Kiteworks met en garde contre les lacunes de sécurité de l’IA laissant l’infrastructure énergétique exposée aux attaques d’États-nations
Une nouvelle recherche de Kiteworks a identifié plusieurs risques déjà émergents dans le secteur de l’énergie et des services publics cette année. Les résultats indiquent que les lacunes de red-teaming de l’IA laissent les systèmes opérationnels non testés contre les menaces d’États-nations, en plus d’un suivi centralisé faible permettant aux attaques de persister sans être détectées.
Les organisations sont également confrontées à des temps de réponse aux incidents prolongés en raison de l’absence de manuels de réponse spécifiques à l’IA, tandis qu’un engagement limité au niveau du conseil continue de retarder les investissements nécessaires en sécurité. En outre, les lacunes de cryptage dans les données d’entraînement de l’IA exposent des informations opérationnelles sensibles.
État actuel de la gouvernance de l’IA dans le secteur
La recherche souligne à quel point la gouvernance de l’IA en phase précoce reste dans le secteur. Seulement 9% des organisations énergétiques déclarent réaliser des red-teamings de l’IA, tandis que seulement 14% maintiennent des manuels de réponse aux incidents spécifiques à l’IA, laissant les systèmes critiques vulnérables face à des adversaires de plus en plus sophistiqués.
En 2026, Kiteworks prévoit que les acteurs étatiques exploiteront les lacunes de red-teaming pour compromettre l’IA des infrastructures critiques. Le suivi centralisé faible laissera les attaques de l’IA non détectées jusqu’à ce qu’un impact physique se produise. En l’absence de manuels de réponse aux incidents spécifiques à l’IA, les lacunes de réponse aux incidents prolongeront le temps de compromission de l’IA et les dommages.
Les lacunes et les défis à relever
Kiteworks a reconnu que, bien que le secteur ait construit de solides contrôles de point, en matière de contrôles d’accès aux ensembles de données, d’environnements de formation isolés et d’évaluations d’impact sur la vie privée, il est à la traîne en matière de suivi centralisé, de tests adversariaux et de capacités de réponse aux incidents nécessaires pour défendre les systèmes d’IA contre les acteurs étatiques et les groupes de menaces sophistiqués.
Le secteur a mis en place des contrôles à des systèmes et ensembles de données individuels, mais n’a pas construit le niveau de visibilité centralisé nécessaire pour détecter les attaques coordonnées.
Investissements prioritaires pour 2026
Les organisations d’énergie et de services publics devraient établir des programmes de red-teaming de l’IA en tant que priorité de sécurité nationale. Fermer l’écart de red-teaming de 15 points nécessite de développer des capacités de test adversarial adaptées à l’IA des infrastructures critiques.
Les organisations doivent également déployer un suivi centralisé à travers des infrastructures distribuées et développer des capacités de réponse aux incidents spécifiques à l’IA. Cela implique la documentation des procédures de réponse pour les menaces telles que la manipulation des modèles, l’exfiltration des données et les attaques coordonnées.
Il est impératif d’élever la gouvernance de l’IA au niveau du conseil, en la considérant comme une priorité de protection des infrastructures critiques, plutôt que comme un simple exercice de conformité.
Enfin, les organisations doivent mettre en œuvre des principes de protection des données en profondeur pour les données d’entraînement de l’IA, en veillant à ce que toutes les données contenant des informations sur les opérations du réseau soient cryptées.