Le coût des attaques et les réglementations stimulent la cybersecurité

Certains se rappelleront sans doute le film Wargames qui mettait en scène un jeune pirate informatique  qui accédait à un supercalculateurdes forces armées américaines. En 1983, date de sortie du film, l’histoire faisait figure de science-fiction. Aujourd’hui les cyberattaques font régulièrement parlées d’elles et leurs effets sont de plus en plus inquiétants pour l’économie, la sécurité et la démocratie et incitent à renforcer les mesures de cybersecurité.

Les dépenses en sécurité n’ont jamais été aussi élevées. Le cabinet Gartner les estime à 124 milliards de dollars pour 2019 au niveau mondial. La prise de conscience est réelle. Elle a muri progressivement depuis la cyberattaque contre l’Estonie en 2007 pour éclater sans doute en 2017 avec les ransomwares Wannacry et NotPetya. La leçon a été violente et immédiate. Les entreprises ont compris que les menaces pouvaient se propager extrêmement rapidement (en moins d’une heure pour NotPetya), s’étendaient au-delà des frontières (150 pays concernés par Wannacry) et touchaient tous types d’organisations et d’entreprises. On a surtout pu mesurer à cette occasion l’ampleur des dégâts en termes financiers. Pour Wannacry et NotPetya les estimations sont de l’ordre de 14 à 18 milliards de dollars sans compter les effets sur l’image des entreprises. Saint Gobain a reconnu avoir subi 220 millions de pertes avec Wannacry et l’armateur de containeurs maritimes Maersk les estime à 300 millions de dollars dus à NotPetya. En 2019 on a assisté avec « Locker Goga » à des approches beaucoup plus ciblées comme l’ont constaté à leur dépends Altran et Norsk Hydro. Cette dernière entreprise a constaté dès la première semaine des dégâts d’environ 40 millions de dollars. Ces montants font l’effet d’un électrochoc qui ne peut qu’inciter à investir dans la cybersécurité. Une étude Accenture a révélé qu’en France le cout des attaques avait progressé de 27,4% en un an et de 72% en 5 ans.

Les sources des attaques sont majoritairement à l’extérieur des frontières. La lutte contre les pirates informatiques est d’autant plus complexe que l’on a souvent affaire à des organisations structurées et compétentes qui lancent leurs attaques à partir l’étranger.  Une grande partie des attaques de phishing (hameçonnage) proviennent par exemple du Nigeria. Bien qu’il soit toujours difficile d’affirmer catégoriquement l’origine des attaques on soupçonne la Chine et la Russie (source Carbon Black) d’en être les responsables les plus importants.  A l’approche des élections européennes on s’inquiète des activités des groupes APT 28 et Sandworm Team (source Fire Eye) proches de la Russie. Ces deux groupes ciblent des organisations gouvernementales et des organismes de presse avec des méthodes de « spear phishing » (harponnage) pour extraire des données en vue de nuire à des candidats ou à des partis politiques.

La réglementation s’organise et s’harmonise au niveau européen.L’arsenal réglementaire s’est étoffé ces dernières années pour renforcer la confiance dans le numérique et s’adapter à la typologie des entreprises, organisations et institutions. Les opérateurs d’importance vitales (OIV), dont l’activité touche à la sécurité nationale, doivent respecter les règles fixées par certains articles de la loi de programmation militaire (LPM). Les Opérateurs de services essentiels (OSE) concernent d’avantage l’économie du pays et disposent depuis mai 2018 de la directive européenne NIS fortement inspirée de la LPM. Le même mois était publié le règlement européen RGPD qui porte sur la protection des données personnelles et oblige les entreprises à notifier toute violation de données, auprès des autorités de contrôles et des personnes concernées, au maximum 72h après avoir découvert la violation. Auparavant cette notification avait lieu en moyenne 49 jours après la découverte. Un progrès en termes d’information mais l’attaque a pu avoir eu lieu bien avant sans que personne ne s’en soit rendu compte. Pour compléter le paysage réglementaire on peut citer également le règlement européen eIDAS qui traite de l’identification électronique et des services de confiance.

La cybersécurité va au-delà de la, protection des données et des actifs d’une entreprise. Il s’agit d’instaurer la confiance. Les solutions de cybersecurité mises en place sont encore trop souvent un empilement de produits. La nature des menaces et leurs sophistications nécessitent non seulement d’investir mais également de reconsidérer les méthodes.

