Les CISO exigent une régulation urgente de l'IA face aux menaces DeepSeek
Un malaise palpable s’installe chez les Chief Information Security Officers (CISO) des centres d’opérations de sécurité du Royaume-Uni, en particulier concernant le géant chinois de l’IA, DeepSeek. Alors que l’intelligence artificielle était initialement annoncée comme une nouvelle ère pour l’efficacité et l’innovation des entreprises, ceux qui sont en première ligne de la défense corporative la perçoivent désormais comme projetant de longues ombres sombres.
Un pourcentage frappant de 81 % des CISO britanniques estime que le chatbot chinois d’IA nécessite une régulation gouvernementale urgente. Ils craignent qu’en l’absence d’une intervention gouvernementale rapide, cette technologie ne précipite une crise cybernétique nationale. Il ne s’agit pas d’une anxiété spéculative ; c’est une réponse directe à une technologie dont les pratiques de gestion des données et le potentiel inhérent d’utilisation abusive tirent la sonnette d’alarme aux plus hauts niveaux de la sécurité des entreprises.
Ces conclusions, commandées par Absolute Security pour son rapport UK Resilience Risk Index, sont basées sur une enquête menée auprès de 250 CISO au sein des principales organisations britanniques. Les données suggèrent que la menace abstraite de l’IA s’est matérialisée directement dans l’ordre du jour des CISO, et leurs réactions ont été décisives. Dans un mouvement qui aurait été presque impensable il y a seulement quelques années, plus d’un tiers (34 %) de ces leaders de la sécurité ont déjà mis en œuvre des interdictions pures et simples des outils d’IA en raison de préoccupations de cybersécurité. Une proportion similaire, 30 %, a déjà interrompu des déploiements spécifiques d’IA au sein de leurs organisations.
Ce recul n’est pas né d’une aversion technologique, mais représente une réponse pragmatique à un problème croissant. Les entreprises sont déjà aux prises avec des menaces complexes et sophistiquées, comme en témoignent des incidents très médiatisés tels que la récente violation de Harrods. Les CISO ont du mal à suivre le rythme, et l’intégration de l’IA avancée dans la boîte à outils de l’attaquant présente un défi pour lequel beaucoup se sentent profondément mal préparés.
Au cœur des préoccupations concernant des plateformes comme DeepSeek se trouve leur capacité à exposer des données d’entreprise sensibles et à être militarisées par des cybercriminels. Trois CISO sur cinq (60 %) prévoient une augmentation directe des cyberattaques suite à la prolifération de DeepSeek. Une proportion identique rapporte que la technologie complique déjà leurs cadres de confidentialité et de gouvernance, rendant une tâche déjà ardue presque intenable. Cela a provoqué un changement significatif de perspective. Autrefois saluée comme une panacée potentielle pour les problèmes de cybersécurité, l’IA est désormais perçue par 42 % des CISO comme un passif plus important qu’un atout dans leurs stratégies défensives.
Andy Ward, vice-président senior international d’Absolute Security, a souligné la gravité de la situation : « Notre recherche met en évidence les risques significatifs posés par les outils d’IA émergents comme DeepSeek, qui remodèlent rapidement le paysage des cybermenaces. À mesure que les préoccupations grandissent quant à leur potentiel d’accélérer les attaques et de compromettre les données sensibles, les organisations doivent agir dès maintenant pour renforcer leur cyber-résilience et adapter les cadres de sécurité pour suivre le rythme de ces menaces basées sur l’IA. C’est pourquoi quatre CISO britanniques sur cinq appellent urgemment à une régulation gouvernementale. Ils ont été témoins de la rapidité avec laquelle cette technologie progresse et de la facilité avec laquelle elle peut dépasser les défenses de cybersécurité existantes. »
Le plus inquiétant est peut-être l’aveu généralisé d’impréparation. Près de la moitié (46 %) des hauts responsables de la sécurité reconnaissent que leurs équipes sont mal préparées à gérer les menaces distinctes posées par les attaques basées sur l’IA. Ils voient les outils d’IA, tels que DeepSeek, dépasser leurs capacités défensives en temps réel, créant une lacune de vulnérabilité périlleuse que beaucoup croient que seule une intervention gouvernementale au niveau national peut combler. « Ce ne sont pas des risques hypothétiques », a poursuivi Ward. « Le fait que les organisations interdisent déjà purement et simplement les outils d’IA et repensent leurs stratégies de sécurité en réponse aux risques posés par les LLM comme DeepSeek démontre l’urgence de la situation. Sans un cadre réglementaire national complet — un cadre qui délimite des directives claires pour le déploiement, la gouvernance et la surveillance de ces outils — l’économie du Royaume-Uni fait face au risque de perturbations généralisées dans tous les secteurs. »
Malgré cette posture défensive, les entreprises n’envisagent pas un retrait complet de l’IA. La réponse est plus une pause stratégique qu’un arrêt permanent. Les entreprises reconnaissent l’immense potentiel de l’IA et investissent activement dans son adoption sécurisée. En fait, un pourcentage substantiel de 84 % des organisations priorisent l’embauche de spécialistes de l’IA pour 2025. Cet investissement s’étend jusqu’au sommet de l’échelle corporative, avec 80 % des entreprises engagées dans la formation à l’IA au niveau exécutif. La stratégie semble être une approche à deux volets : améliorer les compétences de la main-d’œuvre existante pour comprendre et gérer la technologie, tout en recrutant simultanément des talents spécialisés pour naviguer dans ses complexités inhérentes. L’espoir prédominant est que la culture d’une base interne solide d’expertise en IA puisse servir de contrepoids crucial aux menaces externes croissantes.
Le message de la direction de la sécurité du Royaume-Uni est clair : ils ne cherchent pas à entraver l’innovation en IA, mais plutôt à permettre son progrès sûr et responsable. Pour y parvenir, ils ont besoin d’un partenariat plus solide avec le gouvernement. La voie à suivre implique l’établissement de règles d’engagement claires, une surveillance gouvernementale robuste, la promotion d’un vivier de professionnels de l’IA qualifiés et le développement d’une stratégie nationale cohérente pour gérer les risques de sécurité potentiels posés par DeepSeek et la prochaine génération inévitable d’outils d’IA puissants. « Le temps des débats prolongés est révolu », conclut Ward. « Une action immédiate, une politique globale et une surveillance rigoureuse sont impératives pour garantir que l’IA reste une force de progrès, et non un catalyseur de crise. »