidement et plus précisément des cyberattaques, des anomalies ou des risques de failles, y compris lorsque ces dernières n’ont pas encore été révélées au sein de la communauté informatique. Dans le livre blanc publié par la société de sécurité informatique ITrust, les auteurs relèvent qu’un antivirus est capable de détecter des virus connus et figurant dans une base de données composée de différents codes malveillants (malwares) connus. Mais avec l’IA, « le système cherchera à détecter les anomalies au lieu de rechercher une activité malveillante déjà répertorié
[35]
». La capacité des systèmes d’IA à apprendre des comportements normaux leur permet de détecter de nouveaux codes malveillants ou encore inconnus. Les centres de sécurité informatique qui intègrent des solutions basées sur l’IA seront capables de repérer des anomalies ou encore de signaler des menaces potentielles lorsque le trafic et les données s’écartent d’une norme standardisée.
1.2. L’IA pour combattre le spear phishing
Le courrier électronique est l’un des premiers vecteurs d’attaque exploités par les hackers, il repose sur un protocole qui respecte sa spécification initiale et embarque très peu de sécurité. Pour rappel, le phishing est une technique de piratage qui consiste à envoyer des messages conçus pour inciter un utilisateur à ouvrir une pièce jointe malveillante ou à suivre un lien vers un site Web malveillant. Dans sa forme générique, le phishing implique une distribution massive, tel un « lancer de filet » gigantesque. En effet, les campagnes de phishing ne visent pas une personne en particulier, mais des centaines, voire des milliers de destinataires. A contrario, le spear phishing est une attaque très ciblée, qui ne vise qu’une seule personne ou un seul service au sein d’une organisation
[36]
. Le ciblage prioritaire est l’un des critères retenus par les experts internationaux pour qualifier les attaques générées par le machine learning
[37]
. Ce type d’attaque prend souvent la forme d’une stratégie de type Business Email Compromise, qui consiste pour les cybercriminels à se faire passer pour un membre de la direction afin de demander des virements bancaires (vers des sociétés frauduleuses par exemple localisé hors-UE), de réaliser des fraudes au dépôt direct ou encore de modifier des informations bancaires. Ce procédé, connu sous l’expression d’« arnaque au Président »
[38]
, reposant sur de l’ingénierie sociale. D’après l’éditeur Kaspersky, « les cibles les plus courantes du spear phishing sont soit des employés de haut niveau qui ont accès à des informations potentiellement intéressantes, soit les employés de départements dont le travail consiste à ouvrir un grand nombre de documents provenant de sources externes
[39]
», tel que le service-client ou les ressources humaines de l’établissement bancaire. Une fois cette première machine contaminée, l’attaquant en prend le contrôle pour manœuvrer au sein du SI de l’organisation constituant la véritable cible (on parle ici « d’infiltration »).
Se défendre contre ce type d’attaque représente un véritable défi pour les organisations, car la plupart des filtres de messagerie n’arrivent pas (ou peu) à les identifier. Les filtres antispam sont en effet conçus pour rechercher des signatures de malwares connus et des expressions clés. Ces solutions traditionnelles exploitent des règles simples, qui fonctionnent bien lorsque la menace est identifiée. Mais ces règles reposant sur des listes et signatures d’attaques se révèlent figées et difficilement adaptables aux méthodes d’attaques reposant désormais sur l’IA. C’est ici que les techniques d’apprentissage automatique prennent toute leur pertinence, en permettant d’identifier et d’analyser les mails entrants, URL et pièces jointes malveillants, ainsi que les tentatives d’usurpation de l’identité de collaborateurs ou de relations professionnelles. Les techniques de machine learning ne viennent pas en remplacement des outils traditionnels, mais elles viennent les compléter en apportant la dimension prédictive et réactive afin d’être en mesure de détecter les attaques qui ne sont pas connues et pour ajouter plus rapidement et efficacement de nouvelles règles.
