« La création de l’intelligence artificielle serait le plus grand événement de l’histoire de l’humanité. Mais il pourrait aussi être l’ultime ! ». C’est en ces mots que l’astrophysicien, Stephen Hawking, évoquait l’IA, quelque temps avant son décès. À l’heure où la technologie en est encore à ses prémices, et commence à faire partie intégrante du quotidien de bon nombre d’entreprises et organisations, le potentiel de certains outils (dont ChatGPT est le fer de lance) paraît vertigineux. Les organisations cherchent donc à réguler le marché de l’IA pour se protéger, et anticiper les problématiques liées à leur cybersécurité.
Une révolution : une nouvelle menace, de nouveaux risques
L’intelligence artificielle permet, aujourd’hui, à tout un chacun de créer des images de toute pièce, de produire une nouvelle chanson de son artiste préféré en quelques clics, mais également de construire une présentation client comme si de rien n’était… Un gain de temps, de moyens parfois ! Mais comme toute nouveauté, elle apporte — avec elle — de nouveaux risques à ne pas sous-estimer.
En effet, l’émergence de l’IA rebat les cartes, et le spectre des menaces cyber s’élargit. Comme l’actualité l’a récemment démontré, les possibilités offertes par la technologie de machine learning de l’IA sont multiples, et permettent de reproduire des actions et tâches humaines à une vitesse fulgurante — et avec un réalisme épatant.
De nombreux hackers exploitent par exemple ChatGPT, pour réaliser des modélisations de phishing ultra perfectionnées. D’autres ont commencé à utiliser la technologie pour accélérer le développement de codes ou de logiciels malveillants polymorphes, qui, via leurs mutations permanentes, deviennent difficilement détectables. Les pirates utilisent également l’IA comme outil tactique. L’objectif : déjouer la sécurité et mieux contourner les filtres de sécurité faciale et antispam, promouvoir de fausses commandes vocales ou, encore, passer outre les moteurs de détection d’anomalies.
Plus qu’un simple vecteur d’attaque, le véritable facteur différenciant de l’IA est qu’elle devient elle-même une menace, capable de déployer des scénarios stratégiques et opérationnels d’attaques, contre une cible définie, de façon quasi autonome.
Un cadre légal complexe
Ainsi, comme pour toute menace pesant sur les individus et organisations, il convient d’encadrer et de régir le développement de la technologie et son exploitation à travers une base légale — régissant le développement de l’IA et son utilisation. Mais comment faire lorsque l’essence même de la technologie vient de sa capacité d’apprentissage et d’innovation sans limites ? C’est malheureusement là que le bât blesse. Outre les règles internationales liées à l’éthique, le cadre légal entourant le développement de l’IA est encore relativement restreint, voire inexistant au niveau mondial.
Au niveau national, chaque État adopte sa stratégie de régulation. Les législateurs américains ont démarré, ce semestre, des réflexions sur des propositions de loi autour du projet fédéral « Algorithm Accountability Act », le National Telecommunications and Information Administration (NTIA) emboîtant le pas à certains États. La Chine, elle, travaille sur la Cyber Administration of China (CAC) : un projet permettant de donner des lignes directrices, auxquelles les services d’IA génératives devront se conformer (déclaration d’utilisation auprès du régulateur, garantie de l’exactitude des informations, etc.).
Enfin, l’Union européenne, à travers le Parlement européen, vient tout juste d’achever son travail sur l’Artificial Intelligence Act (AI Act). Ce dernier aspire à encadrer au mieux les pratiques et l’exploitation de la technologie. Les règles générales établies ont fait l’objet d’un accord entre les États membres, le 8 décembre dernier, et vont permettre, dans la même lignée que le RGPD, d’encadrer le développement et l’utilisation de l’IA. Les règles sont prévues pour être les plus agiles et pertinentes possibles, pour anticiper au mieux les menaces encourues, grâce à une approche basée sur les risques. Ces derniers sont classifiés en quatre typologies :
- Les systèmes d’intelligence artificielle à très haut risque, dits « inacceptables », pourront être proscrits (systèmes permettant de manipuler le comportement humain, l’IA visant à exploiter certaines vulnérabilités humaines, en raison de leur âge, systèmes de catégorisation biométrique utilisant des caractéristiques sensibles, extraction ciblée d’image faciale, etc.) ;
- Les IA, possédant des risques « élevés », seront soumises à des obligations strictes et, notamment, à la réalisation d’analyse d’impacts avant toute mise sur le marché ;
- Les systèmes avec des risques dits limités ou « acceptables » ;
- Et enfin, l’IA aux « risques minimes ».
Les régulateurs européens vont également imposer que tout le contenu généré par l’IA soit clairement identifié comme tel, afin d’assurer une transparence totale. En cas de non- application de la loi, des pénalités allant de 1,5 à 7 % du chiffre d’affaires, selon la taille de l’entreprise, pourront être appliquées. L’accord doit désormais être retravaillé par les États membres pour une application sur leur sol national.
La nécessité de légiférer au niveau international est grandissante. Même si de nombreuses discussions et groupes de travail existent au sein de divers organismes institutionnels ou d’ONG, de multiples acteurs internationaux et experts soulignent l’importance de réglementer concrètement les modèles de l’IA, à l’instar des secteurs du nucléaire ou de la santé.
En attendant…
En attendant la mise en place de ces réglementations et normes, il est important de prendre quelques précautions. En effet, il est indispensable, comme pour tout nouveau projet développé en interne par une entreprise, que la place de la cybersécurité dans l’esprit des équipes dirigeantes soit haute, et que l’anticipation des risques fasse l’objet d’un processus continu d’intégration de la sécurité (tel que l’approche DevSecOps ou via analyse de risques).
La génération de codes doit être, par exemple, suffisamment contrôlée, car, d’après plusieurs études, les CodEx (laboratoire OpenAI) ajoutent des failles de sécurité lors des développements. Il est alors primordial d’utiliser les outils de contrôle déjà existants, de prendre le temps de les exécuter, et d’appliquer les processus de vérification standard (ségrégation des environnements, passage en test avant intégration, etc.). Il en va de même pour les mesures d’hygiène fréquemment rappelées lors des sensibilisations.
Pour limiter les risques, il ne faut jamais communiquer ou intégrer dans un des outils d’IA des données sensibles, confidentielles ou personnelles. Enfin, il ne faut pas mélanger outils professionnels et personnels lors de leur usage.