 

 

 

Google veut redorer l’image de l’intelligence artificielle

Le scandale de Cambridge Analytica a jeté un coup de projecteur sur Facebook et la manière dont il considérait la protection des données personnelles. Amazon est sous le feu des critiques pour avoir mis à disposition de la police son système de reconnaissance faciale qui compte tenu de ses biais pourrait discriminer des personnes de couleurs. Sous la pression de plus 4000 de ses employés Google a renoncé à collaborer avec l’armée américaine au projet Maven. Progressivement les GAFAM et les grandes entreprises technologiques prennent conscience que le développement technologique ne pourra pas se prolonger sereinement sans instaurer une « confiance numérique vertueuse». On assiste ainsi à un mouvement pour s’assurer que le développement de l’IA se fera en respectant certaines valeurs. Dans ce billet nous analysons quelques initiatives de Google dans ce domaine.

Contribuer à une IA éthique.Le 7 juin 2018 le CEO de Google, Sundar Pichai a publié un billet sur le blog de son entreprise intitulé : « AI at Google: our principles ». Il y reconnait que la puissance de technologies comme l’intelligence artificielle est telle qu’elle pose nécessairement des questions sur son utilisation. La manière dont sera développée l’IA aura un impact significatif et durable sur notre société pour les années à venir. Les entreprises qui sont en tête des développements de l’IA comme Google ont donc des responsabilités importantes qu’elles doivent assumer. C’est ce qu’a voulu faire Sundar Pichai en définissant 7 principes qui doivent guider la recherche et le développement aussi bien que les décisions stratégiques. Google s’est ainsi engagé dans un certain nombre d’initiatives qui démontre que l’intelligence artificielle peut contribuer à améliorer notre vie et notre environnement. En voici quelques exemples.

Améliorer la précision des diagnostics médicaux. Les images des yeux peuvent détenir d’importantes informations sur notre santé. En utilisant des algorithmes de deep learning entrainés sur des données de 284.335 patients Google a pu prédire les facteurs de risques cardiovasculaires à partir d’image de rétines. L’algorithme était capable de distinguer des rétines de fumeurs et de non-fumeurs. Cela démontre qu’il est possible de poser des diagnostics médicaux précis en analysant des rétines avec de l’intelligence artificielle en particulier pour la rétinopathie diabétique qui est responsable de nombreux cas de cécité.

 Anticiper les inondations et les tremblements de terres. Google est persuadé que le machine learning détient le pouvoir d’améliorer les prévisions des inondations et d’aider les centaines de millions de personnes affectés par ces catastrophes chaque année. En janvier 2019 Google a hébergé dans ses locaux de Tel Aviv des experts en hydrologie et en machine learning pour réfléchir à l’amélioration des prévisions des inondations en mettant en commun des bases de données et en utilisant des outils modernes de statistiques et de machine learning. Concernant les tremblements de terre Google a commencé par bâtir une base de données contenant les informations de plus de 118 tremblements de terre dans le monde. Il a ensuite réuni des experts pour comprendre comment le deep learning pourrait prédire où se produiront les répliques de secousses sismiques. Un document intitulé “Deep learning of aftershock patterns following large earthquakes“ a été publié le 20 aout 2018. Les prévisions basées sur le machine learning pourront à termes améliorer le déploiement des services d’urgence et les plans d’évacuation sur les zones à risques de tremblement de terre.

Aider à la préservation des baleines. Dans le cadre du programme AI for Social Good et en partenariat avec le Pacific Islands Fisheries Science Center du  National Oceanic and Atmospheric Administration (NOAA), Google a développé des algorithmes pour identifier les appels des baleines à bosses à partir de 15 ans d’enregistrements sous-marins effectués sur plusieurs sites du Pacifique. Les résultats de cette recherche fournissent des informations nouvelles et importantes sur la présence de la baleine à bosse, la saisonnalité, le comportement quotidien des appels et la structure de la population. Ces informations permettent de suivre précisément l’évolution de la population de ces baleines et d’aider à leur préservation.