1.3. L’IA pour combattre la fraude à la carte bancaire
L’industrie du paiement dispose d’une masse de données lui permettant de développer efficacement des outils de traitements basés sur l’IA. Pour identifier et arrêter les transactions frauduleuses, Mastercard utilise des algorithmes de machine learning qui reposent sur des systèmes HPC (« High Performance Computing », c’est-à-dire : « calcul à haute performance ») pour analyser un volume important de données ultra-rapidement
[40]
. Ce système d’apprentissage automatique de la détection de la fraude utilise l’apprentissage supervisé pour rechercher des modèles de fraude établis et un apprentissage non supervisé afin d’identifier les modèles de fraude émergents en temps réel. La puissance de ce moteur de prévention de la fraude est basée sur des systèmes informatiques hautes performances mis en œuvre par un prestataire informatique sous la forme d’un cluster sécurisé certifié par l’industrie des cartes de paiement (PCI).
Le cluster est la forme d’organisation du SI la plus adaptée pour traiter des volumes massifs de données avec des outil d’IA, à l’image du cluster Kubernetes. Cette organisation vise à fournir une « plate-forme permettant d'automatiser le déploiement, la montée en charge et la mise en œuvre de conteneurs d'applications sur des clusters de serveurs
[41]
». Kubernetes met en oeuvre un jeu d'outils fournissant des mécanismes pour déployer, maintenir et mettre à l’échelle des applications de traitements massifs de documents. Ces outils – les « Pods » – composant Kubernetes sont conçus pour être combinés et extensibles et donc permettre de supporter une grande variété de charge de travail. Cette forme d’organisation s’adapte tout particulièrement aux besoins des établissements bancaires en matière de contrôles de la connaissance client (« KYC ») imposés par la régulation sectorielle, notamment par des traitements IA en deep learning sur les images et les documents fournis par les clients.
Disposant d’un volume de 2,2 milliards de cartes en utilisation dans presque tous les pays, Mastercard est à l’avant-garde des technologies de traitements à l’IA. Grâce à l’utilisation des algorithmes de machine learning, le groupe peut ainsi vérifier jusqu’à 160 millions de transaction par heure et en appliquant plus de 1,9 millions de règles différentes pour examiner chaque transaction, le tout en quelques millisecondes. A chaque transaction, les algorithmes d’apprentissage automatique examinent des éléments tels que les habitudes d’achat, la localisation géographique et les habitudes de déplacement d’un titulaire de la carte, ainsi que les données en temps réel sur l’utilisation des cartes. Chaque transaction est analysée en termes de règles relatives à une transaction valide et à quoi ressemble une opération illicite.
1.4. Une nouvelle branche de la cybersécurité à base d’IA
Un système automatisé de défense permet un temps de réaction inégalable : lorsqu’un humain réalise l’existence d’une intrusion informatique en cours, il est généralement trop tard. Désormais, les algorithmes fondés sur l’IA sont capables de connaître précisément le fonctionnement d’un réseau ou le comportement d’un utilisateur, pour réagir au plus vite en cas d’anomalie. Cette nouvelle branche de la cybersécurité à base d’IA est appelée « UBA » (« User Behavior Analytics »). Typiquement, l’IA pourra émettre une alerte dès qu’une anomalie sera détectée, par exemple lorsqu’un volume de données sort du réseau en dehors des horaires habituels, ou lorsque le mot de passe d’un utilisateur est frappé moins vite qu’en temps normal ou depuis un nouvel ordinateur – ce procédé étant déjà employé lors de la connexion aux réseaux sociaux tels que Twitter, Facebook ou Linkedin, un courrier électronique d’alerte étant automatiquement envoyé à l’utilisateur. L’éditeur britannique Darktrace, fondé par des chercheurs de l’université de Cambridge, a été l’un des pionniers à faire appel à l’IA avec des produits disponibles sur le marché dès 2013.
L’efficacité et la rapidité des systèmes d’IA se fonde notamment sur leur scalabilité, c’est-à-dire leur capacité à s’adapter et à s’ajuster à la montée en charge du réseau.
2. Méthodes et solutions de l’IA
Lorsque l’IA intervient en cybersécurité, elle dépasse le « machine et deep learning » et doit inclure l’autonomie d’analyse et de prise de décision. À ce titre, on peut proposer quelques lignes directrices, telles que l’identification plus rapide des logiciels malveillants, la prise de décision en temps réel, ce qui implique une rapidité extrême, et enfin le repérage des comportements anormaux d’utilisation, de sorte qu’une alerte de sécurité se déclenche.
