Cybersécurité des IAs : l'analyse des risques de l’ENISA
L’ENISA, l’agence de l’UE pour la cybersécurité, a publié mercredi (7 juin) une série de rapports sur les défis de l’intelligence artificielle (IA) en matière de cybersécurité.
L’ENISA, l’agence de l’UE pour la cybersécurité, a publié mercredi (7 juin) une série de rapports sur les défis de l’intelligence artificielle (IA) en matière de cybersécurité.
Ces rapports ont été publiés lors de la conférence sur la cybersécurité de l’IA organisée par l’ENISA, qui a abordé les implications de la cybersécurité en termes de chatbots, de recherche et d’innovation, ainsi que des défis juridiques et industriels.
« Si nous voulons à la fois sécuriser les systèmes d’IA et garantir le respect de la vie privée, nous devons examiner de près la manière dont ces systèmes fonctionnent », a déclaré Juhan Lepassaar, directeur exécutif de l’Agence de l’UE pour la cybersécurité.
Questions relatives à la vie privée
L’ENISA a également publié des rapports sur l’impact significatif que l’IA a sur les enjeux de sécurité et de la vie privée, en prenant en exemple ses scénarii prédictifs concernant la demande sur les réseaux électriques et le domaine du diagnostic par imagerie médicale.
« Bien que la sécurité et la vie privée ne soient pas nécessairement la même chose, elles sont intimement liées et tout aussi importantes », peut-on lire dans l’un des rapports.
L’ENISA a recommandé que « l’ensemble du contexte de la cybersécurité et de la vie privée (exigences, menaces, vulnérabilités et contrôles) soit adapté au contexte et à la réalité de chaque organisation ».
Les lacunes de la recherche
En ce qui concerne le paysage de l’UE en matière d’IA et de cybersécurité dans le domaine de la recherche et de l’innovation, l’ENISA a dressé un état des lieux afin d’identifier de potentielles lacunes.
L’analyse met en évidence six lacunes dans la recherche et l’innovation. Elles concernent à la fois les sujets d’informations et de connaissances adéquates sur le potentiel des solutions d’IA pour la cybersécurité, la bonne documentation des projets de déploiement et les actions de démonstration.
Il a également été relevé qu’une minorité de prototypes mis au point dans un cadre de recherche et développement (R&D) sont commercialisés, qu’il existe un fossé de perception entre la recherche et le monde des affaires, et que la capacité de ces projets à résoudre des problèmes existants ou émergents est limitée.
« Si l’impact de l’IA sur le paysage global des risques est source de défis et d’opportunités, la sécurisation de l’IA et des vulnérabilités spécifiques à l’IA constitue un défi à la fois organisationnel et de R&D », a déclaré Henrik Junklewitz, membre du département de la recherche de la Commission européenne.
Selon son rapport sur la recherche sur l’intelligence artificielle et la cybersécurité (Artificial Intelligence and Cybersecurity Research), l’ENISA prévoit d’élaborer une feuille de route et de créer un observatoire de la R&D en cybersécurité axé sur l’IA.
Des systèmes sécurisés
Une partie de la conférence a également porté sur les bonnes pratiques de sécurisation des systèmes d’IA, prenant en exemple le rôle de l’Office fédéral allemand pour la sécurité en matière de technologies de l’information (BSI). Cette autorité définit la sécurité de l’information pour les technologies numériques, y compris l’IA.
« Nous devons développer des critères pratiques, par conséquent, l’IA doit être considérée dans le système de cas d’utilisation, c’est ce que nous devons prendre en compte lorsque nous envisageons de sécuriser les systèmes d’IA », a déclaré Arndt von Twickel du BSI.
Compte tenu de la complexité du cycle de vie d’un outil d’IA, de nouvelles vulnérabilités apparaissent. Pour sécuriser un système d’IA avec succès, la réflexion cybersécurité doit couvrir toutes les phases de développement : planification, gestion des données, formation, déploiement et exploitation.
« Nous étudions les propriétés fondamentales de l’IA dans différents domaines. Notre contribution consistera 1) à élaborer des documents et des lignes directrices techniques spécifiques à un domaine et à un cas d’utilisation, 2) à mettre à jour le modèle d’IA généralisé et à utiliser les résultats des deux premiers points pour contribuer à la normalisation, à la réglementation et à la consultation », a expliqué M. von Twickel.
Bonnes pratiques
L’ENISA a également publié un rapport sur un cadre à plusieurs niveaux pour les bonnes pratiques de cybersécurité en matière d’IA (Multilayer Framework for Good Cybersecurity Practices for AI).
Le rapport examine trois niveaux de l’IA : la cybersécurité de base pertinente pour l’IA, la cybersécurité spécifique à l’IA et la cybersécurité sectorielle pour l’IA, à l’intention des parties prenantes de l’IA et des autorités nationales compétentes (ANC).
« Il existe différents seuils, et les start-ups proposent de bonnes solutions. Le défi est de savoir comment fixer le seuil et comment réglementer les grands acteurs et les acteurs non européens », a souligné Rafael Popper, chercheur à l’université de Turku.
Tout en faisant la distinction entre les différentes parties prenantes, le rapport estime que les institutions de l’UE et ses États membres doivent collaborer pour mettre en place un cadre éthique accepté au niveau mondial afin de développer des mesures universellement acceptables.
« La réglementation arrivera d’une manière ou d’une autre. Le mot clé est ici l’IA de confiance. L’UE a maintenant la possibilité de les rendre dignes de confiance. Cela devrait être considéré comme une opportunité, et non comme un défi », a ajouté M. Junklewitz.
