(Interview) Cybersécurité : l'expert Jesper Olsen alerte sur la fragilité des infrastructures critiques belges

Partager
(Interview) Cybersécurité : l'expert Jesper Olsen alerte sur la fragilité des infrastructures critiques belges
Jesper Olsen, Chief Security Officer chez Palo Alto Networks, est expert dans la cryptographie et les communications sécurisées.

L’IA a radicalement transformé le paysage des menaces. Les attaques sophistiquées permettent aux cybercriminels d’agir avec une rapidité inédite. Face à l’automatisation, les cycles de patching traditionnels sont incapables de contrer des exploits qui se propagent en quelques minutes. Pour les organisations belges, souvent freinées par des outils fragmentés, l’heure est à la refonte stratégique. Jesper Olsen, Chief Security Officer chez Palo Alto Networks, préconise une défense en profondeur, intégrée et « Secure-by-Design », où la technologie ne suffit plus sans une expertise humaine élevée. Entre pénurie de talents et nécessité d’architectures « auto-réparatrices », l'expert explore les piliers d’une résilience proactive face à une cybercriminalité toujours plus augmentée.

 -Cyber Security News Belgium : De quelle manière l’IA contribue à la démocratisation d’une cybercriminalité de plus en plus sophistiquée ? 

  Jesper Olsen, Chief Security Officer, Palo Alto Networks : L'IA permet à des cybercriminels moins expérimentés de mener des attaques toujours plus complexes visant les chaînes d’approvisionnement, alors qu’elles étaient auparavant l’apanage de groupes organisés souvent soutenus par des États. L’IA peut désormais les aider de multiples façons : traduction de messages, rédaction et modification de code selon les besoins, réalisation d’évaluations financières et de maturité des cibles potentielles, identification de cibles individuelles au sein d’une organisation, etc. Si nous pouvons imaginer une manière intelligente de l’utiliser dans nos entreprises, soyez assurés qu’ils le peuvent aussi. La différence, c’est qu’ils se soucient rarement des contraintes éthiques ou des politiques d’entreprise, contrairement à nous, ce qui leur permet d’agir plus rapidement dans certains domaines.

 -Cyber Security News : Les organisations critiques en Belgique sont-elles équipées pour contrer des attaques complexes capables d’escalade de privilèges et de cibler la chaîne d’approvisionnement ?

 J.O. La plupart des organisations disposent de bons processus de protection, mais nos recherches révèlent néanmoins des piles d’outils fragmentées, gérées individuellement en fonction des résultats recherchés, et qui malheureusement s’avèrent très souvent insuffisantes en cas d’incident. 

 -Que doivent mettre en place les entreprises pour se défendre contre de telles attaques ? Est-ce davantage une question de solutions informatiques ou de compétences humaines ?

J.O. L’accent doit toujours être mis sur l’exploitation de plateformes de sécurité intégrées en natif, afin qu’elles puissent aider (quasiment en temps réel) les décideurs avant, pendant et après la venue d’incidents. Il est donc essentiel pour les entreprises, à l’heure où des modèles d’IA très performants sont accessibles au grand public, de mettre en place des inventaires complets et des cartographies continues des vulnérabilités. 

 -Que manque-t-il aux organisations des secteurs critiques en Belgique (énergie, hôpitaux, banques, etc.) pour contrer les attaques sophistiquées basées sur l’IA ? S’agit-il uniquement d’une question d’investissement ou de compétences humaines? 

J.O. Il est primordial d’avoir les bonnes personnes, les bons processus et les bonnes technologies. Toute la question est de savoir où les trouver. Et de s’entourer des profils qui comprennent les nouvelles capacités de l’IA, les mettent en œuvre, et qui soient en mesure de former d’autres personnes à leur utilisation.  Tout cela exige des processus adaptés et une technologie qui soit capable non seulement de surveiller votre écosystème numérique, en temps réel et de manière cohérente, mais qui applique également des mesures de sécurité aux endroits stratégiques. A savoir les cyberdéfenses multicouches.