L’épineuse question des « fake news ». La polémique sur le rôle des réseaux sociaux dans les élections américaines a enflé. La question était de comprendre qui se cachait derrière l’achat de publicités politiques pouvant causer une fraude massive. A l’occasion des élections de mi-mandat Google a lancé de nouvelles règles pour les publicités politiques. Près de 143.000 publicités ont été vérifiées et pour que la transparence soit totale Google a lancé un nouveau « political and transparency report ». Des outils similaires seront utilisés pour les élections européennes de mai 2019.

J’aurais pu encore citer les efforts pour lutter contre la déforestation illégales ou encore les améliorations apportées aux outils de traduction pour réduire les biais sexistes. N’oublions pas que l’intelligence artificielle a réellement pris son essor il y a moins de 10 ans. Comme toute technologie elle est perfectible. De nombreux efforts sont encore à faire pour s’affranchir des biais cognitifs et sur l’explicabilité des algorithmes. Google comme Amazon, Microsoft, IBM et d’autres encore planchent sur le sujet.

 

 

 

 

L’intelligence artificielle une priorité pour la défense nationale française

C’est à l’institut de Convergence DATA IA à Saclay, le 5 avril 2019, que la ministre des Armées Florence Parly a présenté sa stratégie sur l’Intelligence artificielle. L’intelligence artificielle s’impose dans tous les secteurs économiques et devient un enjeu militaire car toutes les armées des principales puissances se dotent d’algorithmes pour doper leur arsenal militaire.  La France ne veut pas prendre le risque de manquer ce virage technologique.

100 millions d’investissement par an complétés par des partenariats industriels. Entre 2019 et 2025 l’armée française va investir 100 millions d’euros. Cela peut paraitre peu mais cela ne concerne que le cœur de l’IA et il faut y ajouter tous les systèmes qui seront irrigués par l’IA (Rafale, Scorpion, combat naval collaboratif, etc.). La défense nationale va également conclure des partenariats stratégiques pour accélérer le transfert de ces solutions issues du vaste écosystème de la recherche vers l’industrie de défense car des solutions d’IA sont déjà disponibles chez les industriels et il faut favoriser leur intégration avec les systèmes militaires.

Un comité éthique pour veiller au respect de 3 grands principes. Au-delà de l’importance stratégique de maitriser l’IA pour disposer d’une défense efficace et moderne, Florence Parly est consciente des problèmes éthiques et des craintes suscités par l’IA. Elle définit donc trois grands principes qui régiront le développement de l’IA de défense : le respect du droit international, le maintien d’un contrôle humain suffisant, et la permanence de la responsabilité́ du commandement.Quel que soit le niveau d’autonomie des systèmes d’armes actuels et futurs ils devront rester subordonnés au commandement humain.Les déclarations d’intention ne suffisant pas, la ministre a décidé de créer des 2019 un comité d’éthique sur les sujets de la défense. La France sera ainsi la première grande puissance militaire à se doter d’une telle structure de réflexion.

La compétence au centre des préoccupations d’une « cellule de coordination ». Bien que l’IA ait fait d’incroyables progrès la ministre reconnait que les technologies sont encore jeunes et que certaines approches manquent de maturité pour les utiliser dans des applications critiques. Les enjeux de robustesse et de fiabilité sont importants lorsqu’il s’agit de détecter une mine sous-marine ou de contrer une cyber-attaque. La compétence est donc un sujet majeur pour maitriser l’IA et elle sera structurée autour d’une « cellule de coordination de l’intelligence artificielle de défense » au sein de l’Agence innovation défense. D’ici 2023 la cellule de coordination s’appuiera sur un réseau de 200 spécialistes de l’IA

 

 

 

 

 

Les solutions de sécurité sont-elles bien adaptées au cloud.

Les entreprises ont compris, dans leur grande majorité, l’opportunité que représentait le cloud pour innover rapidement et à coûts maîtrisés dans une économie numérique qui ne laisse aucune place à l’immobilisme. Cette adoption grandissante du cloud, qui prend généralement la forme de cloud hybride et qui tend à devenir multi-cloud, impose de reconsidérer les stratégies de sécurité pour ne pas subir de graves déconvenues.

