Bienvenue dans la série de blogs du PCI Security Standards Council, The AI Exchange : Innovators in Payment Security. Cette fonctionnalité spéciale et continue de notre blog PCI Perspectives fournit une ressource permettant aux acteurs du secteur de la sécurité des paiements de partager des informations sur la manière dont ils adoptent et mettent en œuvre l'intelligence artificielle (IA) dans leurs organisations.
Dans cette édition de The AI Exchange, le fondateur et PDG de SISA, Dharshan Shanthamurthy, donne un aperçu de la manière dont son entreprise utilise l'IA et de la manière dont cette technologie à croissance rapide façonne l'avenir de la sécurité des paiements.
Comment avez-vous récemment intégré l’intelligence artificielle au sein de votre organisation ?
Nous avons adopté une stratégie en trois volets : l’IA pour la cybersécurité, la cybersécurité pour l’IA et l’IA pour l’amélioration continue.
AI for Cybersecurity se concentre sur l’intégration de l’intelligence artificielle comme élément clé dans les dix gammes de solutions de SISA, favorisant à la fois la croissance et l’efficacité opérationnelle.
La cybersécurité pour l'IA est apparue comme une gamme de solutions dédiée il y a 18 mois, en réponse aux préoccupations croissantes de nos clients concernant la sécurité des mises en œuvre de l'IA. Pour renforcer ce domaine, nous avons également lancé un programme de certification accrédité par l'ANAB, « Cybersecurity Professional for AI (CSPAI) », qui a reçu un accueil et une adoption considérables à l'échelle mondiale.
Enfin, l’IA pour l’amélioration continue reflète l’une des convictions fondamentales de SISA : l’apprentissage, l’innovation et l’amélioration ne doivent jamais s’arrêter. Nous intégrons l'IA dans tout ce que nous faisons, ce qui permet d'obtenir des informations plus rapides, des décisions plus intelligentes et des améliorations continues dans l'ensemble de l'organisation.
Quel est le changement le plus important que vous ayez constaté dans votre organisation depuis que l’utilisation de l’IA est devenue beaucoup plus répandue ?
Le monde évolue plus vite que jamais et de nombreuses hypothèses de longue date sont en train d’être redéfinies. Je vois le monde appuyer sur un bouton de réinitialisation. Pour SISA, comme pour beaucoup d’autres, le défi réside dans la rapidité avec laquelle nous pouvons évoluer dans cette nouvelle ère de l’IA. Cette transformation ne concerne pas seulement la technologie ; Il s’agit d’un voyage profond de gestion du changement. À mesure que nous progressons dans cette transformation, je suis conscient que nous devons l’aborder avec une véritable intention, sans la traiter comme un exercice de cocher des cases, mais comme un catalyseur de progrès significatifs.
Comment pensez-vous que l’IA évoluera ou impactera la sécurité des paiements à l’avenir ?
Comme toute innovation technologique du passé, l’IA aura ses avantages et ses défis en matière de sécurité des paiements. Les avantages sont nombreux : la détection des fraudes aux paiements s’améliore et l’IA intégrée aux solutions de sécurité automatise diverses tâches banales, permettant ainsi aux professionnels de la cybersécurité de se concentrer sur des tâches à plus forte valeur ajoutée. Par exemple, SISA a lancé un Agentic SOC sur RSA plus tôt cette année, démontrant comment les tâches L1 et L2 peuvent être automatisées, et nous avons déjà constaté une forte adoption de cette solution. Nous avons également vu l’IA être utilisée pour rédiger des rapports, examiner des preuves et effectuer de nombreuses tâches que les auditeurs considèrent souvent comme fastidieuses, comme le QSA.
D’un autre côté, l’IA élargit également la surface d’attaque. En tant qu’entreprise de cybersécurité basée sur la criminalistique et convaincue qu’il faut transformer le recul en prospective, nous constatons que les attaquants exploitent l’IA aussi efficacement que les défenseurs. Nous avons constaté une augmentation des logiciels malveillants polymorphes et des scripts malveillants de plus en plus sophistiqués, car l'IA rend la génération de code plus facile et plus rapide que jamais. Notre rapport BFSI sur les menaces numériques du secteur 2024 met en évidence plusieurs de ces menaces émergentes basées sur l’IA.
En bref, le champ de bataille est en train d’être redéfini et, à l’ère de l’IA, l’offensive et la défense évoluent à une vitesse sans précédent.
Quels risques potentiels les organisations devraient-elles prendre en compte à mesure que l’IA est de plus en plus intégrée à la sécurité des paiements ?
