Sondage KPMG: l’IA générative pourrait renforcer et perturber la cybersécurité

TORONTO, le 24 octobre 2023 – Selon le plus récent sondage Perspective des chefs de la direction de KPMG International, tout juste la moitié (56 %) des chefs de la direction au Canada estiment que leur entreprise est actuellement prête à faire face à une cyberattaque, et plus de 9 sur 10 (93 %) s’inquiètent à l’idée que l’émergence de l’intelligence artificielle (IA) générative augmente davantage leur vulnérabilité à des violations.

Les résultats reflètent ceux de l’enquête de KPMG Entreprises privées ^MC au Canada, qui révèle que 81 % des petites et moyennes entreprises (PME) s’entendent pour dire que l’IA générative est une « arme à double tranchant » qui pourrait aider leur organisation à mieux déceler les cybermenaces et à y répondre tout en augmentant le nombre de cyberattaques et en offrant aux criminels de nouvelles méthodes d’attaque.

« L’IA générative peut aider les organisations à renforcer leur sécurité et, ce faisant, à gagner en efficacité. Toutefois, la réalité est que les cybercriminels augmenteront également leur utilisation de l’IA générative dans leur stratégie d’attaque et qu’ils peuvent adopter la technologie beaucoup plus rapidement que les grandes organisations. Cela signifie que les attaques reposant sur l’IA générative risquent d’augmenter, en particulier par l’intermédiaire du piratage psychologique, qui permet le déploiement d’hypertrucages pour duper les employés et les inciter à compromettre les données d’entreprise et le contournement des méthodes d’accès traditionnelles », explique Hartaj Nijjar, associé et leader national du groupe Cybersécurité de KPMG au Canada. 

« Étant donné qu’il peut s’avérer difficile pour les organisations de prédire avec exactitude quelles seront les répercussions l’IA générative sur leur situation en matière de cybersécurité, la meilleure façon de se protéger de l’inconnu consiste à établir des défenses robustes qui comprennent des investissements dans la technologie et des programmes de cybersécurité, et à assurer une formation rigoureuse du personnel. Les organisations qui disposent de bases solides en matière de cybersécurité seront mieux outillées que les autres pour composer avec les risques inconnus liés à l’évolution des technologies comme l’IA générative », ajoute M. Nijjar.

Au Canada, plus du tiers des chefs de la direction qui affirment que leur organisation n’est pas prête à faire face à une cyberattaque mentionnent des systèmes technologiques désuets, puis la complexité croissante de la cybercriminalité et un manque d’investissements en cyberdéfense comme principales causes de ce manque de préparation. Moins de 5 % d’entre eux estiment que leur organisation est « tout à fait prête » à faire face à une cyberattaque.

Si certains chefs de la direction considèrent que l’IA générative joue un rôle dans l’amélioration de leurs programmes de cybersécurité, ce rôle leur paraît mineur et les risques l’emportent largement sur les avantages. Seulement 8 % des chefs de la direction mentionnent l’amélioration de la réponse aux cyberattaques parmi les avantages de la mise en œuvre de l’IA générative au sein de leur organisation. En revanche, un quart des chefs de la direction affirment que les enjeux de conformité et de sécurité, comme les adversaires dotés de l’IA, représentent un obstacle à la mise en œuvre de la technologie, et 68 % des petites et moyennes entreprises sont du même avis.

• 93 % des chefs de la direction au Canada s’inquiètent à l’idée que l’IA générative donne lieu à d’autres cyberattaques (82 % à l’échelle mondiale)
• 56 % affirment que leur organisation est prête à faire face à une cyberattaque (53 % à l’échelle mondiale), un résultat inchangé par rapport à l’an dernier.
• 52 % déclarent que leur organisation est « prête » et 4 %, qu’elle est « tout à fait prête » (45 % et 8 % à l’échelle mondiale, respectivement)

• 38 % mentionnent des systèmes ou une infrastructure vulnérables ou anciens (20 % à l’échelle globale)
• 25 % mentionnent les cybermenaces croissantes et la complexification des attaques (34 % à l’échelle mondiale)
• 19 % mentionnent les investissements insuffisants en cyberdéfense (15 % à l’échelle mondiale)
• 13 % mentionnent une pénurie de personnel compétent (24 % à l’échelle mondiale)
• 6 % affirment que la cybersécurité n’est pas considérée comme une priorité d’entreprise (7 % à l’échelle mondiale)

En revanche, les PME interrogées par KPMG au Canada rapportent une plus grande préparation que les grandes entreprises à faire face à des cyberattaques, 88 % d’entre elles affirmant être prêtes à se défendre contre une cyberattaque. Il s’agit d’un résultat en hausse par rapport à 73 % l’an dernier, malgréle plus grand nombre de répondants (63 %) qui affirment avoir été victimes d’une attaque par des cybercriminels cette année que l’an dernier (56 %).

Bien qu’il existe divers types de cyberattaques (p. ex., hameçonnage, logiciels malveillants, déni de service ou déploiement d’un programme malveillant), ce sont surtout les rançongiciels qui posent problème pour les PME. Six entreprises sur dix déclarent avoir versé une rançon à des cybercriminels au cours des trois dernières années. En outre, 59 % affirment ne pas disposer de plan pour faire face à une attaque par rançongiciel (une hausse par rapport à 32 % l’an dernier). Une attaque par rançongiciel survient lorsqu’un criminel vole les données d’une organisation et les garde en otage jusqu’au versement d’une somme d’argent.