La sécurité doit être efficace sans être contraignante.  La sécurité du cloud est confrontée à un environnement particulièrement changeant de par la nature même du cloud et de par le nombre et la sophistication des menaces auquel il doit faire face. Il n’y a pas encore si longtemps toutes les entreprises imposaient des mesures extrêmement strictes à leurs employés pour garantir un maximum de sécurité. L’ordinateur portable était fourni par l’entreprise qui contraignait son utilisation à un usage purement professionnel. Elle imposait l’utilisation de logiciels dument validés avec des versions rarement récentes. Il était assez simple d’appliquer des solutions de sécurité périmétriques qui considéraient que tout ce qui résidait dans ce périmètre était sûr et les accès pouvaient en être aisément contrôlés. Ce monde rassurant est en voie disparition. La sécurité ne peut être contraignante au point d’imposer un style de vie, ou un mode de travail, qui soit à des années lumières de ce qu’offre la technologie aujourd’hui. Les utilisateurs sont devenus nomades et varient les modes de connexion à des applications dans le cloud au gré des usages n’hésitant pas à emprunter à l’occasion des wifi gratuits non sécurisés pour transmettent des données personnelles et professionnelles. Pour gagner en agilité, les entreprises ont tourné le dos aux applications monolithiques et développent les nouvelles applications nativement pour le cloud. Elles utilisent des microservices pour assurer un développement et une intégration continue qui ne nécessitent aucune interruption de service. Les applications peuvent ainsi s’adapter en permanence au besoin du marché mais en revanche leur évolution constante oblige à s’interroger sur leur niveau de vulnérabilité. Le rapport SOSS (State of Software Security ) de Veracode montre que le nombre d’applications vulnérables reste élevé et que les composants open source représente un risque significatif pour l’entreprise. Le recours aux APIs se révèle d’une grande aide pour faciliter l’intégration entre logiciels et applications à condition que ces APIs soient elles-mêmes sécurisées. Les déboires d’Intel en 2018 avec les failles de sécurité  Spectre et Meltdownpuis Foreshadow ont montré que les puces équipant les serveurs informatiques n’était pas à l’abri des menaces. Dans un tel contexte assurer une sécurité à toute épreuve tient de la gageure et les solutions périmétriques ne peuvent se suffire à elle-même.

Il est illusoire de prétendre être en mesure de se prémunir contre toutes les attaques.De par sa vocation le cloud est un environnement hautement connecté qui offre une surface d’attaque importante. Les menaces sont de plus en plus en plus nombreuses et les vecteurs d’attaques s’attachent à exploiter toutes les failles possibles. De nombreux exemples récents de vols de données ont montré que l’entreprise s’aperçoit trop tard qu’elle a été victime d’une attaque. Une étude de Ponemon Institutemenée pour IBM Security a chiffré le coût d’une violation de données à environ 3,86 millions $ par entreprise et par an. Si on ne peut bloquer toutes les attaques il faut éviter leur propagation et en limiter les effets en se concentrant sur la protection des données et des applications. Cela passe par des solutions de chiffrement pour stocker les données et les transférer. Le mot de passe reste d’une efficacité extrêmement limitée s’il ne s’accompagne pas d’autres facteurs d’authentification (un jeton ou une carte à puce, des données biométriques). Pas suffisant malgré tout puisque un outil de test d’intrusion (Modlishka)publié par un chercheur en sécurité a réussi à contourner des protections à double facteurs !! Pour rationaliser les processus et réduire les erreurs humaines l’automatisation est incontournable. Intégrer la sécurité dans les approches DevOps (DevSecOps) peut être salutaire. D’après le rapport SOSS les entreprises utilisant activement des approches DevSecOps corrigent les failles 11,5 fois plus rapidement que les autres en raison de l’analyse accrue du code lors de la fourniture en continue de versions de logiciels. Comme il est impossible de connaitre immédiatement la nature de toutes les nouvelles menaces les solutions de sécurité doivent être capables de déceler toute variation par rapport à un comportement dit normal d’un utilisateur, d’un équipement ou d’une application.

