Secret-défense & intelligence artificielle : quand la gestion des contenus rime avec sécurité nationale
A l'ère du travail à distance et du partage de documents, la protection des données est plus que jamais essentielle.
Cet enjeu est d’autant plus fort pour les entreprises du secteur de la défense qui doivent tout mettre en œuvre pour assurer la sécurité de leurs données critiques. En effet, ces entreprises et organisations sont soumises à des règles de sécurité spécifiques, et des documents classés « secret défense » – ceux dont la communication serait susceptible de porter atteinte au secret de la défense nationale – ne doivent en aucun cas fuiter. C’est le cas notamment des documents relatifs aux installations militaires ou à la défense nationale, comme les plans de sécurité Vigipirate.
La conjoncture actuelle veut que l’IA prenne de plus en plus de place et automatise la gestion des documents, afin d’optimiser les tâches répétitives laissant ainsi à l’humain le temps d’effectuer les tâches à plus forte valeur ajoutée. Il est certain que cette technologie va continuer de s’intégrer aux processus secret-défense, mais concernant l’IA générative (dont on ne connaît pas encore tous les usages et les risques) ne serait-il pas comme faire rentrer le loup dans la bergerie ?
Il n’y a pas de mauvaise IA mais que des mauvais usages
La technologie en tant que telle n’est ni bonne ni mauvaise : c’est l’intention qui fait toute la différence. Il est donc nécessaire de l’adapter correctement aux usages et aux besoins actuels. L’IA n’est pas capable de structurer et d’interpréter la donnée, elle est très performante pour les missions de recherches, d’automatisation des processus et de catégorisation. S’il s’agit d’une aide appréciable et d’un gain de temps, il y a une différence entre les technologies comme ChatGPT et l’IA générative. Si cette dernière se distingue grâce à sa capacité à générer du texte, des images ou d’autres médias en réponse à des requêtes formulées par l’humain, les usages de ChatGPT, sont encore nébuleux. En effet, personne ne sait où vont les historiques des échanges sur ChatGPT, qui y a accès, quand et pour quoi faire.
Si l’innovation se doit d’être toujours pertinente, il faut prendre garde à ce que ce ne soit pas au détriment de la sécurité. De ce fait, des cadres doivent être posés, surtout pour les secteurs d’activités stratégiques ou sensibles.
On ne joue pas avec les règles dans le secteur de la défense
Chaque secteur a ses propres spécificités. Lorsqu’il s’agit de la défense nationale, les règles à suivre sont particulièrement complexes et strictes. Si la réglementation autour de la protection du secret de la défense nationale est définie dans le code de la défense, elle viendra s’appliquer à la fois aux données, aux contenus, aux communications, mais aussi aux outils utilisés par les organisations concernées. Pour un projet de fabrication d’équipement mobile militaire (sous-marin, avion, etc.), d’armement, mais aussi d’infrastructure (portuaire ou aéroportuaire) ou encore de cybersécurité, il est nécessaire de s’appuyer sur des outils qui soient parfaitement sûrs et qui répondent aux exigences imposées. Même si toutes les informations traitées sont sensibles et doivent être sécurisées, elles n’ont pas toutes besoin de l’être au même niveau. Il faut donc dans un premier temps classifier les documents et les protéger.
Pour celles qui sont particulièrement sensibles, il faudra donc mettre en place des silos permettant de contrôler les accès ; c’est à cet instant que l’utilisation de l’IA prend tout son sens. En effet, elle va pouvoir s’occuper de gérer les identités des utilisateurs qui souhaitent consulter ces éléments, afin de surveiller les usages en ne donnant accès qu’à ce qui est nécessaire et/ou autorisé. Concrètement, c’est en connectant la base documentaire au système, que l’utilisateur sera en mesure de consulter les informations dont il a besoin pour effectuer ses tâches, et ce de façon contrôlée. En cas d’intrusion ou d’incident, cette procédure de sécurité viendrait contenir l’hémorragie et endiguer l’accident.
Dans un secteur aussi complexe que stratégique, la gestion des informations, des contenus et des accès doivent être à la hauteur des enjeux qu’elle sert. Alors que la réglementation pose le cadre de conformité et d’exigence en matière de sécurité et confidentialité, le dispositif de protection se doit d’être particulièrement strict et fiable pour que les organisations puissent respecter leurs prérogatives. Comme l’explique l’ANSSI, plus les informations sont sensibles, plus les règles de protection des systèmes d’information sont contraignantes. Toutefois, il est intéressant de regarder ce que propose le marché en termes de nouvelle technologie, car cela peut permettre d’imaginer ce qui pourra potentiellement être mis en place par les gouvernements pour protéger les données de tous. Dans le cadre du secteur de la défense, l’enjeux de protection n’est plus du recours de la vie privée, il est vital.