Pendant que leurs collègues commerciaux et technologiques s’affairent à expérimenter et à développer de nouvelles applications, les responsables de la cybersécurité cherchent des moyens d’anticiper et de contrer les nouvelles menaces générées par l’IA.
Il est évident que l’IA a un impact sur la cybersécurité, mais c’est un phénomène à double sens. Alors que l’IA est de plus en plus utilisée pour prédire et atténuer les attaques, ces applications sont elles-mêmes vulnérables. Les cybercriminels et les acteurs malveillants ont également accès à la même automatisation, à la même évolutivité et à la même vitesse que tout le monde attend. Bien qu’elle soit encore loin d’être courante, l’utilisation malveillante de l’IA est en augmentation. Des réseaux antagonistes génératifs aux botnets massifs et aux attaques DDoS automatisées, le potentiel est là pour une nouvelle génération de cyberattaques capables de s’adapter et d’apprendre à échapper à la détection et à l’atténuation.
Dans ce contexte, comment pouvons-nous défendre les systèmes d’IA contre les attaques ? Quelles formes prendra l’IA offensive ? À quoi ressembleront les modèles d’IA des acteurs de la menace ? Pouvons-nous effectuer des tests d’intrusion sur l’IA ? Quand devons-nous commencer et pourquoi ? Alors que les entreprises et les gouvernements développent leurs pipelines d’IA, comment allons-nous protéger les volumes massifs de données dont ils dépendent ?
C'est sur ce type de questions que le gouvernement américain et l'Union européenne ont placé la cybersécurité au cœur de leurs préoccupations, chacun cherchant à élaborer des directives, des règles et des réglementations pour identifier et atténuer un nouveau paysage de risques. Ce n'est pas la première fois que l'on observe une différence marquée dans l'approche, mais cela ne veut pas dire qu'il n'y a pas de chevauchement.
Jetons un bref coup d’œil à ce que cela implique, avant de passer à l’examen de ce que tout cela signifie pour les responsables de la cybersécurité et les RSSI.
Approche réglementaire de l’IA aux États-Unis – un aperçu
Outre le décret présidentiel, l’approche décentralisée des États-Unis en matière de réglementation de l’IA est illustrée par le fait que des États comme la Californie élaborent leurs propres directives juridiques. En tant que berceau de la Silicon Valley, les décisions de la Californie sont susceptibles d’influencer considérablement la manière dont les entreprises technologiques développent et mettent en œuvre l’IA, jusqu’aux ensembles de données utilisés pour former les applications. Bien que cela influencera absolument tous ceux qui sont impliqués dans le développement de nouvelles technologies et applications, du point de vue d’un RSSI ou d’un responsable de la cybersécurité, il est important de noter que, bien que le paysage américain mette l’accent sur l’innovation et l’autorégulation, l’approche globale est basée sur le risque.
Le cadre réglementaire des États-Unis met l’accent sur l’innovation tout en abordant les risques potentiels associés aux technologies de l’IA. La réglementation vise à promouvoir le développement et le déploiement responsables de l’IA, en mettant l’accent sur l’autorégulation du secteur et la conformité volontaire.
Pour les RSSI et autres responsables de la cybersécurité, il est important de noter que le décret demande au National Institute of Standards and Technology (NIST) d'élaborer des normes pour les tests des systèmes d'IA par des équipes rouges. Il demande également que « les systèmes d'IA les plus puissants » soient obligés de se soumettre à des tests de pénétration et de partager les résultats avec le gouvernement.
La loi européenne sur l'IA – un aperçu
L'approche plus prudente de l'Union européenne intègre la cybersécurité et la confidentialité des données dès le départ, avec des normes obligatoires et des mécanismes d'application. Comme d'autres lois de l'UE, la loi sur l'IA est fondée sur des principes : il incombe aux organisations de prouver leur conformité en documentant leurs pratiques.
Pour les RSSI et autres responsables de la cybersécurité, l'article 9.1 a suscité beaucoup d'attention. Il stipule que
Les systèmes d’IA à haut risque doivent être conçus et développés selon le principe sécurité par conception et par défaut. Compte tenu de leur finalité, ils doivent atteindre un niveau approprié de précision, de robustesse, de sécurité et de cybersécurité et fonctionner de manière constante à ces égards tout au long de leur cycle de vie. Le respect de ces exigences doit inclure la mise en œuvre de mesures de pointe, en fonction du segment de marché ou du champ d'application spécifique.
Au niveau le plus fondamental, l’article 9.1 signifie que les responsables de la cybersécurité des infrastructures critiques et d’autres organisations à haut risque devront procéder à des évaluations des risques liés à l’IA et respecter les normes de cybersécurité. L’article 15 de la loi couvre les mesures de cybersécurité qui pourraient être prises pour protéger, atténuer et contrôler les attaques, y compris celles qui tentent de manipuler des ensembles de données de formation (« empoisonnement des données ») ou des modèles. Pour les RSSI, les responsables de la cybersécurité et les développeurs d’IA, cela signifie que toute personne créant un système à haut risque devra prendre en compte les implications en matière de cybersécurité dès le premier jour.