La sécurité confrontée au cloud hybride et au multi cloud. Sécuriser un cloud est déjà un vaste programme. Les solutions se composent de différents produits qui doivent collaborer efficacement pour couvrir tous les aspects de la sécurité. La tâche n’est déjà pas si simple mais elle se complique encore des lors qu’il s’agit de protéger un cloud hybride ou un multi-cloud. Il n’est pas question de mettre en cause les moyens de sécurité des fournisseurs de cloud publics. Des sociétés comme AWS utilisent le machine learning pour détecter automatiquement les menaces (Amazon GuardDuty) ou classifier les données en fonction de leur valeur (Amazon Macies). Google dispose de tout un arsenal documenté dans des livres blancspour assurer l’authentification multi facteurs, le chiffrement des données et l’intrusion des données. Azure et IBM ont des approches similaires. Le problème tient davantage dans la juxtaposition de clouds provenant de fournisseurs différents utilisant des infrastructures, matérielles et logicielles, et des outils de sécurité qui leur sont propres. Dans un environnement aussi complexe il faut s’assurer que l’entreprise garde la visibilité sur l’ensemble des clouds utilisés et sur la localisation de ses données. Malgré le nombre d’acteurs impliqués l’entreprise doit malgré tout veiller à la cohérence et à la consistance des politiques la sécurité sur l’ensemble. Le partage des responsabilités est aussi un sujet qui doit être abordé  tout particulièrement pour être entre conformité avec la RGPD.

Les dépenses en matière de sécurité ne cessent d’augmenter selon le Gartner (101 milliards en 2017, 114 en 2018 et 124 prévus en 2019 mais l’efficacité n’est pas garantie pour autant. A l’ère du cloud il ne suffit plus d’empiler les solutions, il faut être capable de se remettre en cause et utiliser de nouvelles approches qui à leur tour atteindront leurs limites car la sécurité est une course sans fin.

 

 

Le numérique augmente la vulnérabilité des entreprises

Les cyberattaques se sont élevées au 5 cinquième rang des risques qui menacent les entreprises. Bien que les pertes financières soient rarement communiquées, Zurich Insurance estime leur coût pour les entreprises à environ 8.000 milliards de dollars sur les cinq prochaines années. Selon certains experts 92% des entreprises auraient eu à subir au moins une cyberattaque en 2017. Les fameuses attaquent Wannacry puis NotPeyta ont démontré que les effets pouvaient toucher toutes les entreprises et tous les organismes. Plus nombreuses et plus sophistiquées les cyberattaques surfent sur les nouveaux usages du numérique et exploitent toutes les vulnérabilités.

Le progrès numérique s’accompagne d’une plus grande vulnérabilité.Le numérique est partout : dans un hôpital, dans la ville intelligente, dans les véhicules connectés, dans nos logements…. Avec le développement de l’internet des objets, chaque objet peut devenir une menace. Les pirates les détournent pour lancer des attaques massives et saturer les serveurs informatiques des entreprises. Selon les experts de Check Point un million d’objets connectés auraient déjà été infectés dans le but de faire tomber une partie des serveurs internet américains dans les prochains mois (lire l’article de Capital). La mobilité est devenue incontournable mais oblige les responsables de la sécurité à repenser leurs méthodes. On ne sécurise plus un ordinateur de bureau fourni par l’entreprise mais on doit gérer la connexion de smartphones, de tablettes et d’ordinateurs portables qui appartiennent bien souvent à l’utilisateur (BYOD), à un client ou à un invité. Ils contiennent aussi bien des applications professionnelles que privées. Il faudra prendre en compte également les applications à base d’intelligence artificielle. On s’émerveille des prouesses réalisées par l’intelligence artificielle mais comment garantir qu’elle ne sera pas détournée lors de sa phase d’apprentissage ou en phase d’exploitation (inférence).

Des attaques plus discrètes et plus efficaces.Le contexte du numérique est particulièrement complexe et mouvant. Aucune solution ne garantit d’être protégé à 100 %. British Airway a subi récemment des vols de données et dernièrement Marriott a découvert une faille dans sa base de données de réservationsde sa succursale Starwood. L’apparition de nouvelles menaces rend les solutions traditionnelles moins efficaces. Les antivirus et les pare-feu ne sont efficaces que pour des menaces connues avec des signatures répertoriées. Malheureusement les pirates sont ingénieux. Aux techniques de Phishing, DDoS, Ramsonware viennent se rajouter le cryptojacking pour utiliser frauduleusement des ressources informatiques ou bien encore le fileless (attaque sans fichier). La réglementation comme la RGPD impose aux entreprises de signaler les vols de données 72 h après la notification initiale mais de plus en plus d’attaques sont difficilement détectables. Certaines prennent la forme de « credential stuffing » et pillent discrètement les données personnelles le plus longtemps possible à partir d’informations d’identification préalablement dérobées.

