Dans le monde de la finance, on célèbre les merveilles de l’intelligence artificielle, mais l’attention se porte de plus en plus sur les inconvénients potentiels. Le risque de comportements frauduleux et de manipulations sur les marchés financiers est grandissant, et les experts en cybersécurité avertissent que les hackers d’aujourd’hui pourraient améliorer leurs capacités grâce à l’IA. Cette avancée se produit alors que de nombreuses organisations négligent les mesures de base en matière de cybersécurité.
Hollywood nous a offert toute une série de films - Terminator - basée sur une intelligence artificielle incontrôlable et des cyborgs intelligents. Aujourd’hui, Netflix propose un film intitulé Unknown: Killer Robots. La vision positive actuelle de l’IA semble largement influencée par la nouveauté.
Cependant, ces inquiétudes ne se limitent pas à Hollywood. Une enquête menée récemment par Natixis Investment Managers mentionne « un potentiel élevé de comportements frauduleux » et de manipulations liés à l’IA.
« Pour les instruments financiers, cela pourrait être problématique », a déclaré Koen Maris, Advisory Partner chez PwC Luxembourg et expert en cybersécurité. « La rapidité avec laquelle l’IA pourrait commencer à lancer des transactions et manipuler une bourse pourrait être dangereuse. »
Manipulation des données
Koen Maris a brossé la situation. « Si l’ensemble de données est erroné et que les hackers ou le côté obscur ont tout à gagner en manipulant les données de l’ensemble de données », a-t-il déclaré.
« Si demain, vous pouvez convaincre ces outils ou robots d’investissement IA que Microsoft est une très mauvaise option d’achat et qu’il n’y a plus de vision à long terme, tout le monde commencera à s’en débarrasser en se basant sur les informations de l’IA. »
Natixis a noté : « Tout comme la crainte que l’IA puisse être utilisée pour manipuler le sentiment politique et le comportement des électeurs, les stratégistes craignent que le comportement des investisseurs et le sentiment du marché puissent être manipulés par des acteurs malveillants, et 100 % des stratégistes déclarent que l’IA augmentera le potentiel de fraude et d’escroquerie. »
Résilience de l’IA
L’IA est en passe de devenir un sujet clé pour les investisseurs. « Alors que les investisseurs évaluent et sélectionnent les gestionnaires d’investissement, il deviendra plus important de tester la résilience des stratégies d’investissement des gestionnaires sur des marchés de plus en plus façonnés par l’IA, afin de garantir que leur opportunité d’alpha reste reproductible, explicable et créatrice de valeur à long terme », a déclaré Martha Brindle, Equity Director chez bfinance.
Mais s’il y a un domaine où l’IA représente une véritable menace, c’est bien la cybersécurité. Maris a expliqué que l’IA pouvait aussi bien contribuer que nuire à la sécurité informatique.
Un train de retard
« Dans le domaine de la sécurité, elle pourrait nous aider en termes de détection et d’amélioration », a-t-il déclaré. « Mais n’oubliez pas que ce type d’IA a toujours un train de retard par rapport à l’IA que les attaquants pourraient utiliser. »
« Nous jouons au chat et à la souris. Et du côté des attaquants, cela pourrait être très dangereux, car l’IA pourrait trouver des failles sans en parler à personne, puis les utiliser pour infiltrer votre réseau ou votre environnement », a expliqué Maris.
« L’IA a presque grandi trop rapidement et trop, et il est désormais impossible de réglementer son utilisation », a déclaré George Ralph, Global Managing Director et Chief Risk Officer de l’entreprise technologique RFA. Il a ajouté que l’Enisa, l’agence de l’Union européenne pour la cybersécurité, ainsi que son entreprise se préoccupent de ces questions.
Revers de la médaille
« Pour chaque utilisation positive de l’IA et les avantages qu’elle apporte en matière de cybersécurité, il y a le revers de la médaille : quelque part, quelqu’un travaille en utilisant la même technologie à des fins illégales » a déclaré Ralph, qui a toutefois déclaré douter que l’IA ait un impact direct sur les marchés financiers à ce stade précoce.
Koen Maris, de PwC, a évoqué le Cyber Grand Challenge 2016 de la Defense Advanced Research Projects Agency (DARPA) américaine (agence américaine pour les projets de recherche avancée de défense), le ‘premier tournoi mondial de défense automatisée des réseaux’, réalisé avec des ordinateurs capables de ‘raisonner sur les failles’.
« Ils attaquaient et utilisaient des vecteurs d’attaque que personne ne connaissait », a déclaré Maris. « Ils étaient extrêmement créatifs. Ils innovaient. »
Préoccupations concernant la confidentialité des données
Stéphane Hurtaud, associé et Cyber risk services leader chez Deloitte, a expliqué les trois zones d’ombre de l’IA qui prévalent actuellement, en commençant par la confidentialité des données. Des critiques ont exprimé leurs inquiétudes quant aux données qui alimentent les IA. « Nous avons observé que les institutions financières ne prêtent pas toujours attention au type de données qu’elles fournissent », a déclaré Hurtaud, ajoutant que cela a conduit à des fuites de données.
Cette préoccupation est à l’origine de l’interdiction de l’utilisation de l’IA dans certaines régions, a indiqué Hurtaud.
Un deuxième type de menace, a expliqué Hurtaud, est l’utilisation de l’IA pour automatiser les cyberattaques. « Les attaquants peuvent utiliser des algorithmes d’apprentissage automatique pour traiter d’énormes quantités de données afin d’identifier les vulnérabilités et de contourner les mesures de sécurité existantes. » L’IA peut également aider à automatiser les attaques d’ingénierie sociale, a-t-il expliqué.
Entraîner les logiciels malveillants
L’IA peut aider les acteurs malveillants à échapper aux systèmes de détection. « En utilisant des algorithmes d’apprentissage automatique, les attaquants peuvent généralement utiliser le système pour former des logiciels malveillants à ne pas être détectés par les logiciels de sécurité traditionnels. »
Hurtaud, de Deloitte, a fait part de ses expériences recueillies auprès de conseils d’administration d’entreprises exprimant des inquiétudes au sujet de l’IA. Son message est le suivant : « Pour l’instant, la priorité doit rester de se doter des capacités et mesures de base pour protéger son organisation », a-t-il déclaré. « Avant de courir, il faut savoir marcher. »