Bienvenue dans la série de blogs du PCI Security Standards Council, The AI Exchange : Innovators in Payment Security. Cette fonctionnalité spéciale et continue de notre blog PCI Perspectives fournit une ressource permettant aux acteurs du secteur de la sécurité des paiements de partager des informations sur la manière dont ils adoptent et mettent en œuvre l'intelligence artificielle (IA) dans leurs organisations.
Dans cette édition de The AI Exchange, Troy Leach, directeur de la stratégie chez Cloud Security Alliance, donne un aperçu de la manière dont son entreprise utilise l'IA et de la manière dont cette technologie à croissance rapide façonne l'avenir de la sécurité des paiements.
Comment avez-vous récemment intégré l’intelligence artificielle au sein de votre organisation ?
Chez Cloud Security Alliance (CSA), notre mission est de développer des cadres de cybersécurité et des bonnes pratiques pour les dernières technologies. Cela signifie que nous devons non seulement étudier les nouvelles technologies, mais aussi les adopter le plus tôt possible pour comprendre leurs implications.
Dans le cas de l’intelligence artificielle, nous avons adopté une approche délibérée pour l’intégrer dans l’ensemble de notre organisation. Étant donné que nous publions chaque mois plusieurs articles de recherche et de bonnes pratiques, nous nous sommes assurés que tous les départements (de la recherche à la formation, de l'informatique au marketing) expérimentent tôt et souvent les grands modèles de langage (LLM) et d'autres outils d'IA.
Pour favoriser l'adoption, un collègue et moi avons lancé des « AI Days » internes, au cours desquels nous nous sommes associés à chaque département pour identifier les opportunités dans lesquelles l'IA générative pourrait rationaliser les flux de travail ou résoudre des problèmes auparavant considérés comme trop redoutables. Ces ateliers sont pratiques : notre équipe informatique a utilisé l'IA pour accélérer le codage et le développement de requêtes SQL ; notre équipe marketing a créé des personnages basés sur l'IA pour perfectionner les communications ; Nous avons même chargé des agents d'IA de recommander des mises à jour de recherches antérieures à mesure que les technologies évoluent, et nous avons développé des robots internes qui collectent et exposent de manière dynamique les connaissances de l'ASC à tout le personnel.
Le succès a été significatif, au point que les collaborateurs nous ont demandé de poursuivre régulièrement les « AI Days » pour suivre le rythme du changement.
En externe, nous avons également lancé notre Validé avec l'IA modèle, qui examine les auto-questionnaires de conformité pour en vérifier l’exactitude. À l'instar du questionnaire d'auto-évaluation PCI (SAQ), notre matrice de contrôles cloud et nos cadres d'IA utilisent le CAIQ. En appliquant notre validation IA, nous contribuons à garantir que les entrées dans le registre STAR (un référentiel public d'évaluations de sécurité du cloud) sont aussi précises et fiables que possible. Nous pensons que c’est le genre d’amélioration pratique de la conformité que l’IA peut également apporter aux paiements.
Quel est le changement le plus important que vous ayez constaté dans votre organisation depuis que l’utilisation de l’IA est devenue beaucoup plus répandue ?
Le changement le plus frappant est le rythme du changement lui-même. Des tâches qui prenaient auparavant des semaines, comme le développement d'extraits de code ou l'affinement d'analyses, sont désormais accélérées grâce au « codage par vibration » assisté par l'IA. Ce n'est peut-être pas le code final mis en production, mais il donne à nos développeurs de nouvelles idées sur la façon d'aborder un défi.
Mais la vitesse joue dans les deux sens. À mesure que les organisations deviennent familières, les modèles évoluent à nouveau. Aux débuts des GPT, par exemple, l’ingénierie des avis nécessitait une structure précise, et des formations ont vu le jour sur la façon de « concevoir » des avis. Au bout d'un an, les modèles eux-mêmes posaient déjà des questions de clarification, ce qui augmentait considérablement les résultats sans avoir cette expérience.