2.1. La « défense active » contre les attaques générées par l’IA
Les experts en cybersécurité s’accordent à dire que la protection intégrale des SI n’existe pas. Il est en effet impossible de garantir une protection des SI à 100 % dans un contexte technologique accéléré aujourd’hui par le développement de l’IA et le déploiement quotidien d’attaques d’envergure mondiale. Dans cette guerre numérique qui ne dit pas son nom, une nouvelle tendance de la cybersécurité a vu le jour : celle de la « défense active ». Elle consiste à « dépasser la surveillance passive et à prendre des mesures proactives pour traiter les attaques constantes à l’encontre [du] réseau
[42]
». Cette tactique a aujourd’hui sa place au sein des programmes de protection des infrastructures informatiques des organisations. Mais la « cyberdéfense active » souffre d’une carence de conceptualisation permettant de clarifier la définition et les principes fondamentaux. L’OTAN définit la défense active comme une mesure proactive visant à détecter ou obtenir des informations sur une intrusion informatique, une cyberattaque, ou une opération informatique imminente ou pour déterminer l’origine d’une opération qui implique le lancement d’une contre-opération anticipée, préventive ou informatique contre la source. Une définition pratique, inspirée d’un concept-clé de la défense anti-missile, est apportée par deux spécialistes américains en défense active : « La cyberdéfense active est une action défensive directe visant à détruire, invalider ou réduire l’efficacité de menaces informatiques à l’encontre de forces et de ressources amies
[43]
. » Il s’agirait en quelque sorte d’un cas de « légitime défense (préventive) », lorsqu'une personne commet un acte de défense justifié en cas d’agression. Les experts débattent sur la notion de « frontière » de la défense active. Pour certain, la défense active a lieu quand quelqu’un entre par effraction dans l’espace de l’entreprise, en franchissant la « frontière informatique » de l’organisation. Appliquée aux attaques générées par l’IA, la cyberdéfense active permettrait de prendre des mesures pour identifier et couper un réseau de bots informatiques utilisé pour perpétrer des attaques par déni de services.
A contrario, le « hack back », souvent confondu à tort avec la défense active, désigne les « efforts fournis pour frapper les attaquants sur leur territoire
[44]
». Les experts en cybersécurité s’accordent à dire que le hack back sans autorisation légale ou coopération gouvernementale est contraire à l’éthique, et « probablement illégal » voire « inefficace
[45]
» justifiant qu’il soit formellement déconseillé aux organisations victimes d’attaques
[46]
. Selon l’experte Dorothy Denning, le « hack back » concerne essentiellement des actions prises par des entités gouvernementales avec une autorité appropriée.
Appliquée au secteur bancaire, la défense active implique que les établissements mettent sur pied un nouveau programme stratégique, conjugué avec un objectif de certification, telle que la certification en cybersécurité ISO 27 001 et le recrutement d’experts en sécurité supplémentaires. L’ACPR avance que la mise en place, ou le renforcement d’un Centre opérationnel de sécurité et d’équipe de riposte dédiés (Computer Emergency Response Teams) inspiré du bug bounty est un élément de réponse au risque de cyberattaque à l’IA
[47]
. Une plate-forme de bug bounty[47 bis] permet notamment de récupérer de précieux jeux de cyberattaques.
2.2. Des normes ISO insuffisamment adaptées au secteur bancaire
Depuis longtemps, les établissements du secteur bancaire s’appuient sur les principes de bonne gestion informatique produits par les organismes de standardisation internationaux, comme l’International Standardisation Organisation (ISO) auxquels certains textes bancaires faisaient eux-mêmes parfois référence
[48]
. Pour rappel, la norme traitant des Systèmes de management et la sécurité de l’information (SMSI) est l’ISO/CEI 27001 ; elle repose indirectement sur les quatre piliers principaux de la cybersécurité, les principes « DICT » (Disponibilité, Intégrité, Confidentialité et Traçabilité). Avec cette norme, chaque outil ou procédure mis en œuvre par l’organisation répond toujours à au moins un de ces éléments :
– la disponibilité a pour but de s’assurer qu’un système ou une donnée soit accessible sur un temps défini ;
– l’intégrité doit permettre de contrôler qu’une donnée reste exacte et non modifiée à travers son cycle de vie ;
– la confidentialité a pour but d’assurer qu’une information n’est accessible qu’aux personnes autorisées ;
– la traçabilité, enfin, désigne les preuves informatiques (les « traces ») permettant de garantir que les accès et tentatives d'accès au SI sont conservées et exploitables de manière fiable et historicisée (ex : par un horodatage).
