Les nouvelles directives du **CERT-In** imposent aux organisations de corriger les vulnérabilités de sécurité critiques dans les systèmes exposés sur Internet dans les 12 heures suivant leur signalement, lorsque cela est « faisable ». Ce calendrier agressif vise à contrer la menace croissante posée par les cyberattaques améliorées par l'IA. ### Le paysage de la menace cyber-IA Selon le plan de 38 pages du **CERT-In**, « l'exploitation cybernétique assistée par l'IA réduit le temps nécessaire aux adversaires pour identifier, exploiter et utiliser les vulnérabilités, les services exposés, les identités faibles, les API non sécurisées et les systèmes mal configurés ». L'agence souligne la dépendance croissante à l'égard de l'infrastructure numérique interconnectée, des écosystèmes cloud, des chaînes d'approvisionnement logicielles, des technologies opérationnelles et des plateformes basées sur l'IA, qui amplifient tous l'impact potentiel des menaces cybernétiques basées sur l'IA dans tous les secteurs. Les acteurs de la menace exploitent l'IA pour diverses activités malveillantes, notamment : * Découverte de la surface d'attaque * Analyse des exploits * Génération de contenu de phishing * Création de malware Cela leur permet de compresser les délais de préparation des attaques et de contourner les contrôles de sécurité traditionnels. De plus, les systèmes basés sur l'IA eux-mêmes deviennent des cibles par le biais d'injections de prompts, de vulnérabilités de fuite de données, de techniques de jailbreaking, de manipulation de modèles, d'empoisonnement des données d'entraînement, de vol de modèles et de compromission des pipelines d'orchestration. ### Principes de défense Le **CERT-In** souligne la nécessité de réduire proactivement l'exposition et de se préparer opérationnellement. Les principes de défense clés comprennent : * Adopter une posture de « confiance zéro » et se préparer à une réponse rapide aux incidents. * Adopter une architecture Zero Trust. * Mettre en œuvre une stratégie de défense en profondeur. * Surveillance et réduction continues des vulnérabilités. * Intégrer un paradigme « sécurisé dès la conception ». * Maintenir la continuité opérationnelle pendant les incidents. * Protéger les données sensibles tout au long de leur cycle de vie. * Réduire les risques liés à la chaîne d'approvisionnement logicielle grâce au SBOM (Software Bill of Materials), à la validation de la provenance et aux évaluations. * Tests de sécurité réguliers par le biais de red teaming et de tests d'intrusion. * Prioriser les contrôles en fonction de la criticité et de l'exposition. * Établir des mécanismes formels de gouvernance de l'IA. * Maintenir la visibilité sur les systèmes d'IA et leur comportement. ### Délais de remédiation Au-delà du mandat de 12 heures pour les correctifs des vulnérabilités critiques exposées sur Internet, le **CERT-In** détaille les délais de remédiation basés sur les risques suivants : * Vulnérabilités critiques exposées extérieurement : Dans un délai de 1 jour * Vulnérabilités connues et exploitées affectant les systèmes internes : Dans un délai de 1 jour (sauf si des mesures d'atténuation sont en place) * Vulnérabilités internes critiques affectant les systèmes de grande valeur : Dans un délai de 3 jours * Vulnérabilités de haute gravité : Dans un délai de 5 jours, en fonction de la priorisation des risques Dans les cas où des correctifs ne sont pas disponibles, des mesures d'atténuation temporaires telles que l'isolement, la restriction d'accès, la protection WAF (Web Application Firewall)/API, une surveillance renforcée ou la désactivation de fonctionnalités sont recommandées. ### La vue d'ensemble Ce plan fait suite à un précédent avis du **CERT-In** mettant en garde contre les capacités cybernétiques croissantes des modèles d'IA de pointe d'**Anthropic** et d'**OpenAI**, soulignant leur potentiel d'utilisation malveillante. L'agence a insisté sur le fait que « les contrôles de cybersécurité de base restent critiques et doivent être rigoureusement appliqués ».