Nouveaux défis à la sécurité : le Cloud et les nouvelles applications. La vulnérabilité de notre économie moderne aux cyberattaques est un problème rendu encore plus complexe par le recours au cloud et par les nouvelles méthodes de développement d’applications. Les applications modernes se répartissent de plus en plus souvent dans des clouds hybrides et des multicloud qui font appel à des fournisseurs différents. Comment avoir la visibilité d’une application sur l’ensemble ? Comment disposer d’une sécurité consistante et homogène sur la totalité des clouds ? On a vu apparaitre les applications dites « cloud natives ». Contrairement aux applications traditionnelles assez monolithiques, les nouvelles applications utilisent des microservices et des containers. Elles sont plus faciles à faire évoluer mais elles nécessitent de nombreux composants qui augmentent d’autant la surface d’attaque. Signe des temps modernes, pour innover les applications changent régulièrement, on les met à jour et on y ajoute de nouvelles fonctions. Elles sont dans des modes de développement et d’intégrations continus. Pour assurer la fluidité entre le développement et la production les entreprises adoptent des approches DevOps. Certains aimeraient que la sécurité soit intégrée dans une approche « SecDevOps ».

IA et sécurité by design au secours de la cybersécurité. Les dépenses pour la sécurité sont conséquentes mais l’efficacité ne suit pas pour autant. Il ne suffit pas d’empiler les produits. Les solutions de protection doivent s’accompagner de mesures de remédiation exhaustives (isolation, segmentation ..). Face aux menaces très sophistiquées (APT Adanced Persistent Threat) réputées indétectables de nouvelles approches sont nécessaires. Impossible d’avoir une solution prête pour chaque menace. On doit se concentrer sur les valeurs à protéger (les données et les applications) et sur tous les comportements suspects. L’intelligence artificielle aura sans doute un rôle grandissant dans le domaine de la sécurité grâce à sa capacité à reconnaitre rapidement des patterns suspectes dans des volumes de données importants. Des domaines comme les « User and Entity Behavior Analytics » UEBA devraient en tirer avantage. La « sécurité by design » devrait être imposée. Les dernières générations de puces informatiquescommencent à intégrer ce principe. On ne peut que souhaiter que ce principe soit généralisé aux objets connectés en attendant ce sera au réseau d’être lui-même « sécurisé by design » pour compenser.

Heureusement pour nous l’intelligence artificielle n’est pas qu’une technologie.

Serons-nous un jour confrontés à une intelligence artificielle si évoluée que nous aurions du mal à la distinguer d’un être humain comme dans le film Ex Machina sorti en 2015 ? Paradoxalement à l’heure de l’intelligence artificielle faire des prévisions sur ce sujet reste un grand défi. Déjà en 1950 Alan Turing pensait qu’une machine serait capable de réussir son test éponyme en 2000. Ce n’est toujours pas le cas !! En 2005 Ray Kurzweil dans son livre « The singularity is near » situe le point de singularité en 2045. Depuis 2012 les progrès sont si rapides dans le domaine du deep learning que l’on peut comprendre les interrogations sur l’avenir de nos emplois mais cela ne doit pas devenir une obsession paralysante qui masquerait les aspects positifs de ces évolutions.

