Bienvenue dans la série de blogs du PCI Security Standards Council, The AI Exchange : Innovators in Payment Security. Cette fonctionnalité spéciale et continue de notre blog PCI Perspectives fournit une ressource permettant aux acteurs du secteur de la sécurité des paiements de partager des informations sur la manière dont ils adoptent et mettent en œuvre l'intelligence artificielle (IA) dans leurs organisations.
Dans cette édition de The AI Exchange, le CTO et co-fondateur de Jscrambler, Pedro Fortuna, explique comment son entreprise utilise l'IA et comment cette technologie à croissance rapide façonne l'avenir de la sécurité des paiements.
Comment avez-vous récemment intégré l’intelligence artificielle au sein de votre organisation ?
Chez Jscrambler, nous avons récemment intégré l'IA directement dans notre plateforme de sécurité côté client, notamment pour assurer la conformité des commerçants aux exigences PCI DSS 6.4.3 et 11.6.1. Nous avons lancé le premier assistant IA conçu spécifiquement pour les scripts d'inventaire et d'autorisation, un défi opérationnel quotidien auquel de nombreux commerçants sont confrontés en raison du volume de scripts, de la fréquence à laquelle ils changent et des ressources limitées disponibles pour les analyser.
Cet assistant ne se contente pas de classer JavaScript ; comprend le comportement, l'origine et le contexte du script et explique son raisonnement. Cela s’avère particulièrement utile pour combler le manque de connaissances qui existe souvent lorsque les personnes chargées d’approuver les scripts ne sont pas des analystes de sécurité expérimentés. Avec l'assistant, ils obtiennent les informations et le contexte qui leur manquent, ce qui leur permet de prendre des décisions plus intelligentes, plus sûres et plus rapides et de concentrer les efforts humains là où cela compte le plus.
Nous avons également adopté l'IA en interne au sein de nos équipes d'ingénierie et de produits, en tirant parti des assistants de code pour le développement de logiciels sécurisés, du LLM pour l'analyse de l'ingénierie inverse et des pipelines multi-agents pour soutenir notre pipeline de recherche et de génération de contenu. Mais notre plus grand progrès a été de mettre l’IA entre les mains de nos clients, en production, avec une totale responsabilité humaine.
Quel est le changement le plus important que vous ayez constaté dans votre organisation depuis que l’utilisation de l’IA est devenue beaucoup plus répandue ?
Il y a eu un net passage de la pensée outil à la pensée systémique. Au lieu de considérer l'IA comme un assistant pour des tâches ponctuelles, nous concevons désormais des flux de travail qui attendent de l'IA qu'elle reste au courant, des processus d'ingénierie internes aux interfaces orientées client.
L’un des changements les plus importants réside dans la manière dont l’IA nous a permis d’accélérer l’innovation, notamment en façonnant l’expérience client avec nos produits. Les tâches qui nécessitaient auparavant une expertise technique approfondie, telles que la révision et l'autorisation de scripts tiers, peuvent désormais être guidées par un assistant IA qui simplifie la complexité sans sacrifier la précision. Cela change fondamentalement la façon dont nos utilisateurs interagissent avec les processus de sécurité : ils se sentent plus autonomes, plus en sécurité et plus en contrôle.
Cela dit, nous sommes également parfaitement conscients des limites de l’IA. C'est pourquoi nous avons construit des barrières de sécurité et veillé à ce que les humains restent informés, en particulier lorsque les décisions ont des implications sur la sécurité. Cette collaboration entre les humains et l’IA aide à empêcher les hallucinations de créer des problèmes et garantit que nous maintenons la confiance et la responsabilité à mesure que l’IA s’intègre de plus en plus dans nos systèmes.
Comment pensez-vous que l’IA évoluera ou impactera la sécurité des paiements à l’avenir ?