Le même progrès a eu lieu dans des capacités telles que la reconnaissance d’images et l’OCR. Aujourd'hui, un développeur peut coller un extrait de code, comme une image, dans un message et demander au modèle de comprendre, de dépanner et même de suggérer des solutions en temps réel. De même, l’IA est désormais intégrée directement dans les plateformes de productivité (qu’il s’agisse d’applications bureautiques, de référentiels de fichiers ou de canaux de messagerie), rendant presque invisible la frontière entre le flux de travail humain et l’assistance de l’IA.
En tant que professionnels de la sécurité, nous devons considérer cela avec appréciation et prudence. Plus l’intégration est transparente, plus l’exposition potentielle est grande si les organisations ne segmentent pas les données de manière appropriée ou ne mettent pas en œuvre des contrôles de gouvernance. Pour les environnements PCI DSS, où la confidentialité et l'intégrité des données de paiement sont primordiales, la transparence et la surveillance de ces flux de travail basés sur l'IA sont essentielles.
Comment pensez-vous que l’IA évoluera ou impactera la sécurité des paiements à l’avenir ?
Lorsque je rencontre des institutions financières, j’entends autant d’optimisme que d’inquiétude. La promesse de l’IA réside dans la personnalisation à grande échelle : les commerçants et les prestataires de paiement apporteront une valeur unique à leurs clients et partenaires, souvent de manière autonome. Mais la personnalisation ne doit pas se faire au détriment des principes fondamentaux de la norme PCI DSS de minimisation des données et de portée contrôlée.
Un domaine qui présente un réel avantage est la formation. Imaginez une formation de sensibilisation à la sécurité qui adapte les exemples au contexte exact de chaque service. Hé a récemment rapporté que 94 % des employés estimaient que la sécurité devenait un objectif personnel s'ils avaient reçu une formation au cours de l'année écoulée. Imaginez maintenant que chaque scénario soit adapté pour montrer l’impact de cette fonctionnalité spécifique sur la stratégie globale de sécurité des paiements. Ce niveau de pertinence transforme la conformité aux exigences PCI DSS d'une activité consistant à cocher une case à un mécanisme de défense significatif.
L’IA est également sur le point de révolutionner la conformité elle-même. Au lieu d’examens manuels des diagrammes de flux de données ou de longs entretiens pour vérifier les contrôles, l’IA pourrait valider en permanence la documentation et signaler les modifications en temps réel. Cela garantit que les commerçants et les fournisseurs de services maintiennent la norme PCI DSS tout au long de l'année, et pas seulement lors d'une évaluation QSA.
Enfin, les opérations de sécurisation des paiements en bénéficient déjà. Nous avons déjà entendu dire que les centres d'opérations de sécurité (SOC) intègrent l'intelligence artificielle pour analyser les causes profondes et découvrir des anomalies subtiles (les proverbiales « aiguilles dans la botte de foin ») avec beaucoup plus de précision. En effet, l’IA devient un analyste permanent, augmentant la main-d’œuvre humaine grâce à une reconnaissance constante des formes et à d’autres fonctionnalités d’intelligence.
Quels risques potentiels les organisations devraient-elles prendre en compte à mesure que l’IA est de plus en plus intégrée à la sécurité des paiements ?
Le premier risque est une dépendance excessive aux décisions de l’IA sans supervision humaine. L’IA générative est intrinsèquement probabiliste ; Contrairement aux logiciels déterministes statiques, il peut produire des résultats inattendus. Dans le domaine des paiements, nous avons déjà vu la mise en œuvre d’un chatbot échouer parce que la créativité des clients a révélé des cas extrêmes qui s’écartaient de la politique de l’entreprise.
Le risque augmente avec les cas d’utilisation de l’IA par agent, dans lesquels des agents IA autonomes agissent au nom des utilisateurs. Trop souvent, les organisations protègent l’identification des employés mais ne prennent pas en compte ce à quoi l’agent IA lui-même peut accéder ou exécuter. Cela crée des agents surprivilégiés et sous-gouvernés, sapant les contrôles PCI DSS pour la gestion des moindres privilèges et des accès.
