18 pays, dont la France, approuvent les lignes directrices mondiales pour la sécurité de l’IA

Le Royaume-Uni a publié, hier lundi, les premières lignes directrices mondiales visant à assurer le développement sécurisé des systèmes d'IA. Elaborées par le National Cyber Security Centre (NCSC) du Royaume-Uni et la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, avec le soutien de nombreux partenaires internationaux, elles visent à éclairer la décision des développeurs de systèmes d’IA.

Des entreprises d'IA, des instituts ou universités ont contribué à l'élaboration de ces lignes directrices, parmi eux, l'Alan Turing Institute, Amazon, Anthropic, Databricks, Georgetown University’s Center for Security and Emerging Technology, Google, DeepMind, Hugging Face, IBM, Inflection AI, Microsoft, OpenAI...

Selon ces recommandations, la sécurité doit être une exigence fondamentale, non seulement dans la phase de développement, mais tout au long du cycle de vie du système. Des considérations et des mesures d’atténuation sont proposées pour réduire le risque global pour les quatre étapes clés du cycle de développement d’un système d’IA : sa conception, son développement, son déploiement et, pour finir, son exploitation.

Conception sécurisée

Cette section couvre la compréhension des risques et de la modélisation des menaces, ainsi que des sujets spécifiques et des compromis à prendre en compte lors de la conception du système et du modèle.

Développement sécurisé

Les lignes directrices soulignent la nécessité d'évaluer et surveiller la sécurité des chaînes d'approvisionnement tout au long du cycle de vie d'un système d'IA, et portent également sur la documentation des données, la gestion des actifs et de la dette technique.

Déploiement sécurisé

Cette section propose des conseils pour la protection de l’infrastructure et des modèles contre la compromission, la menace ou la perte, l’élaboration de processus de gestion des incidents et la publication responsable.

Exploitation et maintenance sécurisées

Cette dernière section fournit des directives sur les actions particulièrement pertinentes une fois qu’un système a été déployé, y compris la journalisation et la surveillance, la gestion des mises à jour et le partage d’informations.

Le document, comme on peut le voir, ne vise pas à réglementer, n'est pas non plus contraignant. Il vise plutôt à sceller la coopération internationale ébauchée lors de l'AI Safety Summit en début de mois, que ce soit avec la Déclaration de Bletchley ou avec le soutien déclaré à l'AI Safety Institute.

Côté France, il a été publié en partenariat avec l'ANSSI, l’Agence nationale de la sécurité des systèmes d’information.

Lindy Cameron, Directrice générale du NCSC, déclare :

"Ces lignes directrices marquent une étape importante dans l’élaboration d’une compréhension commune et véritablement mondiale des cyber-risques et des stratégies d’atténuation autour de l’IA afin de garantir que la sécurité n’est pas un post-scriptum au développement, mais une exigence fondamentale tout au long du processus.

Je suis fière que le NCSC mène des efforts cruciaux pour relever la barre de la cybersécurité de l’IA : un cyberespace mondial plus sûr nous aidera tous à exploiter en toute sécurité et en toute confiance les merveilleuses opportunités offertes par cette technologie".

Voici la liste complète des signataires :

• Australie – Centre australien de cybersécurité (ACSC) de l’Australian Signals Directorate
• Canada – Centre canadien pour la cybersécurité (CCCS)
• Chili - CSIRT du gouvernement chilien
• Tchéquie - Agence nationale tchèque de cybersécurité et de sécurité de l’information (NUKIB)
• Estonie - Autorité des systèmes d’information d’Estonie (RIA) et Centre national de cybersécurité d’Estonie (NCSC-EE)
• France - Agence nationale de la sécurité des systèmes d’information (ANSSI)
• Allemagne - Office fédéral allemand de la sécurité de l’information (BSI)
• Israël - Direction nationale israélienne de la cybersécurité (INCD)
• Italie - Agence nationale italienne pour la cybersécurité (ACN)
• Japon - Le Centre national japonais de préparation aux incidents et de stratégie pour la cybersécurité (NISC ; Secrétariat japonais de la science, de la technologie et de la politique d’innovation, Cabinet Office
• Nouvelle-Zélande - Centre national de cybersécurité de Nouvelle-Zélande
• Nigeria - Agence nationale de développement des technologies de l’information du Nigeria (NITDA)
• Norvège - Centre national norvégien pour la cybersécurité (NCSC-NO)
• Pologne - Institut national de recherche NASK (NASK) de Pologne
• République de Corée - Service national de renseignement de la République de Corée (NIS)
• Singapour - Agence de cybersécurité de Singapour (CSA)
• Royaume-Uni de Grande-Bretagne et d’Irlande du Nord – Centre national de cybersécurité (NCSC)
• États-Unis d’Amérique – Agence pour la cybersécurité et l’infrastructure (CISA) ; Agence de sécurité nationale (NSA ; Federal Bureau of Investigations (FBI) (en anglais seulement)