Le navigateur devient un élément essentiel de l’avenir de la sécurité des paiements, non seulement parce que c’est là que les humains interagissent, mais aussi parce que c’est là que les agents IA effectueront de plus en plus de transactions en notre nom. À mesure que les systèmes d’IA des agents mûriront, nous assisterons à un changement : les navigateurs ne seront plus seulement le « dernier kilomètre » de l’expérience utilisateur : ils deviendront l’interface principale des acheteurs autonomes, capables de gérer eux-mêmes la découverte des produits, la gestion du panier et le paiement.
Oui, de nombreux paiements seront migrés vers des API back-end plus sécurisées, des portefeuilles intégrés et des flux mobiles natifs, et ceux-ci bénéficieront de protections inhérentes plus solides. Mais le monde ne change pas du jour au lendemain. Le réseau reste vaste, fragmenté et de longue durée. Dans les années à venir, des millions de sites Web continueront à se comporter comme d’habitude, en attendant qu’un humain alimente l’expérience d’achat. En réalité, ce sera souvent un agent IA ou un « navigateur IA » qui naviguera dans ces flux : cliquer, faire défiler et prendre des décisions d’achat de manière humaine.
Ce changement introduit de nouvelles opportunités et de nouveaux risques. Les attaques par écrémage évolueront et deviendront plus intelligentes et plus évasives, évitant non seulement les détections traditionnelles, mais trompant également les agents d'IA par une manipulation subtile du DOM ou une tromperie comportementale. Tout comme les attaquants exploitent aujourd’hui la psychologie humaine, demain ils exploiteront les hypothèses comportementales des agents automatisés et, oui, il y aura de nombreuses injections rapides en cours de route.
Du côté défensif, l’IA ira au-delà de la détection des fraudes et des anomalies, jouant un rôle plus important dans l’identification et l’orchestration des intentions, en particulier dans les menaces côté client telles que le survol du Web, le détournement de clics et la manipulation d’iframe. Ces attaques sont très dynamiques et semblent souvent bénignes à première vue. L’examen humain n’est pas évolutif. L’IA comble cette lacune, non seulement en reconnaissant les modèles connus, mais en détectant également les changements orchestrés dans le comportement, l’origine ou le contexte du script qui indiquent une compromission.
En fin de compte, l’IA dans la sécurité des paiements ne consiste pas seulement à bloquer les menaces : elle consiste à créer des systèmes capables de s’adapter, d’expliquer et de se défendre en temps réel, dans un environnement où les utilisateurs et les attaquants sont de moins en moins humains. Le navigateur, autrefois considéré comme le maillon le plus faible, pourrait bientôt devenir la couche la plus activement défendue et la plus dynamiquement instrumentée de la pile de paiements. Et à mesure que les navigateurs eux-mêmes sont assistés par l’IA, cette évolution devient non seulement probable, mais inévitable.
Quels risques potentiels les organisations devraient-elles prendre en compte à mesure que l’IA est de plus en plus intégrée à la sécurité des paiements ?
À mesure que l’IA s’intègre de plus en plus à la sécurité des paiements, plusieurs risques clés émergent :
- Les hallucinations et les erreurs de classification peuvent conduire à des décisions incorrectes, en particulier lorsque l’IA est utilisée pour analyser des scripts, détecter des fraudes ou classer des comportements.
- L’injection rapide et d’autres entrées indésirables peuvent être utilisées pour manipuler le comportement de l’IA de manière imprévisible.
- Fuite d’informations au-delà de l’injection immédiate. Les systèmes d'IA qui résument les journaux, analysent le code ou conservent le contexte des conversations peuvent exposer involontairement des données internes sensibles, telles que les paramètres de paiement, la télémétrie, les seuils de score de fraude ou même les clés API, via des réponses, une mise en cache ou des inférences mal définies. Les systèmes et plugins multi-agents peuvent également augmenter le risque d’exposition des données dans plusieurs contextes.
- La dérive des modèles au fil du temps peut réduire la précision et la fiabilité des systèmes d’IA s’ils ne sont pas continuellement surveillés et mis à jour.
- Les surfaces d'attaque étendues, notamment la chaîne d'approvisionnement de l'IA, les publicités, les modules complémentaires, les API et les intégrations tierces, introduisent de nouveaux vecteurs de compromission.
