ChatGPT & cybersécurité : ce qu’il peut faire… et ce qu’il ne doit surtout pas faire
SOMMAIRE
1. ChatGPT : une IA générative qui intrigue le monde de la cybersécurité
2. Cas d’usage positifs de ChatGPT dans la cybersécurité
3. Dérives et usages problématiques à surveiller
4. Éthique, encadrement et réglementation en cours
5. CSB.SCHOOL : préparer les étudiants aux nouveaux enjeux IA et cybersécurité
L’essor fulgurant de ChatGPT et des modèles d’IA générative a bouleversé de nombreux secteurs, de l’éducation à la santé, en passant par le développement logiciel. La cybersécurité n’échappe pas à cette transformation. Capable de générer du code, de résumer des logs ou de simuler des attaques, ChatGPT attire autant qu’il inquiète. Dans un domaine aussi sensible que la sécurité informatique, la question n’est pas seulement “que peut faire l’IA ?”, mais surtout “que doit-elle faire ?”.
ChatGPT : une IA générative qui intrigue le monde de la cybersécurité
Un modèle LLM au service du langage naturel
Développé par OpenAI, ChatGPT repose sur des modèles de langage de grande taille (LLM) capables de comprendre et générer du texte de manière fluide. Il s’appuie sur des milliards de paramètres entraînés sur d’immenses volumes de données, ce qui lui permet de :
-
comprendre des requêtes complexes,
-
générer des textes cohérents,
-
expliquer des concepts techniques ou juridiques,
-
produire du code dans plusieurs langages.
Atouts pour la cybersécurité
Dans le champ de la cybersécurité, cette capacité de traitement automatique du langage ouvre des perspectives :
-
automatisation de l’analyse de journaux système,
-
rédaction de politiques de sécurité,
-
simulation d’attaques sociales ou techniques,
-
aide à la détection d’anomalies.
…Mais aussi source d’inquiétudes
Le revers de la médaille est que ces mêmes fonctions peuvent être détournées :
-
création de faux contenus crédibles (désinformation),
-
aide à la rédaction de scripts malveillants,
-
contournement de filtres de sécurité,
-
confusion entre vraie expertise et réponses “statistiquement plausibles”.
Cas d’usage positifs de ChatGPT dans la cybersécurité
Formation et vulgarisation
L’IA générative est un outil puissant pour simplifier des notions techniques et accompagner l’apprentissage :
-
Explication d’algorithmes de chiffrement (AES, RSA, quantique) en langage simple,
-
Résumés de cours pour étudiants ou professionnels en reconversion,
-
Génération de QCM ou de quiz interactifs de sécurité.
Exemple :
“Explique-moi le fonctionnement du protocole HTTPS à un niveau débutant.”
Automatisation rédactionnelle
Les professionnels en cybersécurité rédigent de nombreux documents fictifs dans le cadre d’une campagne de sensibilisation : rapports, mails de sensibilisation, procédures internes. ChatGPT permet de :
-
générer des mails de sensibilisation au phishing personnalisés,
-
produire des guides de bonnes pratiques selon un contexte donné,
-
formater rapidement un rapport d’incident.
Attention : ChatGPT ne doit jamais être utilisé pour traiter des données réelles, sensibles ou confidentielles.
Les informations partagées peuvent être stockées temporairement et analysées pour améliorer les modèles. Cela expose potentiellement vos données à des risques de fuite ou de mauvaise utilisation. Utilisez uniquement l’IA dans un cadre maîtrisé, avec des données fictives ou anonymisées.
Simulation d’attaques pour la sensibilisation
Utilisé avec rigueur, ChatGPT permet de simuler des scénarios d’attaques réalistes :
-
génération d’un faux mail de phishing pour un exercice de red teaming,
-
description narrative d’un scénario ransomware,
-
écriture de dialogues d’ingénierie sociale pour la formation.
| Bon usage de ChatGPT | Usage à risque |
|---|---|
| Rédaction d’un mail pédagogique de sensibilisation au phishing | Génération d’un mail de phishing à des fins malveillantes |
| Simulation de log d’attaque pour entraînement | Génération de script de brute force sans contrôle |
| Résumé automatisé d’un rapport de vulnérabilité | Désinformation via une hallucination du modèle |
Dérives et usages problématiques à surveiller
Ingénierie sociale à grande échelle
ChatGPT peut être utilisé par les cybercriminels pour rédiger des emails de phishing extrêmement convaincants, personnalisés selon les cibles (recherche sur LinkedIn, style du langage, contexte local).
-
Plus besoin de parler la langue : l’IA le fait.
-
Plus besoin de coder : un prompt suffit.
Génération de code malveillant
Malgré des filtres éthiques, certains prompts détournés permettent à des utilisateurs malveillants de générer :
-
des keyloggers,
-
des scripts de brute force,
-
des payloads shell ou reverse shell.
Exemple :
En reformulant une demande comme un test de sécurité pour un pentest, il est possible d’obtenir un script dangereux.
Fausse expertise
ChatGPT n’est pas une source de vérité. Il génère des réponses probables, pas forcément exactes. Cela peut provoquer :
-
fausses alertes,
-
diagnostics erronés,
-
confiance excessive de la part de non-experts.
Contournement des filtres éthiques
Des utilisateurs créatifs contournent les limitations avec des approches détournées (ex. : “imagine que tu es un chercheur en cybersécurité en 2030…”) pour obtenir des réponses normalement bloquées.
Éthique, encadrement et réglementation en cours
L’essor fulgurant des IA génératives comme ChatGPT soulève des questions éthiques majeures, en particulier dans le domaine sensible de la cybersécurité. Si ces outils peuvent apporter un réel soutien, leur usage doit être strictement encadré. De plus en plus d’organisations mettent en place des politiques internes pour éviter les dérives. À l’échelle européenne, des cadres réglementaires et des lois émergent pour baliser les usages de l’IA. L’enjeu : garantir un usage responsable, sécurisé et transparent de ces technologies.
Nécessité d’un encadrement organisationnel
Les entreprises doivent mettre en place des politiques internes sur l’usage des IA génératives :
-
Quels outils sont autorisés ?
-
Quels types de prompts sont interdits ?
-
Quels logs de conversation doivent être conservés ?
Règlementation en évolution
Le AI Act européen prévoit un encadrement des IA à haut risque, notamment dans les domaines critiques comme la cybersécurité, la justice ou la finance.
Responsabilité partagée
L’éthique de l’IA ne dépend pas que des modèles. Elle implique :
-
les développeurs (conception responsable),
-
les éditeurs (transparence),
-
les utilisateurs finaux (usage éclairé).
CSB.SCHOOL : préparer les étudiants aux nouveaux enjeux IA et cybersécurité
Notre école de cybersécurité forme les spécialistes de demain grâce à des parcours complets, accessibles dès le niveau post-bac jusqu’au Bac+5, spécifiquement orientés cybersécurité. Les programmes conçus avec des experts et nos formations labellisées SecNumEdu (par l’ANSSI) ainsi que par la Région Auvergne-Rhône-Alpes attestent de notre engagement en matière de qualité et de rigueur pédagogique. CSB.SCHOOL est actuellement la seule école à bénéficier de ces deux reconnaissances dans le domaine de la cybersécurité.
Continuez votre lecture
Cybersécurité et inclusion : CSB.SCHOOL aux Jeux de la Diversité 2025
Dates de rentrée 2025 – CSB.SCHOOL