 -Comment l’IA permet-elle aux attaquants de concevoir des logiciels malveillants qui adaptent leur comportement en temps réel pour échapper à la détection classique basée sur les signatures ?

J.O.  Il existe plusieurs méthodes différentes de concevoir des malwares sophistiqués, comme l'exécution conditionnelle (contextuelle) qui détecte si le code est exécuté dans un environnement sandbox. Les mutations automatiques (modification du code lors de la détection ou du blocage en cours d'exécution). La prise de décision agentique qui permet de tenter automatiquement des alternatives en cas de blocage, plutôt que d'attendre une intervention humaine. Et bien sûr, la boucle de rétroaction qui utilise l'IA pour écrire du code. Lorsque ce code est bloqué, l'IA apprend de cet échec et crée une nouvelle version non détectée pour des déploiements ultérieurs.

 -Comment l'utilisation de l'IA générative change-t-elle la donne en matière de création de code malveillant « indétectable » ?

 J.O. Comme expliqué précédemment, si vous combinez plusieurs des capacités que je viens de décrire, et que vous pouvez exploiter des modèles d'IA de manière malveillante dans n'importe quel environnement, vous pourriez être en mesure de disposer d'un code qui s'adapte à son environnement et qui devient donc pratiquement indétectable. Cela ne serait pas possible sans l'utilisation de l'IA, car les cybercriminels devraient dans ce cas combiner des connaissances approfondies en la matière, une expertise pointue et consacrer un temps considérable.

 -L'IA peut-elle apprendre à exploiter des vulnérabilités « zero-day » spécifiques à une architecture donnée afin d'élever les privilèges sans déclencher d'alertes des systèmes de surveillance (EDR/XDR) ?

 J.O. Oui, absolument. C'est pourquoi les organisations doivent impérativement mettre en place des défenses en couches avec de multiples points de contrôle ! C'est exactement la raison pour laquelle Palo Alto Networks applique des contrôles de sécurité cohérents dans toute l'entreprise : XDR pour les contextes liés aux terminaux, outils de sécurité cloud pour les écosystèmes qui hébergent et fournissent les services, solutions de sécurité réseau pour les flux de données, ou encore une sécurité des identités pour les identités humaines, machine et agentiques. Tous ces éléments sont essentiels pour avoir une visibilité complète de la situation et des capacités de réponse en temps réel.

 -Comment les cyber-attaquants s’y prennent-ils avec l'IA pour identifier les maillons faibles d’une chaîne de développement logicielle (bibliothèques open-source, dépendances tierces) pour y injecter du code malveillant ?

J.O. Les récents développements des modèles d'IA ont montré que certains modèles d’IA sont parfaitement capables d'évaluer ce qu'un correctif logiciel corrige, en comparant les différences ou par rétro-ingénierie. Ces connaissances peuvent ensuite être utilisées pour construire des exploits fonctionnant dans tous les environnements non corrigés. Mais le véritable défi réside dans les modèles exceptionnels pour trouver des vulnérabilités dans le code source. La rapidité et l'efficacité de certains de ces modèles sont sans équivalent chez les humains, ce qui crée une fenêtre d'opportunité dangereuse pour les cybercriminels.

 -A votre avis, pourquoi les cycles de correctifs traditionnels, basés sur des fenêtres de maintenance régulières, sont dépassés avec les attaques automatisées par l'IA ?

J.O. C’est toute la question du défi des pratiques informatiques traditionnelles. On développe un correctif logiciel et on planifie ensuite sa mise à jour pour la prochaine fenêtre de service disponible, si le comité de validation des changements approuve le risque potentiel. Or, les modèles d'IA actuels sont capables de transformer un correctif logiciel en arme redoutable, en quelques minutes seulement. A moins que le cycle des pratiques traditionnelles soit inférieur à ce délai, l'attaquant dispose aujourd’hui de sa propre « fenêtre de service » dans votre environnement. 