- Le manque d’explicabilité peut nuire à la confiance et rendre difficile la validation ou l’audit des décisions prises par les systèmes d’IA.
- Une dépendance excessive à l'égard de l'automatisation peut réduire la surveillance humaine des flux de travail critiques, augmentant ainsi le risque de pannes non détectées.
- Les défis de conformité et de gouvernance des données, en particulier dans le cadre des réglementations émergentes telles que la loi européenne sur l'IA et des cadres existants tels que le RGPD, peuvent obliger les organisations à documenter la manière dont les systèmes d'IA fonctionnent, prennent des décisions et protègent les données personnelles.
Quels conseils donneriez-vous à une organisation qui commence tout juste à utiliser l’IA ?
Commencez par vous concentrer sur les problèmes et non sur les modèles. Identifiez les points sensibles spécifiques où votre équipe est aux prises avec des décisions à grande échelle, ambiguës ou répétitives et explorez comment l'IA pourrait aider, et non remplacer, les humains dans ce cycle.
Résistez à la tentation de tout automatiser dès le premier jour. Commencez plutôt par des cas d’utilisation concrets et bien définis qui peuvent être testés, mesurés et améliorés progressivement. Considérez l’IA comme un copilote et non comme une boîte noire.
Dès le début, prévoyez :
- Supervision humaine dans les flux de travail qui impliquent des risques, de la conformité ou un impact sur les clients.
- Gouvernance et auditabilité, en particulier autour de la saisie des données, du comportement du modèle et de la logique de décision.
- Modes de défaillance : pas seulement la précision, mais ce qui se passe lorsque le modèle est incorrect, obsolète ou manipulé.
Comprenez que les systèmes basés sur l'IA ne sont pas des produits statiques ; Ils nécessitent une maintenance, une détection de dérive et des boucles de rétroaction. C'est pourquoi il est crucial d'intégrer l'IA dans vos processus opérationnels et de sécurité existants, et non d'en faire un projet parallèle.
Et enfin : documentez tout. Si vous ne pouvez pas expliquer comment le système fonctionne, comment il a été formé et comment il est surveillé, il sera difficile de défendre vos décisions, que ce soit devant un conseil d'administration ou devant un conseiller ou un organisme de réglementation.
Quelle tendance de l’IA (non limitée aux paiements) vous passionne le plus ?
Ce qui m'enthousiasme le plus, c'est l'essor des systèmes d'IA d'agents : pas seulement des modèles qui génèrent des réponses, mais une IA capable de planifier, de raisonner, d'agir et de s'adapter à travers des flux de travail complexes. Cela a d’énormes implications sur la façon dont nous construisons et exploitons les systèmes de sécurité, en particulier dans les environnements critiques en matière de sécurité tels que les paiements.
En tant que personne qui développe des produits de sécurité depuis plus de 15 ans, j’ai pu constater à quel point cela peut être un défi pour les organisations. Le volume d'alertes et de micro-décisions que les équipes sont censées gérer est stupéfiant, et trop souvent, ce sont de petites décisions, apparemment à faible risque, qui se transforment en échecs de sécurité réels.
C'est pourquoi j'ai toujours plaidé en faveur de la sécurité par défaut : concevoir des systèmes qui éliminent les frictions dans la prise de décision chaque fois que cela est possible en toute sécurité. Mais bien sûr, vous ne pouvez coder en dur que les valeurs par défaut pour les décisions que vous comprenez parfaitement.
C’est là que l’IA change l’équation. En utilisant correctement l’IA des agents, nous pouvons nous décharger en toute confiance d’une plus grande partie de ce fardeau décisionnel, en particulier dans les flux de travail bruyants ou répétitifs, tout en préservant, voire en améliorant, la surveillance humaine là où elle est vraiment importante.
Au-delà des paiements, je suis également encouragé par l’accent croissant mis sur l’explicabilité et la gouvernance. L’avenir ne dépend pas seulement d’une IA plus intelligente : il s’agit d’une IA à laquelle nous pouvons faire confiance, vérifier et contrôler. Et en matière de sécurité, ce n’est pas négociable.
