IA et cybersécurité. Quelles opportunités ?

Alors que l’Union européenne vient de se doter d’un texte régulant l’usage de l’intelligence artificielle, ce qui constitue la première régulation contraignante à émerger sur le sujet dans le monde, les implications en matière de cybersécurité de cette innovation technologique ne manquent pas d’être soulevées, tant du point de vue des défis que des opportunités. Décryptage.

Contenu du compromis trouvé sur l’IA Act

Les Etats membres viennent d’aboutir début février sur le texte final du règlement établissant des règles harmonisées concernant l’intelligence artificielle. Cet aboutissement intervient après deux ans et demi d’intenses négociations entre le Parlement, le Conseil et la Commission européenne.

La définition retenue par l’UE reprend celle admise par l’OCDE et considère un système d’IA comme « un système automatisé conçu pour opérer avec des degrés variables d’autonomie et d’adaptabilité après déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir d’entrées reçues, comment générer des résultats en sortie tels que des prévisions, des contenus, des recommandations ou des décisions qui peuvent influer sur des environnements physiques ou virtuels ».

L’approche réglementaire adoptée consiste en une distinction des systèmes d’IA en fonction de leur niveau de risque pour « la santé, la sécurité ou les droits fondamentaux des personnes », et sont ainsi répartis selon trois grandes catégories. Les exigences associées sont établies proportionnellement au niveau de risque que les systèmes d’AI comportent :

• les systèmes d’IA présentant un risque inacceptable seront interdits de mise sur le marché.

• les fournisseurs de systèmes d’IA présentant un haut risque seront soumis notamment à des obligations d’évaluation de la conformité et de marquage CE, de mise en place d’un système de gestion des risques et de gestion des données, de documentation technique, de transparence, de gestion des incidents.

• les systèmes d’IA à risque faible ou minime devront intégrer des obligations d’information des utilisateurs ou suivre un code de conduite volontaire.

Ces nouvelles règles s’appliquent quel que soit le secteur d’activité, avec toutefois une approche par les usages pour classifier les systèmes d’IA comme étant à haut risque. La liste des cas d’usage jugés à haut risque comprend notamment : l’identification biométrique ; la gestion et l’exploitation des infrastructures critiques (transports, eau, gaz) ; les composants de sécurité des produits (ex : application de l’IA en chirurgie assistée par robot) ; les services privés et publics essentiels (comme la notation de crédit impactant l’accès aux prêts des particuliers) ; les forces de l’ordre (comme les détecteurs de mensonge, l’évaluation du risque de récidive).

Le règlement intègre les enjeux d’éthique à travers notamment les principes de transparence et de contrôle humain tout au long de la chaîne. Les obligations sont en outre spécifiques selon le rôle occupé par les acteurs dans la chaîne de valeur : Fabricant ; Importateur ; Fournisseur (régime le plus exigeant) ; Utilisateur ou déployeur ; Distributeur. Le règlement européen sur l’IA s’applique à la fois aux acteurs publics et privés à l’intérieur comme à l’extérieur de l’UE (caractère extraterritorial) tant que le système d’IA est mis sur le marché de l’Union ou que son utilisation affecte des personnes situées dans l’UE.

Le règlement entrera en application deux ans après son entrée en vigueur (vers fin Q1 2026), avec néanmoins une entrée en vigueur préalable dès 6 mois concernant l’interdiction des IA comportant des risques inacceptables, tandis que les règles relatives à l’IA à usage général, à la gouvernance, aux organismes notifiés et aux sanctions s’appliqueront douze mois après.

Le montant des amendes varie en fonction des infractions commises :

• 35 millions d’euros ou 7% du chiffre d’affaires annuel mondial pour les violations relatives aux applications d’IA interdites

• 15 millions d’euros ou 3% du chiffre d’affaires annuel mondial (2% dans le cas d’une PME ou d’une startup) pour manquement aux autres obligations prévues et pour les modèles d’IA à usage général

• 7,5 millions d’euros ou 1,5% du chiffre d’affaires annuel mondial pour fourniture d’informations inexactes.

L’IA pour la cybersécurité : risque et opportunité à la fois

L’IA générative est aujourd’hui perçue comme une véritable opportunité pour la croissance des entreprises. Sur le plan de la cybersécurité, la capacité de l’IA et l’automatisation des processus qu’elle engendre, s’illustre en particulier à travers les cas d’usage suivants :

• l’accélération des analyses de risques grâce à une alimentation des bases de données (étant entendue néanmoins la question de la qualité des données, pour s’assurer qu’elles soient réellement exploitables)

• la détection des incidents ou d’anomalies (repérage de comportements suspects, fraude ou vulnérabilités) et la réduction des faux positifs

• la réponse aux menaces cyber et notamment la priorisation des actions de remédiation

• l’évaluation des risques.

L’IA a donc la capacité à améliorer l’efficacité opérationnelle des équipes et projets menés au sein de la DSI. Ces gains de productivité sont sans doute de nature à recentrer les ressources humaines existantes sur des projets à plus grande valeur ajoutée, plutôt qu’à les remplacer.

Néanmoins, les apports induits par l’IA ne peuvent se matérialiser qu’à condition d’élaborer au préalable un cadre technique et de gouvernance afin d’en réguler et sécuriser l’usage. Ces éléments sont fondamentaux pour la confiance et la sécurité des systèmes.

L’IA comporte en effet un risque intrinsèque en même temps qu’elle constitue une opportunité. Ainsi par exemple, en permettant de rendre les tags plus sophistiqués, l’intelligence artificielle pourrait accroître la fréquence et l’intensité des attaques cyber.

Parmi les risques identifiés, nous pouvons notamment relever :

• Fuite ou exposition des données

• Incertitude quant à la fiabilité des résultats ou opacité de la modélisation des scénarios

• Perte d’expertises, de maîtrise du raisonnement, voire de contrôle.

La cybersécurité, un catalyseur de l’IA

Un des enjeux des systèmes d’IA, en particulier ceux à haut-risque, consiste dans la cybersécurité du système. Il est indispensable de cyber sécuriser les systèmes d’IA.

Le potentiel de l’IA peut en effet être utilisé à mauvais escient : les cyberattaques contre les systèmes d’IA peuvent faire usage de ressources spécifiques à l’IA, telles que des jeux de données d’entraînement (par exemple l’empoisonnement de données) ou des modèles entraînés (par exemple les attaques adversaires), ou exploiter les vulnérabilités des ressources numériques du système d’IA ou de l’infrastructure TIC sous-jacente.

La cybersécurité joue donc un rôle crucial pour s’assurer que les systèmes d’IA sont résilients contre des tentatives qui seraient menées par des tiers malveillants exploitant les vulnérabilités du système et qui consisteraient à détourner l’utilisation, le comportement, les performances des systèmes d’IA ou à compromettre leurs propriétés de sécurité.

Le règlement européen sur l’IA prévoit ainsi l’obligation pour les fournisseurs de systèmes d’IA à haut risque, d’assurer un niveau de cybersécurité adapté aux risques (notamment par le biais de contrôles de sécurité) pour ces modèles d’IA en tant que tels mais aussi pour l’infrastructure informatique sous-jacente.

Compte-tenu des risques comme des opportunités indissociables autour de l’IA, la confiance est un enjeu majeur et la cybersécurité est un facteur clé de succès pour renforcer la confiance dans l’IA.


Ready to try EGERIE?

Ready to try EGERIE?

Ready to try EGERIE?