L’IA, telle qu’elle se présente aujourd’hui, peut être considérée sous trois facettes clés.
- Le premier est l’IA analytique (apprentissage automatique/apprentissage profond), qui alimente la détection des anomalies par des algorithmes de formation pour identifier des modèles et faire des prédictions basées sur des données historiques.
- La seconde est l’IA créative (IA générative), qui va au-delà de la prédiction jusqu’à la génération. Il n'agit pas de manière autonome mais répond plutôt intelligemment aux indications.
- Le troisième est l’IA autonome (IA agent), qui peut penser, planifier et agir, et pas seulement réagir.
Les risques potentiels de l’IA doivent être évalués selon chacune de ces dimensions. Dans l’IA analytique, les menaces incluent l’empoisonnement des données, où les attaquants manipulent les données d’entraînement pour tromper les modèles ; l'inversion de modèle, où les adversaires reconstruisent des données d'entraînement sensibles grâce à des requêtes répétées ; et des exemples contradictoires, où des changements subtils dans l'entrée, même de quelques pixels, peuvent inciter un classificateur d'images à mal identifier un objet.
Dans l’IA créative, nous sommes confrontés à des risques tels que l’injection rapide, où des instructions malveillantes sont intégrées aux entrées pour générer des résultats indésirables ou sensibles. Une autre préoccupation émergente concerne le risque lié à la chaîne d’approvisionnement du modèle, c’est-à-dire la manipulation des pondérations du modèle ou des ensembles de données pour introduire des portes dérobées dans les systèmes en aval.
Enfin, dans l’IA autonome, nous anticipons des risques tels qu’une autonomie illimitée ou des boucles récursives, où les agents peuvent continuellement agir ou extraire des données sans supervision humaine. Il existe également une collusion multi-agents, dans laquelle des agents compromis coordonnent ou influencent d’autres personnes pour qu’elles effectuent des actions malveillantes.
Aujourd’hui, une quatrième facette émerge : l’IA de réalité synthétique, où l’IA fusionne les mondes physique et numérique grâce à la robotique, à l’AR/VR et à d’autres systèmes cyber-physiques.
Cette fusion des mondes physique et virtuel accélérera l’émergence du commerce d’agents, et les professionnels de la sécurité des paiements doivent travailler ensemble pour protéger cet écosystème en évolution. De la manipulation de l’identité des agents et de la confiance à la manipulation des transactions et des paiements, en passant par les risques liés à la chaîne d’approvisionnement, le paysage des menaces va s’étendre rapidement. Nous avons largement abordé ces défis émergents dans notre programme de certification Cybersecurity for AI (CSPAI) afin de contribuer à renforcer la préparation de la communauté de la sécurité des paiements.
Quels conseils donneriez-vous à une organisation qui commence tout juste à utiliser l’IA ?
Le premier apprentissage que je partagerais avec quiconque commence son parcours vers l’IA est d’accepter que le changement sera difficile. Beaucoup sous-estiment l’ampleur de la gestion du changement requise.
Deuxièmement, informez vos principaux dirigeants de ce que l’IA peut et ne peut pas réellement faire. La réalité est que de nombreux dirigeants surestiment leur compréhension de l’IA et, par conséquent, ne parviennent pas à identifier les bons cas d’utilisation pour leur organisation.
Troisièmement, développez les compétences en IA dans toute l’entreprise : chacun doit comprendre l’impact de l’IA sur son rôle et ses décisions.
Quatrièmement, élaborez un plan de transformation clair sur 6 à 18 mois, en fonction de la taille et de la complexité de l'organisation. Mettez en œuvre des changements qui améliorent directement les résultats ou les résultats.
Enfin, mesurez continuellement les progrès et assurez-vous que la transformation de l'IA reste à l'ordre du jour du PDG.
Quelle tendance de l’IA (non limitée aux paiements) vous passionne le plus ?
Je suis enthousiasmé par les possibilités qui étaient autrefois hors de portée de l’humanité. La découverte de médicaments, par exemple, est extrêmement prometteuse. Imaginez des progrès qui pourraient mener à un remède contre le cancer. Grâce à l’IA, nous pourrions prolonger notre espérance de vie et notre santé, ce qui nous permettrait de vivre plus longtemps et mieux. La recherche spatiale est une autre frontière passionnante où l’IA pourrait conduire à des découvertes extraordinaires, et même favoriser notre aspiration à devenir une espèce multiplanétaire.