Loi européenne sur l’IA et approche réglementaire américaine en matière d’IA : principales différences
| Fonctionnalité | Loi européenne sur l'IA | L'approche américaine |
|---|---|---|
| Philosophie générale | Précaution, fondée sur le risque | Axé sur le marché et axé sur l'innovation |
| Règlements | Règles spécifiques pour l'IA « à haut risque », y compris les aspects de cybersécurité | Principes généraux, orientations sectorielles, accent sur l'autorégulation |
| Confidentialité des données | Application du RGPD, droits d'utilisation stricts et transparence | Pas de loi fédérale complète, une mosaïque de réglementations étatiques |
| Normes de cybersécurité | Normes techniques obligatoires pour l’IA à haut risque | Meilleures pratiques volontaires et normes industrielles encouragées |
| Mise en vigueur | Amendes, interdictions et autres sanctions en cas de non-respect | Enquêtes de l'agence, restrictions commerciales potentielles |
| Transparence | Exigences d'explicabilité pour l'IA à haut risque | Des exigences limitées, axées sur la protection des consommateurs |
| Responsabilité | Un cadre de responsabilité clair pour les dommages causés par l’IA | Responsabilité floue, souvent incombant aux utilisateurs ou aux développeurs |
Ce que la réglementation de l’IA signifie pour les RSSI et autres responsables de la cybersécurité
Malgré des approches divergentes, l'UE et les États-Unis prônent tous deux une approche fondée sur les risques. Et, comme nous l'avons vu avec le RGPD, il existe de nombreuses possibilités d'harmonisation à mesure que nous évoluons vers la collaboration et le consensus sur les normes mondiales.
Du point de vue d’un responsable de la cybersécurité, il est clair que les réglementations et les normes relatives à l’IA en sont aux premiers stades de maturité et qu’elles évolueront presque certainement à mesure que nous en apprendrons davantage sur les technologies et les applications. Comme le soulignent les approches réglementaires des États-Unis et de l’UE, les réglementations en matière de cybersécurité et de gouvernance sont bien plus matures, notamment parce que la communauté de la cybersécurité a déjà consacré des ressources, une expertise et des efforts considérables à la sensibilisation et au développement des connaissances.
Le chevauchement et l’interdépendance entre l’IA et la cybersécurité ont permis aux responsables de la cybersécurité d’être plus conscients des conséquences qui en découlent. Après tout, nombreux sont ceux qui ont recours à l’IA et à l’apprentissage automatique pour détecter et atténuer les programmes malveillants, bloquer les adresses IP malveillantes et classer les menaces. Pour l’instant, les RSSI seront chargés d’élaborer des stratégies d’IA complètes pour garantir la confidentialité, la sécurité et la conformité dans l’ensemble de l’entreprise, notamment en prenant des mesures telles que :
- Identifier les cas d’utilisation où l’IA offre le plus d’avantages.
- Identifier les ressources nécessaires pour mettre en œuvre l’IA avec succès.
- Établir un cadre de gouvernance pour gérer et sécuriser les données clients/sensibles et garantir le respect des réglementations dans chaque pays où votre organisation exerce ses activités.
- Évaluation et appréciation claires de l’impact des implémentations d’IA dans l’ensemble de l’entreprise, y compris les clients.
Rester au fait des menaces liées à l'IA
Alors que la réglementation sur l’IA continue d’évoluer, la seule certitude pour l’instant est que les États-Unis et l’Union européenne occuperont tous deux une place centrale dans l’élaboration des normes. Le rythme rapide des changements signifie que nous sommes certains de voir des changements dans les réglementations, les principes et les lignes directrices. Qu’il s’agisse d’armes autonomes ou de véhicules sans conducteur, la cybersécurité jouera un rôle central dans la manière dont ces défis seront relevés.
Le rythme et la complexité du processus laissent penser que nous allons probablement nous éloigner des règles propres à chaque pays pour nous diriger vers un consensus plus global autour des principaux défis et menaces. Si l’on examine les travaux menés jusqu’à présent entre les États-Unis et l’UE, il existe déjà un terrain d’entente clair sur lequel travailler. Le RGPD (Règlement général sur la protection des données) a montré comment l’approche de l’UE a finalement eu une influence significative sur les lois d’autres juridictions. Un alignement sous une forme ou une autre semble inévitable, notamment en raison de la gravité du défi.
Comme pour le RGPD, c’est davantage une question de temps et de collaboration. Là encore, le RGPD constitue un cas d’école utile. Dans ce cas, la cybersécurité est passée du statut de simple disposition technique à celui d’exigence. La sécurité sera une exigence essentielle des applications d’IA. Dans les situations où les développeurs ou les entreprises peuvent être tenus responsables de leurs produits, il est essentiel que les responsables de la cybersécurité restent au courant des architectures et des technologies utilisées dans leurs organisations.
Au cours des prochains mois, nous verrons comment les réglementations européennes et américaines impactent les organisations qui créent des applications et des produits d'IA, et comment le paysage émergent des menaces de l'IA évolue.
Ram Movva est le président-directeur général de Securin Inc. Aviral Verma dirige l'équipe de recherche et de renseignement sur les menaces chez Securin.
—
Generative AI Insights offre aux leaders technologiques, y compris aux fournisseurs et autres contributeurs extérieurs, un lieu d'échange pour explorer et discuter des défis et des opportunités de l'intelligence artificielle générative. La sélection est large, allant des analyses technologiques approfondies aux études de cas en passant par l'opinion d'experts, mais aussi subjective, basée sur notre jugement des sujets et des traitements qui serviront le mieux le public techniquement sophistiqué d'InfoWorld. InfoWorld n'accepte pas de supports marketing pour publication et se réserve le droit de modifier tout le contenu fourni. Contact [email protected].
Droits d'auteur © 2024 IDG Communications, Inc.
GIPHY App Key not set. Please check settings