 -Que doivent faire les entreprises dans la mesure où l'IA générative facilite la création de malwares capable de contourner les signatures classiques, rendant les correctifs traditionnels incapables d'arrêter la propagation ?

 J.O. C'est désormais une question de vitesse. Les cybercriminels peuvent aujourd’hui exploiter une vulnérabilité avant qu’une organisation puisse appliquer un correctif. Les entreprises doivent donc trouver des moyens de compresser les délais de correction, de détection et de réponse. Mais elles doivent également trouver de nouvelles façons de prioriser ce qui doit être corrigé en premier.

 -Quelles nouvelles stratégies de défense les organisations doivent-elles développer pour se protéger contre ces nouvelles menaces ? Certaines stratégies sont-elles aujourd’hui plus efficaces que d'autres ?

J.O. La défense en profondeur n'a jamais été aussi pertinente qu’aujourd’hui. La conception sécurisée par défaut (Secure-by-Design) et les principes de sécurité intrinsèques (Secure-by-Principle) sont des modes de pensée qui doivent imprégner tous ceux qui, dans une organisation, créent et déploient des logiciels ou du code. Et oui … Cela inclut l'Infrastructure « As Code ». Pensez aux « Impalpables » (The Unpatchables). Même si cela ressemble à un bon titre de film, c'est la dure réalité pour de nombreuses organisations. Certains actifs ne peuvent pas être corrigés à temps avant que quelqu'un n'exploite les vulnérabilités qu'ils contiennent. 

 -La correction automatisée des correctifs est-elle encore une réponse valable pour les entreprises en 2026 ?

 J.O. C'est inévitable compte tenu de la direction que nous prenons, mais avec une approche pragmatique, et pas simplement en ouvrant les vannes à tous les éditeurs de logiciels qui livrent des mises à jour à leur guise. Chaque organisation possède des actifs numériques essentiels à son activité minimale viable. 

 -Vers quel modèle d'architecture « auto-réparatrice » (self-healing) les entreprises devraient-elles évoluer pour se libérer des cycles de correction manuels : existe-t-il un modèle d'architecture supérieur aux autres ?

J.O. Je pense que les services de streaming sont de bons exemples d'architectures auto-réparatrices où la surveillance, la détection, l'analyse et la correction sont automatiques et continues, au bénéfice du consommateur, mais bien sûr également au bénéfice de l'organisation elle-même. C’est désormais possible grâce à une combinaison d'orchestration de conteneurs, d'infrastructure cloud et d'auto-scaling, et bien sûr grâce à une couche de redirection au sein de l'application elle-même, au cas où une connexion ou un mécanisme interne viendrait à échouer.

 -Envisagez-vous l'avenir de la cybersécurité avec optimisme, compte tenu des compétences croissantes des experts et de l'intelligence grandissante des systèmes de détection d'attaques ?

J.O.  Il y a des raisons valables de rester optimiste lorsqu’on regarde l'immense potentiel qu’apportent les modèles récents les plus puissants (Frontier). Exploiter ces modèles, d'un point de vue cybersécurité, pour découvrir des failles et des vulnérabilités dans le code avant la publication des applications apportera sur le marché des applications plus sûres et plus stables. Ainsi, avec le temps, nous pourrions constater un moindre impact de la part des cybercriminels cherchant à tirer profit de code défectueux. N'oublions pas que bon nombre de ces nouveaux modèles sont également très performants dans d'autres domaines, comme l'analyse de défis sous plusieurs angles en parallèle. Ce qui nous permet de mieux comprendre des sujets complexes de manière différente et novatrice.


Jesper Olsen est l'actuel Chief Security Officer chez Palo Alto Networks, où il conseille gouvernements et entreprises face aux menaces hybrides et à l'essor de l'IA.  Expert en gestion des risques et architectures de sécurité, il a forgé sa réputation au cœur de la défense globale, ayant passé neuf ans comme officier de sécurité pour la Défense danoise avant de devenir Représentant National du Danemark au sein de l’OTAN, spécialisé dans la cryptographie et les communications sécurisées.

Lire la suite