Innovation et danger : comment l'IA façonne l'avenir

Alors que l'IA Act vient d'être voté par l'Union européenne, l'utilisation de l'IA reste un fragile équilibre à trouver entre progrès technologique et préservation des valeurs fondamentales. 

C'est la première loi sur l'intelligence artificielle (IA) et les Vingt-Sept l’ont « confirmée à l'unanimité » le 2 février dernier. Déjà, le 8 décembre dernier, Thierry Breton, commissaire européen, annonçait hardiment la nouvelle : « Historique ! L’Union européenne devient le premier continent à établir des règles claires pour l’utilisation de l’IA. L’AI Act est bien plus qu’un recueil de règles, c’est un tremplin pour les startups et les chercheurs de l’UE afin de mener la course mondiale à l’IA. Le meilleur reste à venir ! » Dans une ère marquée par l'avènement de technologies disruptives, l'Europe et les États-Unis s'orientent vers une régulation stricte pour en maîtriser les impacts. Cette démarche soulève des enjeux cruciaux tels que l'innovation et la performance, la sécurité contre la cybercriminalité, et interroge sur la structure de nos sociétés. Parallèlement, la souveraineté et les échanges internationaux se positionnent au cœur des préoccupations, nous invitant à réfléchir sur l'équilibre délicat entre progrès technologique et préservation des valeurs fondamentales.  

Envolée technologique : anticiper la montée en puissance des attaques avec brio 

Dans son récent baromètre des risques, Allianz, l'un des principaux assureurs généralistes français, met en lumière la croissance significative du risque lié à la cybersécurité au cours des dernières années, le propulsant en tête du classement des préoccupations, dépassant même l'interruption des activités de l'entreprise, les fluctuations du marché économique, et les inquiétudes environnementales. Selon un rapport de Splunk, une entreprise américaine, publié mi-octobre 2023, 70% des RSSI interrogés estiment que l'IA favorise davantage les cybercriminels que les cyberdéfenseurs. Parmi les principales inquiétudes, 36% pensent que cette technologie accélère et intensifie les attaques. L'année 2024 ne fera pas exception à cette tendance de hausse des risques, avec les Jeux Olympiques, les enjeux politiques, et les controverses juridiques qui se profilent. Face à cette guerre invisible capable de plonger des entreprises dans la ruine, il semble impératif d'adopter des mesures préventives.  

Les attaques se multiplient et l’intelligence artificielle facilite les utilisations. Illustrons cela par un exemple concret : traditionnellement, le vol de données était une tâche laborieuse. Aujourd'hui, l’IA devient un allié redoutable. Il est désormais possible de charger une IA de cibler un décideur sur internet et de compiler automatiquement toutes les données publiques disponibles à son sujet. Ces informations sont ensuite utilisées pour rédiger un e-mail personnalisé. L'IA envoie une candidature spontanée, incitant la victime à cliquer sur un lien qui la redirige vers une page LinkedIn, dans le cadre de cet exemple. En fournissant son adresse e-mail et son mot de passe, la victime divulgue des données cruciales récupérées par l’attaquant. Si cela ne concerne qu'un mot de passe, imaginez les ramifications potentielles pour une IA ayant accès à une kyrielle d'objets connectés.  

L'hyper-connectivité, censée simplifier notre vie, accroît paradoxalement notre vulnérabilité aux attaques. De la même manière l’IA générative pourrait tout à fait optimiser des attaques encore plus poussées comme les DDoS. En effet, elle pourrait identifier les vulnérabilités des systèmes cibles et ajuster les schémas d'attaque en temps réel pour contourner les mécanismes de défense, posant ainsi une menace significative. 

Dans ce jeu du chat et de la souris, le défenseur est contraint d'adapter continuellement ses techniques contre des attaquants changeant de stratégie. Chaque nouvelle connexion devient un nouveau point d'attaque.  

Révolution technologique : nouvelle Tour de Babel pour les SOC ?

L'émergence d'une double problématique, marquée par la diminution des analystes SOC et la généralisation des attaques, incite les entreprises à adopter une démarche proactive envers l'intelligence artificielle. La singularité de l'IA réside dans sa capacité à traiter de manière expéditive d'importants volumes de données, une exigence cruciale au sein du paysage de la cybersécurité, où l'écart entre la célérité des attaques et la détection humaine laborieuse demeure un défi d'envergure. Automatiser des algorithmes pour une identification précoce mais précise de signaux, qu'ils soient forts ou faibles, devient impératif pour émettre des alertes rapides face à des profils de signature ou d'attaque. 

L'IA générative, outre l’aspect offensif abordé plus haut, peut également jouer un rôle défensif en répondant à la pénurie d'analystes SOC. Elle opère comme un interprète entre le langage humain et la machine, fournissant des réponses précises sur les incidents et proposant des solutions. En mutualisant ainsi les compétences, elle révolutionne l’accès à la complexité. C’est une des raisons qui justifie l’évolution des investissements. Jusqu’à présent, ils étaient liés à la sécurité fondamentale, c’est-à-dire bloquer des attaques connues. Désormais l’IA permet la détection et la prévention des attaques inconnues, permettant de bloquer tout comportement anormal sur le réseau.

Règlementation pour l'avancement de l'IA : nécessité ou obstacle ? 

Après de longs mois d'âpres négociations, les ambassadeurs des États membres de l'Union européenne dévoilent le rideau sur un potentiel bal de réglementations inédites, marquant ainsi un jalon historique en devenant la première puissance mondiale à encadrer cette technologie. Le défi n’est pas anodin et plane un débat : bureaucratie ou auto-régulation, responsabilité ou innovation ? Et pour cause, la France et l’Allemagne, initialement souverains de l’innovation plaidant la protection de leurs joyaux respectifs Mistral AI et Aleph Alpha, ont tenu tête contre les parlementaires européens, sensibles à la nécessité d'imposer des limites strictes aux acteurs dominants. Cependant, se prémunir contre les risques ne s’apparente pas à se protéger contre tous les dangers. Peu de temps avant, à l'échelle internationale, 18 pays, parmi lesquelles la France, les États-Unis, le Royaume-Uni et le Japon, ont apposé leur signature sur un accord sur la sécurité de l'intelligence artificielle, trois semaines après le premier sommet international sur cette dernière. Cet accord exhorte les entreprises du secteur à concevoir des modèles « sécurisés par conception ». En revanche, aucun organisme chinois n'a signé ce texte. 

L'IA Act, aujourd'hui en vigueur, catégorise les modèles d'IA en quatre classifications, déterminées par leur niveau de risque inhérent. Cette réglementation place une emphase particulière sur l'IA générative et la protection des droits d'auteur, tout en octroyant un pouvoir renforcé au facteur humain, qui demeure l'unique arbitre dans les modèles à risque élevé. Imposant une transparence rigoureuse, elle oblige les utilisateurs à appréhender le fonctionnement des systèmes. Cette régulation s'étend au-delà des aspects techniques, englobant la gouvernance des données, leur stockage, leur utilisation et leur collecte. Elle confère également aux autorités nationales le pouvoir d'application et d'infliger des amendes en cas de non-conformité. Au-delà de sa dimension technique, ce règlement s'érige en rempart protecteur, visant à sauvegarder les citoyens contre toute dérive autoritaire et à assurer la pérennité de l'exercice démocratique. 

Mais le risque n’est-il pas justement de vouloir tout règlementer ? L’innovation est par essence imprévisible et il semble fantasque de prétendre anticiper tous les imprévus. C'est dans cette danse entre la prévisibilité réglementaire et l'audace créatrice que se joue le futur de l'intelligence artificielle.