l’IA n’est pas une technologie mais une science dont le champ d’application évolue rapidement en fonction des avancées technologiques. Pour se convaincre que l’IA n’est pas qu’une technologie il faut se rappeler que le mot algorithme tire son origine du nom du mathématicien Al-Kwarizmi qui vivait au 9 ème siècle a Bagdad et n’avait donc aucun moyen informatique a sa disposition. L’économie moderne est devenue une économie numérique dont la matière première est la donnée. Au rythme où nous produisons les données il n’est humainement plus possible de les traiter avec des moyens conventionnels. Tous les professionnels que ce soient des médecins, des chercheurs, des avocats, des ingénieurs, des marketeurs sont confrontés à cette « infobésité ». Cette profusion d’informations est source de connaissance approfondie et de progrès mais encore faut-il pouvoir l’exploiter de manière rapide pour produire des effets positifs à l’échelle humaine. Les progrès sont tels en deep learning que les taux d’erreur dans la reconnaissance d’image sont inférieurs a ceux des être humains. Détecter les tumeurs ou anticiper les effets d’un traitement anticancéreux avec précision sont devenus possibles. Cette année la Food Drug Administration a d’ailleurs validé l’usage d’une IA pour détecter la rétinopathie diabétique responsable de cécité. Aujourd’hui on ne remet plus en cause l’utilisation de l’informatique dans le monde moderne. Il est inenvisageable de s’en passer pour gérer le trafic aérien ou ferroviaire, calculer notre comptabilité ou commander sur internet. La technologie a déjà « amplifié » les compétences des professionnels et les médecins savent « numériser » le corps humain. Nous rentrons logiquement dans la phase suivante consistant à exploiter d’avantage les données à notre disposition et l’IA sera incontournable. On pourra difficilement faire l’impasse de l’intelligence artificielle pour gérer les smartcities quand on sait que plus de la moitié de la population humaine vit déjà en ville et que cela va s’accentuer dans les années à venir.
Devons-nous devenir des experts de l’intelligence artificielle ? Tous les jeunes séduits par l’IA sont promis à un bel avenir mais tout le monde n’a pas l’appétence pour les mathématiques, le code ou pour la technologie. L’informatique n’a pas fait de nous des informaticiens par contre il est évident que tout le monde dans sa vie professionnelle ou privée utilise des outils ou des applications qui reposent sur des moyens informatiques. Heureusement pour nous, nous ne sommes pas obligés de connaitre les dessous de l’informatique pour envoyer un email ou consulter notre banque sur internet. Il est cependant essentiel de se former constamment aux nouveaux outils liés à notre emploi et de comprendre comment ils vont faire évoluer notre fonction dans l’entreprise. Fini le cloisonnement fonctionnel, collaborer sera un impératif grandissant. De plus en plus d’éditeurs comme Salesforce ou Adobe intègrent de l’intelligence artificielle dans leurs offres. On doit aussi être en veille constante pour guetter l’arrivée des nouveaux métiers qui n’ont pas encore été imaginés. Car c’est sur cela que notre esprit bute. On identifie assez bien les emplois qui seront impactés par l’arrivée de l’IA même si on peine à préciser dans quelle mesure. Par contre il est extrêmement difficile de se projeter dans le futur et de concevoir,et encore plus de nommer, les futurs emplois engendrés directement ou indirectement par l’intelligence artificielle. Les étudiants qui rentraient dans les écoles de commerce au début des années 2010 ont eu la surprise de découvrir en arrivant en entreprise quantité de nouveaux métiers dans le marketing dont ils n’avaient pas entendu parler durant leurs études. C’est un véritable défi que doivent relever les écoles et les universités pour adapter leurs cursus à un environnement professionnel en constante évolution.

adobe

L’experience digitale et l’intelligence artificielle. La technologie peut faire peur et il est nécessaire de la démystifier pour éviter qu’elle ne nous paralyse. C’est un des objectifs de l’entretien que j’aurai avec David Deraedt lors de l’Adobe Symposium qui se tient à Paris le 13 novembre 2018. Nous nous concentrerons sur « l’expérience digital » pour analyser comment les équipes marketing peuvent faire face eux enjeux de la personnalisation et de l’interaction quasi permanente grâce à l’intelligence artificielle. Le marketing numérique a créé de nombreuses nouvelles fonctions au sein des équipes marketing, l’intelligence artificielle va poursuivre dans la même voie et ouvrir un incroyable champ des possibles.

lire également :

l’intelligence artificielle , une imitatrice de génie

L’intelligence artificielle, une imitatrice de génie

A en croire certains analystes la vie ne serait qu’une combinaison d’algorithmes. Partant de ce principe et confiant dans une technologie sans limite on imagine donc que l’intelligence artificielle (IA) dépassera un jour (qu’on appelle singularité technologique) les capacités humaines. Si cela est vrai reste à préciser à quel horizon car même si l’IA progresse de plus en plus rapidement, elle encore loin d’égaler la sophistication d’un cerveau humain. Il n’en demeure pas moins que sans verser dans le catastrophisme il est important d’anticiper les changements que l’IA nous prépare.