Or, l’ACPR relève que ces standards sont produits par des professionnels de l’informatique, qui « ne procèdent pas du cadre conceptuel établi par les instances de réglementation bancaire et financière
[49]
». Les concepts de gestion du risque des normes ISO « ne correspondent pas complètement et ne s’appuient par exemple pas sur le dispositif de contrôle interne
[50]
». Surtout, l’autorité de régulation déplore que ces standards ne s’articulent pas avec « le dispositif attendu par les instances de réglementation bancaire et financière pour la gouvernance d’entreprise des établissements
[51]
».
2.3. La méthode d’analyse de risques EBIOS Risk Manager
Développée par l’ANSSI, la méthode EBIOS Risk Manager est une méthode d'appréciation des risques numériques sur la sécurité des SI et permet de contribuer à leur traitement en spécifiant les exigences de sécurité à mettre en place, de préparer l'ensemble du dossier de sécurité nécessaire à l'acceptation des risques et de fournir les éléments utiles à la communication relative aux risques. Le « risque IA » décrit plus haut recouvre le spectre des « risques numériques » visés par la méthode. La méthode EBIOS, fondée sur une approche de conformité, pourrait constituer une alternative pertinente pour les établissements bancaires, permettant de pallier les insuffisances opérationnelles des normes ISO.
2.4. Construire la SSI sur une « IA de confiance »
Pour légitimer la sécurité des SI – voire leur défensive active – via des solutions reposant sur l’IA, les établissements du secteur bancaire doivent d’abord construire la confiance dans l’IA. Dans une étude publiée en 2018, le Cabinet PwC recommande d’agir « sur tous les fronts » pour une IA responsable. Cette action doit se traduire dans « toutes [les] dimensions » de l’IA, notamment à travers « la réduction des biais dans les données et les modèles d’IA déployés, la transparence et le contrôle du modèle de prise de décision de l’IA, la réduction de la vulnérabilité aux attaques, la mise en place d’une gouvernance dédiée, la surveillance de la conformité à la réglementation, et les contrôles sur les données, les algorithmes, les processus et les cadres de reporting
[52]
». Cette « IA de confiance » pose avec acuité la problématique de « l’effet boîte noire » des algorithmes utilisés et sur lesquels l’organisation n’a pas la maîtrise. Au surplus et en lien avec ce qui précède, cela entraîne une difficulté sur l’auditabilité des systèmes qui utilisent des procédés d’IA.
« La rapidité est l'essence même de la guerre ». Cette formule de Sun Tzu (544-496 av. J.-C.) résume l’impact de l’IA sur la cybersécurité, et a fortiori sur la SSI. L’impact de l’IA sur la SSI questionne directement l’agilité – la rapidité – des organisations confrontée au risque d’une IA d’attaque. Mais si l’IA aggrave l’impact des cyberattaques, elle renforce aussi l’efficacité de la cyberdéfense. Face à ce défi, les normes ISO ne semblent pas totalement adaptées aux établissements du secteur bancaire déjà fortement régulé. Cependant, la méthode EBIOS pourrait permettre de jeter les bases d’une IA de confiance au service de la SSI des organisations bancaires. Enfin, il ne faut pas non plus oublier le rôle essentiel de contrôle et de validation assuré par les hommes en charge de ces solutions. Car c’est dans la combinaison « agile » de trois approches – classique, IA et humaine – que la cybersécurité pourra atteindre les meilleurs résultats face à des attaques présentant désormais un niveau de sophistication toujours plus élevé et encore jamais égalé.
1
« The World’s Most Valuable Resource is no Longer Oil, but Data », The Economist, 6 mai 2017 : https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data.
