L’intelligenza artificiale sta diventando inevitabile in molte professioni. Nella sicurezza informatica, è un assistente leale o un maestro pericoloso?
Olivier Ligneul – L’IA è essenziale in più di un modo nella sicurezza informatica. Da un lato, è una tecnologia che sarà utilizzata massicciamente dalle nostre professioni, per un certo numero di scopi di cui non conosciamo tutti gli sviluppi. Da questo punto di vista, dobbiamo quindi interessarcene. Dobbiamo verificare i pericoli, come presentarla e come, eventualmente, partecipare alla sua regolamentazione. Ma anche l’IA sta diventando uno strumento formidabile o estremamente pericoloso per gli attori della sicurezza informatica. Mi porta già molto valore aggiunto poter fare il nostro lavoro, poterci moltiplicare. Nelle mani degli aggressori, questo strumento diventa anche molto pericoloso, quando viene utilizzato per scopi belligeranti. L’automazione esisteva già, ma l’IA consente di virtualizzare un intero esercito di atti malevoli. Un numero molto piccolo di individui può quindi coordinare attacchi su larga scala, cosa che dobbiamo, come minimo, mettere in discussione.
Esempi di pregiudizi o allucinazioni nella sicurezza informatica?
Non dobbiamo fingere che l’IA farà cose che non potrà mai fare. Non avremo l’IA dei film 2001: Odissea nello spazio, Terminatore E Rete del cieloDetto questo, l’IA consente comunque al suo utente di avere una sorta di consapevolezza aumentata. Può anche diventare uno strumento molto interessante per l’acculturazione e la protezione di asset sensibili per un RSSI.
Vedete prospettive di miglioramento nei vostri ambienti?
Sì, e non solo con l’AI. Per una migliore integrazione della sicurezza, noto che automazioni, meccanismi e mezzi di governance attorno a IT e OT [technologies d’exploitation] vengono strutturati. Stiamo richiamando l’attenzione dei direttori tecnici e dei direttori organizzativi sulla gestione sicura delle loro attività. Da questo punto di vista, ciò apre ulteriormente la comunità RSSI a un gruppo di attori di oggetti digitali e connessi. Possiamo quindi creare ponti tra loro.
Dovremmo prestare particolare attenzione alle molteplici dipendenze tra sistemi IoT, sistemi industriali e sistemi IT?
A mio parere, dobbiamo adattarci soprattutto ai contesti di lavoro. Questo è l’approccio che stiamo adottando nel gruppo EDF. Il contesto di lavoro di un OT non è quello di un IT. Lo scopo di un sistema industriale è continuare a produrre in modo coerente. Le sfide dell’IT sono piuttosto la riservatezza, la produzione di massa, la standardizzazione e l’apertura al mondo esterno dove certi mondi sono pericolosi. Siamo piuttosto convergenti all’interno del gruppo EDF, dove solleviamo regolarmente la questione, in particolare con gli ingegneri dell’automazione. Stiamo assistendo all’inizio della convergenza tecnologica. Ci saranno contesti di lavoro diversi per molto tempo, ma dal punto di vista della tecnologia e degli attori, è abbastanza probabile che ciò convergerà.
La sicurezza informatica è integrata nella progettazione delle più recenti centrali nucleari?
All’epoca in cui vennero costruite le prime centrali nucleari, non esisteva ancora la sicurezza informatica by design. In effetti, non esisteva l’IT; eravamo più interessati all’elettronica. Da allora, il mondo è cambiato. Ora, le preoccupazioni relative alla sicurezza informatica vengono prese in considerazione in tutti i nostri lavori, fin dalla fase di progettazione. Le nostre autorità hanno legiferato e sono molto integrate nel pensiero e nella convalida dei vari elementi mantenuti in relazione alla sicurezza informatica. Allo stesso modo, in tutti i nostri lavori di costruzione e nei nostri cantieri, integriamo anche la sicurezza informatica non appena c’è un po’ di tecnologia digitale.
I team EDF partecipano a casi d’uso o progetti di ricerca informatica?
Sì, la nostra entità di R&S ha 2.000 ricercatori, tra cui circa cinquanta ingegneri della sicurezza informatica che lavorano su metodi formali per convalidare l’esecuzione di algoritmi, su problemi di omomorfismo o sulla sicurezza quantistica. Ci teniamo informati sugli sviluppi tecnologici e sui risultati della ricerca accademica. Uno dei nostri centri di R&S è stato costruito anche a Saclay per facilitare le collaborazioni con altri centri di ricerca, anche nel campo dell’IA.
Puoi riassumere il tuo background professionale e le tue responsabilità?
Dopo la laurea in ingegneria, ho lavorato nel mondo delle telecomunicazioni fino alla fine degli anni ’90. Ho lavorato su infrastrutture di rete e data center. Più di recente, ho lavorato sulla sicurezza informatica, come parte della mia integrazione in ANSSI, alla fine del 2009 quando è stata creata l’agenzia. Poi, per sette anni, prima come responsabile delle attività di consulenza e assistenza, dove ho supportato diversi ministeri. Dopo un importante attacco informatico, sono entrato nella Segreteria generale dei Ministeri economici e finanziari, fino al 2015. In quel periodo, sono entrato nel gruppo EDF dove, come direttore della sicurezza informatica, sono responsabile della sicurezza informatica di tutte le filiali e divisioni del gruppo, industriali e IT.
Ulteriori missioni associative?
Ho gradualmente partecipato alle attività dell’ecosistema della sicurezza informatica. Ho contribuito alla creazione di TOSIT (“The Open Source I Trust”), un’associazione che riunisce grandi aziende e ministeri per proteggere diversi ambienti open Source. All’interno di Cesin, questo club di oltre 1.000 RSSI, mi concentro sulla guida della comunità di grandi aziende e amministrazioni. Infine, come presidente del club EBIOS che promuove il metodo di analisi del rischio pubblicato da ANSSI, supporto gli sviluppi di questo metodo.
Foto: © DR