robot-3490522_1920-002-e1539450275897.jpg
L’IA moins intelligente que l’homme mais plus rapide. L’IA compense son manque « d’intelligence » par d’importantes puissances de traitements informatiques. Si l’IA a décollé au début des années 2010 alors qu’elle existe depuis les années 50 cela est du aux progrès réalisés en termes de moyens informatiques et à l’abondance de données. Sans faire ombrage aux compétences et à la qualité des chercheurs et des développeurs, l’apprentissage des machines est rudimentaire comparé à l’efficacité du cerveau. Un enfant est capable de nommer un objet après qu’on lui ait répéter quelques fois son nom alors qu’une IA aura besoin de voir plusieurs millions d’images associées à des labels (étiquettes en mode supervisé) pour reconnaitre un objet. En 2012 Google Brain avait réussi à découvrir le concept de chat (en mode non supervisé) après qu’on lui ait fait analyser 10 millions de captures d’écran de vidéo de chats en utilisant de puissants ordinateurs. L’IA réduit l’échelle de temps de l’apprentissage. Si Alpha GO a réussi à battre le champion du monde de GO en 2016, ce n’est pas qu’il était plus brillant que le champion Lee Sedol mais parce que sa puissance de traitement lui a permis d’apprendre en peu de temps ce qui avait pris des années à Lee Sedol. La machine apprend grâce aux données qu’on lui injecte. On est encore loin des capacités d’un être humain qui explore son environnement, expérimente et s’adapte. On y travaille bien sûr et c’est tout le sens des travaux sur l’apprentissage par renforcement « reinforcement Learning ». L’IA utilise dans ce cas-là les données à la volée pour se créer sa propre expérience. Inutile de dire que c’est bien plus complexe.

L’homme : un « rôle model » pour l’IA. On avance mais il faut rester humble et s’abstenir de toute prévision aventureuse même si on ne peut qu’être surpris par les progrès réalisés ces dernières années. On a tendance à vouloir poser sur l’IA un regard anthropomorphique influencé par des dizaines de films de sciences fiction. Certains veulent doter l’IA d’empathie. On est là plus dans l’imitation que dans le ressenti ou l’émotion. Qu’en est il de l’intuition, de l’imagination, de la créativité ? Des algorithmes eux aussi ? Le cerveau humain est un sujet d’étude pour l’homme avec les neurosciences qui tentent de comprendre les mécanismes d’apprentissage de notre cerveau. Ce qui fait l’originalité de l’homme c’est souvent une pointe d’imperfection qui se transforme en différentiation et le hasard vient souvent au secours de son inventivité. On cite de plus en plus de cas de créations réalisées par une IA. Une peinture, de la musique, des articles de presses …. Mais dans tous les cas l’IA a trouvé son inspiration dans les données. Elle créée « à la manière de ». Ce qui rend la création unique c’est d’abord l’envie de créer. L’envie est-elle un algorithme qui rentre dans les cordes de l’IA ? La créativité est une étrange alchimie de la culture, des influences, de l’éducation et du vécu : tout ce qui forme notre personnalité, notre sensibilité, notre humanité. L’IA pourra peut-être un jour s’approcher de cette « humanité » mais pour encore longtemps l’IA se contentera de créer à « la manière de ». Une raison de plus de s’inquiéter des biais introduits lors du développement d’une IA par ses concepteurs.

jobs blog

Pour collaborer avec l’IA nous allons devoir adapter nos compétences. L’IA comme beaucoup de technologies qui l’ont précédée va permettre d’explorer de nouvelles pistes et d’amplifier le potentiel humain. Voyons-la davantage comme un outil fantastique qui augmente nos capacités que comme un rival qui va limiter notre champ d’action. Pas question pour autant d’être naïf. L’IA va affecter nos métiers et les entreprises comme l’avait fait l’informatique en son temps mais à un rythme accéléré. C’est justement sur ces qualités humaines de création et d’innovation que nous devons capitaliser pour nous distinguer de l’IA et collaborer avec elle. Une récente étude du forum économique international (« future of jobs 2018 ») nous rassure en expliquant que l’IA devrait créer plus d’emplois qu’il n’en détruira mais elle insiste sur le fait que nous rentrons dans une zone d’instabilité des compétences à laquelle nous devons nous préparer. Parmi les 10 compétences qui seront recherchées en 2022, d’après cette étude, on trouve en tête : pensée analytique et innovation, capacité d’apprendre et créativité, originalité, esprit d’initiative. Autant de qualités qui continueront pour longtemps encore à nous distinguer des machines aussi intelligentes soient elles. Apparemment les écoles de commerces et d’ingénieurs ( Le design thinking » essaime dans l’enseignement supérieur ) sont sensibles à ce changement de profile des compétences et commencent à intégrer le design thinking dans leur cursus.