Cybersécurité et Intelligence Artificielle : oui, mais comment ?

De nos smartphones à nos emails, l'intelligence artificielle est désormais indissociable de notre quotidien. Son omniprésence impose de prendre en compte ses enjeux en matière de sécurité.

De nos smartphones à nos emails en passant par l’aide à la navigation, l’intelligence artificielle est désormais indissociable de notre quotidien. Son omniprésence impose de prendre en compte ses enjeux en matière de sécurité.

De nombreux principes de sécurité s'appliquant aux systèmes traditionnels sont d’ores et déjà valables pour les systèmes d'IA. Par exemple, la mise en œuvre de contrôles de sécurité tels que le contrôle d'accès au réseau, la protection des interfaces, la détection des menaces ou le chiffrement des données. 

Toutefois, compte tenu de leur singularité, les systèmes d’intelligence artificielle présentent des fragilités spécifiques.  En effet, ces derniers peuvent être amenés à prendre des décisions erronées à partir de données compromises ou peu adaptées aux cas d’usage. Ils peuvent également être piratés par des attaquants souhaitant accéder à des données sensibles ou prendre le contrôle du système lui-même. Enfin, les attaques contre les systèmes d'IA sont susceptibles de fragiliser durablement la sécurité du système voire de causer des dommages ou des pertes majeurs.

C’est la compréhension de ces spécificités qui permettra aux organisations de développer une stratégie de sécurité complète à même de protéger leurs systèmes d’IA d’une variété de menaces pour leur sécurité. 

Pour y parvenir, voici dix principes directeurs à prendre en compte :

Renforcer sa gouvernance

Il est nécessaire de mettre en place une gouvernance robuste et des contrôles de sécurité tout au long du cycle de vie de l’IA. De même, les exigences de la réglementation devront être documentées et actualisées au fur et à mesure de leur évolution.

Etablir un inventaire exhaustif des systèmes d’IA

Il convient d’avoir une vision la plus complète possible des systèmes d’IA utilisés par votre organisation. Ceci inclut la documentation de leur fonctionnement, de leurs données d’entraînement et de leur usage par les employés ou les utilisateurs. Cette connaissance de vos systèmes d’IA est nécessaire pour identifier et limiter les risques de sécurité.

Assurer la sécurité des données à chaque étape de leur utilisation

Concrètement, il s’agit de mettre en place des contrôles de sécurité robustes pour la collecte de données, leur stockage, leur traitement ainsi que pour les modèles et les codes associés.

Sécuriser le développement logiciel

Les pratiques de développement comprennent notamment la revue de code, la modélisation des menaces et les tests d’intrusion. Les bonnes pratiques relatives au cycle de développement des logiciels doivent s’appliquer à la fois au code et aux données.

Prioriser l’éducation

Face aux menaces qui pèsent sur les organisations, l’éducation des utilisateurs (y compris les développeurs et les opérateurs des systèmes IA) est une priorité. Il convient de former davantage de designers de systèmes IA à la modélisation des menaces et aux autres pratiques de sécurité. 

Procéder à un déploiement sécurisé

Le déploiement inclut l’utilisation d’un ensemble d'outils et de processus pour filtrer et enregistrer les entrées (tels que les prompts de l’IA générative) et les sorties. Il doit également s’étendre au contrôle des accès et de sécurité qui devront être réévalués régulièrement dans le temps.

Renforcer la surveillance pour améliorer la détection et la réponse aux menaces 

Cette surveillance passe notamment par l’utilisation des outils de sécurité pour identifier les activités malveillantes. Les résultats d'un modèle génératif devront être surveillés. Ce contrôle portera à la fois sur le déploiement du modèle et sur le contenu de ses résultats qui peuvent indiquer une compromission.

Organiser des tests de sécurité

Lancer un programme de simulations d’attaques sur les systèmes d’IA ("AI Red team”) en faisant appel à des experts en sécurité et en intelligence artificielle..

Etablir une politique d’utilisation

Si vous ne développez pas vous-mêmes des systèmes d'IA mais en êtes un utilisateur, formalisez une politique d'utilisation de l'IA, qui inclut également les usages de l'IA générative.

Anticiper la réponse aux incidents

Réagissez rapidement et efficacement aux incidents de sécurité. Cela implique notamment de disposer d'un plan de réponse aux incidents impliquant des systèmes d'IA.

Evidemment, la stratégie de sécurité mise en place par les organisations dépend fortement du type d’intelligence artificielle concernée (l’IA générative a ses propres scénarios de menace), des  cas d’usage envisagés (l'IA qui rédige des textes de marketing et l'IA qui écrit du code de production présentent des risques différents) et du rôle de l’organisation dans l’écosystème IA (utiliser une application grand public ou développer ses propres applications d’IA entraîne des mesures de sécurité différentes). Par conséquent, la réflexion doit à la fois intégrer les aspects généraux de sécurité, mais considérer également les cas d’usage spécifiques, dont chacun fera l’objet d’une analyse de risques.