« Nous sommes dans une course, que nous choisissions de l'accepter ou non », a déclaré Richard Browne.
La création de Mythos montre exactement ce qui est possible avec les outils d'IA dans le domaine de la cybersécurité, a déclaré Richard Browne, directeur du Centre national de cybersécurité (NCSC), au Comité mixte de l'Oireachtas sur l'intelligence artificielle cet après-midi (14 avril).
« Le problème n'est pas qu'Anthropic ait créé cela. Le problème est qu'Anthropic a démontré que cela est possible », a déclaré Browne en réponse aux questions posées par la TD Sinéad Gibney, des sociaux-démocrates, qui a déclaré qu'Anthropic s'engageait dans un « exercice de relations publiques ».
« Cette technologie existe et il est possible de l'utiliser. (Actuellement) elle est entre les mains d'une entreprise. Dans cinq mois – six mois – elle sera entre les mains d'un État (acteur) actif », a déclaré Browne. « La gouvernance est formidable, très importante, mais elle n'arrête pas les acteurs criminels. »
Anthropic a lancé Mythos plus tôt ce mois-ci auprès d'un groupe sélectionné des plus grandes entreprises du monde. Lors de son lancement, Anthropic a souligné les capacités de Mythos à détecter et générer des exploits à un rythme beaucoup plus rapide que ses concurrents.
L’entreprise, préoccupée par les mauvais acteurs, a plutôt choisi de laisser les entreprises renforcer leurs cyberdéfenses à l’aide de cet outil. Dans les jours qui ont suivi son lancement, les dirigeants américains, britanniques et canadiens ont déjà exprimé leurs inquiétudes.
Le NCSC, dans une déclaration publique hier (13 avril), a déclaré que Mythos semble représenter « un changement significatif dans la manière dont les vulnérabilités matérielles et logicielles sont identifiées ».
La décision d'Anthropic de restreindre la diffusion du modèle et de travailler en collaboration avec des partenaires industriels « est une approche responsable », ajoute-t-il.
L’IA a un impact « intrinsèquement imprévisible » sur la cybersécurité, a déclaré Browne au Comité. Il a noté que l’IA est « véritablement révolutionnaire » et pose un « changement générationnel » qui devrait affecter toutes les autres technologies numériques.
La question n’est plus de savoir si l’IA doit être adoptée, mais plutôt comment le faire en toute sécurité, a-t-il ajouté.
Le principal cas d’utilisation de la technologie a été celui d’un « multiplicateur de force », a déclaré Browne. Il permet aux utilisateurs d'augmenter l'échelle de leurs opérations – en « démocratisant » efficacement l'accès en supprimant les barrières techniques et linguistiques. Cela permet aux utilisateurs relativement novices d’utiliser des outils d’IA commerciaux pour déployer des attaques.
Les acteurs de la menace sont déjà de « gros utilisateurs » d’outils d’IA, a déclaré Browne, tandis que de l’autre côté, les agents de sécurité emploient également l’IA agentique pour renforcer leurs défenses.
L’évaluation nationale des cyber-risques publiée en décembre décrit comment l’IA génère un risque systémique en augmentant la vitesse, l’ampleur et la sophistication des cyberattaques.
« Nous sommes dans une course, que nous choisissions de l'accepter ou non », a déclaré Browne. « La frontière technique avance de semaine en semaine, et le rôle de gestion des risques liés aux cyber-risques pour la société et l’économie devient beaucoup plus dynamique. » Considérez l’IA comme un outil, une menace et une cible, a conseillé le directeur.
Il a ajouté que la vitesse à laquelle les modèles d’IA se développent entraîne également un « fossé en matière d’IA », laissant derrière eux des États incapables de s’adapter. La sécurité ne peut plus être une réflexion après coup, aussi prometteuse qu’un système d’IA puisse être, a déclaré Browne.