2
ACPR, « Étude sur la révolution numérique dans le secteur bancaire français », Analyses et synthèses n° 88, mars 2018.
3
Disponible sur le site du Comité de Bâle et sur le lien suivant : https://www.bis.org/publ/bcbs239_fr.pdf.
4
V. le texte de la norme p. 15, § 32, 33 et 34 sur le lien suivant : https://www.bis.org/publ/bcbs239_fr.pdf
5
Olivier Fliche et Su Yang, « Intelligence artificielle : enjeux pour le secteur financier », ACPR, décembre 2018.
6
Id.
7
Rapport Cédric Villani, « Donner un sens à l’intelligence artificielle : pour une stratégie nationale et européenne », mars 2018, La Documentation française.
8
Éric Caprioli, « Définir les mots de l'Intelligence artificielle pour mieux la comprendre », L'Usine Digitale, 29 janvier 2019 : https://www.usine-digitale.fr/article/definir-les-mots-de-l-intelligence-artificielle-pour-mieux-la-comprendre.N799370.
9
Arrêté du 27 juin 1989 relatif à l’enrichissement du vocabulaire de l’informatique, publié sur le site Légifrance.fr. V. également : « Vocabulaire de l'intelligence artificielle (liste de termes, expressions et définitions adoptés) », JO du 9 décembre 2018 qui définit les termes les plus usités en pratique.
10
Rapport ACPR, « Intelligence artificielle : enjeux pour le secteur financier »…, op. cit., p. 7.
11
Id.
12
La Reconnaissance optique de caractères (ROC), en anglais « Optical Character Recognition » (OCR), ou «OCRisation », désigne les procédés informatiques pour la traduction d'images de textes imprimés ou dactylographiés en fichiers texte.
13
Le « chatbot » se situe au cœur de l’IA. Il s’agit d’un « dialogeur » ou son synonyme un « agent de dialogue ». Selon sa définition dans le vocabulaire de l’IA précité, il s'agit d'un « logiciel spécialisé dans le dialogue en langage naturel avec un humain, qui est capable notamment de répondre à des questions ou de déclencher l’exécution d’une tâche ».
14
Olivier Fliche et Su Yang, « Intelligence artificielle : enjeux pour le secteur financier », ACPR, décembre 2018, p. 11.
15
V. spécialement le « Cloud Act » adopté par le Congrès américain le 26 mars 2018. Sur les effets juridiques extraterritoriaux de cette législation américaine, v. spéc. Marie Abadie et Emmanuel Jouffin, « Le cocktail détonnant du Cloud Act – Extraterritorrialité, sécurité nationale et libertés individuelles », Banque et Droit n° 182, nov-déc. 2018, p. 4.
16
BCBS (2003) : « Sound Practices for the Management and Supervision of Operational Risk », Basel Committee Publications n° 96, février.
17
Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement (Directive CRD IV). Règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement (Règlement CRR, article 4).
18
L’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR (JO du 5 novembre 2014), définit dans son article 10, j) (version de l’arrêté du 31 août 2017) : « Risque opérationnel : conformément au 52 du paragraphe 1 de l'article 4 du règlement (UE) n° 575/2013 susvisé, le risque de pertes découlant d'une inadéquation ou d'une défaillance des processus, du personnel et des systèmes internes ou d'événements extérieurs, y compris le risque juridique ; le risque opérationnel inclut notamment les risques liés à des événements de faible probabilité d'occurrence mais à fort impact, les risques de fraude interne et externe définis à l'article 324 du règlement (UE) n° 575/2013 susvisé, et les risques liés au modèle ».
19
Livre Blanc ITrust, « L’intelligence artificielle, vraie rupture en cybersécurité », juin 2018.
20
L’article 324 Règlement (UE) n° 575/2013 du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement – le « Règlement CRR » – établit une classification des « types d’évènements causant des pertes » en sept catégories sans mentionner le risque informatique (fraude interne ; fraude externe ; pratiques en matière d’emploi et sécurité au travail ; clients, produits et pratiques commerciales ; dommages occasionnés aux actifs matériels ; interruption de l’activité et dysfonctionnement des systèmes ; exécution, livraison et gestion des processus).