« Le versement d’une rançon à des cybercriminels représente une dépense coûteuse et généralement imprévue, en particulier pour les PME, dont les ressources sont moindres et les budgets, limités. Malheureusement, un grand nombre de PME choisissent de payer les cybercriminels étant donné que les attaques par rançongiciel peuvent paralyser leurs activités, voire y mettre fin, et qu’un grand nombre d’entre elles ne peuvent se le permettre », explique Robert Moerman, associé au sein du groupe Cybersécurité de KPMG et leader des services gérés de sécurité.

« Le versement d’une rançon à un criminel coûtera probablement plus cher que ce qu’il en coûterait pour mettre en place des cyberdéfenses efficaces afin de dissuader ce criminel de commettre une attaque. Les investissements planifiés en cybersécurité réduisent la probabilité et le coût d’un cyberincident et une cyberassurance peut contribuer à contrer le risque résiduel. Dans le cas des petites entreprises qui ne disposent peut-être pas des capacités ou de l’expertise pour mettre en œuvre des programmes de cybersécurité robustes, des fournisseurs de services externes peuvent également contribuer à combler les lacunes », ajoute M. Moerman. 

• 88 % des petites et moyennes entreprises interrogées par KPMG au Canada affirment être prêtes à se défendre contre une cyberattaque (une hausse par rapport à 73 % l’an dernier).
  • 41 % sont « fortement d’accord » et 47 %, « plutôt d’accord »

• 71 % affirment que leurs systèmes ou leur infrastructure anciens (c.-à-d. technologie de l’information ou technologie opérationnelle) les rendent vulnérables aux cyberattaques
• 66 % affirment ne pas disposer de personnel compétent pour mettre en œuvre un programme de cybersécurité ou une surveillance contre les attaques
• 64 % affirment ne pas avoir suffisamment de ressources financières pour investir en cyberdéfense
• 62 % affirment que la cybersécurité n’est pas considérée comme une priorité d’entreprise

Comme leurs homologues de grande taille, les petites et moyennes entreprises mentionnent que ce sont leurs systèmes technologiques vieillissants ou anciens qui les rendent les plus vulnérables aux cyberattaques, suivis d’un manque de ressources financières et de professionnels compétents en cybersécurité. Malgré ces difficultés, 80 % des PME affirment envisager l’utilisation de l’IA pour renforcer leurs cyberdéfenses et estiment avoir une bonne compréhension des risques qui y sont associés et de la façon d’en assurer la gestion.

Nisal Samarakkody, associé au sein du groupe Cybersécurité de KPMG et spécialisé dans l’utilisation de l’intelligence artificielle pour s’attaquer à la cybercriminalité, affirme que les organisations qui cherchent à renforcer leurs cyberdéfenses à l’aide de l’IA générative doivent d’abord évaluer les domaines dans lesquels leurs cybercontrôles peuvent être rehaussés pour optimiser l’efficacité et la sécurité.

« La mise en œuvre et l’activation des capacités liées à l’IA, dont l’IA générative, forment un processus qui commence par l’optimisation des contrôles de cybersécurité existants, la compréhension des lacunes, la préparation et l’investissement dans des capacités émergentes qui concordent avec le contexte évolutif de la cybersécurité et les limites organisationnelles. Autrement, les organisations risquent de ne pas être en mesure de tirer pleinement parti du potentiel de l’IA, de prendre du retard par rapport à leurs pairs et de s’exposer à des menaces complexes », ajoute-t-il.

Pour obtenir de plus amples renseignements sur l’IA générative et la cybersécurité, consultez Sécuriser la transformation numérique, par Stephanie Terrill, leader nationale, Services-conseils – Management, et Thomas Davies, leader national, Transformation numérique et Services gérés, Services-conseils – Gestion des risques chez KPMG au Canada.

La neuvième édition des Perspectives des chefs de la direction de KPMG, fondée sur un sondage mené auprès de 1 325 chefs de la direction entre le 15 août et le 15 septembre 2023, fournit des renseignements uniques sur la mentalité, les stratégies et les tactiques de planification des chefs de la direction. Tous les répondants ont un revenu annuel de plus de 500 millions de dollars américains et le tiers des entreprises sondées ont un revenu annuel de plus de 10 milliards de dollars américains. Le sondage de KPMG International a été mené auprès de chefs de la direction issus de 11 marchés cibles (Australie, Canada, Chine, France, Allemagne, Inde, Italie, Japon, Espagne, Royaume-Uni et États-Unis) et de 11 secteurs clés (automobile, consommation et vente au détail, énergie, services financiers, infrastructure, sciences de la vie, fabrication, technologie et télécommunications). REMARQUE : Les chiffres ayant été arrondis, leur somme peut ne pas correspondre à 100 %.

Entre le 30 août et le 25 septembre 2023, KPMG au Canada a mené un sondage auprès de propriétaires d'entreprises ou de cadres supérieurs de 700 petites et moyennes entreprises canadiennes, à l'aide du principal groupe de recherche sur les affaires de Sago. 25 % des entreprises sondées ont un revenu annuel de plus de 500 millions de dollars canadiens et de moins de 1 milliard de dollars canadiens, 25 % ont un revenu annuel de plus de 300 millions de dollars canadiens et de moins de 500 millions de dollars, 23 % ont un revenu annuel de 100 millions de dollars canadiens à 300 millions de dollars canadiens et 26 % ont des revenus annuels de 10 à 50 millions de dollars canadiens. Aucune entreprise sondée n'avait des revenus annuels de moins de 10 millions de dollars canadiens.