L’authentification évolue également rapidement sous la pression de l’IA. Les données biométriques, autrefois considérées comme presque impossibles à falsifier, peuvent désormais être imitées. Même si l’IA d’aujourd’hui peut parfois détecter ces tentatives de deepfake ou de « bio phishing », il est irréaliste de supposer que l’IA défensive sera toujours en avance sur l’IA malveillante.
En fin de compte, si les organisations ne documentent pas les privilèges des agents, ne valident pas les résultats de l’IA et n’assurent pas de surveillance, elles risquent d’éroder les exigences critiques de la norme PCI DSS en matière de contrôle d’accès, d’auditabilité et d’authentification sécurisée.
Quels conseils donneriez-vous à une organisation qui commence tout juste à utiliser l’IA ?
Commencez par les bases et posez la question « pourquoi ». Trop souvent, j’entends les institutions financières leur dire de « faire de cela un processus d’IA » sans en préciser clairement la valeur. Le bon point d’entrée consiste à identifier les cas d’utilisation qui améliorent clairement les résultats en matière de sécurité, d’efficacité ou de conformité (bien que l’ajout de « IA » à toute demande de devis semble aider à prioriser l’élément).
À partir de là, pilotez judicieusement. Choisissez une portée gérable, attribuez-lui une durée appropriée et désignez des champions internes responsables de la surveillance du comportement et des résultats de l'IA. Traitez-le comme vous le feriez avec un nouveau fournisseur ou un nouveau système au sein de votre environnement PCI DSS : testez-le à petite échelle avant de le faire évoluer à grande échelle.
Puis testez rigoureusement. Chaque nouvelle mise à jour de modèle ou de paramètre d'IA doit être comparée à un ensemble de questions de référence pour garantir qu'elle n'a pas modifié les résultats de manière inattendue. Contrairement aux correctifs traditionnels qui peuvent être appliqués automatiquement, les mises à jour IA peuvent modifier subtilement les comportements d’une manière très importante pour votre entreprise et votre conformité.
Enfin, codez le tout dans une politique d’IA. Environ les deux tiers des entreprises signalent désormais l’IA comme un risque dans leurs évaluations annuelles. L'intégration de la gouvernance de l'IA dans votre politique de sécurité des informations existante (déjà requise par l'exigence 12 de la norme PCI DSS) garantit l'alignement au sein de l'organisation et vous prépare à un examen externe.
Quelle tendance de l’IA (non limitée aux paiements) vous passionne le plus ?
Je suis enthousiaste à l'idée d'automatiser des tâches répétitives avec beaucoup de documentation. Pour les commerçants et les prestataires de services, la collecte des tests PCI DSS a toujours été gourmande en ressources. L’IA promet désormais d’optimiser la cartographie des contrôles, de générer des récits de conformité et de gérer les bibliothèques de documents de manière dynamique. Cela rend l’évaluation continue plus efficace et moins perturbatrice.
Sur un plan plus technique, je suis encouragé par l'adoption rapide des protocoles Model Context Protocol (MCP) et Agent-to-Agent (A2A). Ces protocoles universellement acceptés agissent comme des traducteurs entre les agents et les applications d'IA (ou d'autres agents), standardisant la manière dont les systèmes communiquent. Pour les organisations, cela signifie une dépendance réduite à l’égard d’un fournisseur, une interopérabilité améliorée et un modèle de gouvernance plus clair pour l’adoption de l’IA.
La normalisation est souvent un héros méconnu en matière de sécurité. Tout comme la norme PCI DSS elle-même fournit une base commune pour la sécurité des paiements, ces protocoles de communication d’IA peuvent créer une cohérence qui accélère l’adoption tout en réduisant le risque systémique pour chacun, où qu’il se trouve dans son parcours vers l’IA.
Vous souhaitez en savoir plus ? Inscrivez-vous maintenant voir Troy Leach prendre la parole lors de la réunion de la Communauté européenne de 2025, où il prononcera sa présentation sur le thème de l'IA, Ce n'est pas vous, c'est nous : stratégie pour créer un modèle de responsabilité de sécurité partagée avec vos prestataires de services.