21
ACPR, « Le risque informatique », Document de réflexion, mars 2018.
22
The Malicious Use of Artificial Intelligence: Forecasting, Prevention, and Mitigation, février 2018 : https://maliciousaireport.com/.
23
Pour des éléments de définition du « spear fishing » ou « hameçonnage ciblé », v. infra. Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI) « cette attaque repose généralement sur une usurpation de l’identité de l’expéditeur, et procède par ingénierie sociale forte afin de lier l’objet du courriel et le corps du message à l’activité de la personne ou de l’organisation ciblée. Généralement, le courriel usurpe l’identité d’une personne morale (établissement financier, service public, concurrent…) ou d’une personne physique (collègue de travail, famille, ami…) dans le but de duper le destinataire qu’il invite à ouvrir une pièce jointe malveillante ou à suivre un lien vers un site Web malveillant. Une fois cette première machine contaminée, l’attaquant en prend le contrôle pour manœuvrer au sein du système d’information de l’organisation constituant la véritable cible (on parle ici « d’infiltration »…). https://www.ssi.gouv.fr/entreprise/glossaire/h/#hameconnage-cible-spearphishing.
23 bis. Éric A. Caprioli, « Le régime juridique du Ransomware ou prise d'otage numérique », Rev. gendarmerie nationale, 4e T 2016, p.178 et s.
24
« Autonomous software has been able to exploit vulnerabilities in systems for a long time, but more sophisticated AI hacking tools may exhibit much better performance both compared to what has historically been possible and, ultimately (though perhaps not for some time), compared to humans », The Malicious Use of Artificial Intelligence…, op. cit., p. 25.
25
The Rise of Artificial Intelligence: Future Outlook and Emerging Risks, 22 mars 2018 : https://www.agcs.allianz.com/news-and-insights/news/artificial-intelligence-report.html.
26
Système permettant de donner l’accès à un service en ligne, dans lequel l’internaute est invité à montrer qu’il sait reconnaître un mot écrit de manière fantaisiste ou des éléments dans une image, afin de prouver qu’il est bien un humain. Dès lors qu’un code parvient à se faire passer pour un internaute en répondant correctement au test de reconnaissance, la protection des Captcha ne tient plus et il devient possible de pénétrer des services jusqu’ici inattaquables.
27
Une fraude utilisant l’IA a permis de reproduire la voix d’un président de société avec son accent allemand pour obtenir un transfert de 243 000 dollars : « But it’s unlikely to remain an isolated case of a crime perpetrated using AI. » : https://thenextweb.com/security/2019/09/02/fraudsters-deepfake-ceos-voice-to-trick-manager-into-transferring-243000/(source le Wall street journal).
28
Olivier Fliche et Su Yang, « Intelligence artificielle : enjeux pour le secteur financier », op. cit.
29
V. Blandine Eggrickx et Emmanuel Jouffin, « Cloud Act : nouvelle manifestation de l’extraterritorialité des textes US et réponse européenne », Hors-série Banque et Droit, mars 2019, p. 19. Les auteurs analyse la réponse de la Commission européenne au Cloud Act : le paquet e-evidence du 18 avril 2018, Proposition de directive établissant des règles harmonisées concernant la désignation de représentants légaux aux fins de la collecte de preuves en matière pénales, COM/2018/0107(COD) et Proposition de règlement relatif aux injonctions européennes de production et de conservation des règles harmonisées de preuves électroniques en matière pénales, COM/2018/225 final – 2018/0108(COD).
30
Le Google Cloud Platform situé aux Pays-Bas justifie par exemple des certifications internationales ISO 27001 (Managing information risks), ISO 27017 (Controlling cloud-based information security) et ISO 27018 (Protecting personal data).
31
Éric A. Caprioli, Intelligence artificielle, Sécurité des systèmes d’information et droit, MagSecurs, 4e t., 2018, pp. 22-23.
32
Livre Blanc ITrust, op. cit.
33
Id.
34
Résolution n° 2018/2088(ini) du Parlement européen en date du 12 février 2019 sur une politique industrielle européenne globale sur l’IA et la robotique (dite Résolution Ashley Fox) ; et notre article sur le sujet, « Pourquoi le Parlement européen se penche-t-il sur l'intelligence artificielle et la robotisation ? » : https://www.usine-digitale.fr/article/pourquoi-le-parlement-europeen-se-penche-t-il-sur-l-intelligence-artificielle-et-la-robotisation.N832630.
35
L’intelligence artificielle, vraie rupture en cybersécurité, Livre Blanc, ITrust, Juin 2018.
36
V. la définition donnée par l’ANSSI, supra note de bas de page n°23.
37
The Malicious Use of Artificial Intelligence…, op. cit.
38
Sur la fraude au Président, v. (ss la dir. de Éric A. Caprioli), « Banque et assurance digitales », Revue Banque n°588 à 600, 2017.
39
Kaspersky, « Qu’est-ce que le spear phishing ? », 13 décembre 2017 : https://www.kaspersky.fr/blog/what-is-spearphishing/9835/.
40
https://www.silicon.fr/hub/dell-hub/mastercard-lintelligence-artificielle-pour-combattre-la-fraude-a-la-carte-bancaire.
41
« What is Kubernetes? » sur kubernetes.io, 31 mars 2017.
42
Scott Berinato, « La riposte à la manœuvre : défense active et “hack back” », Harvard Business Review France n° 32, avril-mai 2019, p. 57.
43
« We adapt the definitions of active and passive air defense to the cyber domain by replacing the term “air and missile” with “cyber.” This gives us the basic definitions: active cyber defense is direct defensive action taken to destroy, nullify, or reduce the effectiveness of cyber threats against friendly forces and assets » : Dorothy Denning et Bradley J. Strawser, « Active Cyber Defense : Applying Air Defense to the Cyber Domain », 16 octobre 2017, p. 64 : https://faculty.nps.edu/dedennin/publications/Active%20Cyber%20Defense%20-%20Cyber%20Analogies.pdf.
44
Scott Berinato, « La riposte à la manœuvre… », op. cit., p. 59.
45
Selon l’expert en cybersécurité Robert Lee, in « La riposte à la manœuvre… », op. cit., p. 59.
46
V. l’article L. 2321-2 du Code de la défense, introduit par la loi (Loi de programmation militaire) n° 2013-1168 du 18 décembre 2013 : « Pour répondre à une attaque informatique qui vise les systèmes d'information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, les services de l'État peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l'attaque et à la neutralisation de ses effets en accédant aux systèmes d'information qui sont à l'origine de l'attaque.
Pour être en mesure de répondre aux attaques mentionnées au premier alinéa, les services de l'État déterminés par le Premier ministre peuvent détenir des équipements, des instruments, des programmes informatiques et toutes données susceptibles de permettre la réalisation d'une ou plusieurs des infractions prévues aux articles 323-1 à 323-3 du code pénal, en vue d'analyser leur conception et d'observer leur fonctionnement. »
47
ACPR, « Étude sur la révolution numérique dans le secteur français », Analyses et Synthèses n° 88, mars 2018.
47 bis. V. Éric A. Caprioli, « Aspects juridiques du Bug Bounty », MagSecur 2018, t. 3, pp. 22-23. Ce type de services se présente sous la forme d’un programme qui est proposé par une organisation (un utilisateur) sur une plateforme (de bug bounty) qui porte sur des sites web, des applications (p. ex., mobile) ou des équipements (p. ex., objets connectés) et qui permet de procéder aux corrections qui découlent des découvertes de failles ou bogues (des vulnérabilités) par des « white hats » ou « hunters », ces derniers étant rémunérés par des primes ou des points. V., p. ex., la première plateforme européenne : www.yeswehack.com.
48
EBA (2011) : « Guidelines on internal governance » (GL44), septembre, point E.30.2.
49
ACPR, « Le risque informatique », op. cit.
50
Id.
51
Id.
52
PwC, « PwC 2019 AI Predictions – Six AI Priorities You Can’t Afford to Ignore », 2018 : https://www.pwc.fr/fr/assets/files/pdf/2019/02/fr-pwc-2019-ai-predictions-6-chantiers-a-lancer-pour-devenir-une-entreprise-ia-augment%C3%A9e.pdf.
