IA et cybersécurité : anticiper aujourd’hui pour maîtriser demain

Dans le contexte des débats autour de la sortie de « Mythos », dernier modèle d'Anthropic, et de son potentiel en matière de capacités dans le champ de la cybersécurité, le Conseil publie une courte note pour livrer ses premiers sentiments sur le sujet.

Lire la note

Voir le glossaire


L'IA est agnostique en matière de cybersécurité 

L’impact de l’IA sur la sécurité des systèmes d’information est triple, comme le rappelle l’ANSSI : 

  • La cybersécurité de l’IA : les systèmes d'IA sont des systèmes d’information comme les autres, et par conséquent, des cibles d'attaques dont ils doivent se prémunir.
  • La cybersécurité par l’IA : les outils d'IA renforcent les capacités des défenseurs, notamment en matière de détection.
  • La cybersécurité face à l’IA : les attaquants utilisent déjà l’IA, gagnant ainsi en efficacité et en rapidité. 

L’intelligence artificielle (IA) est une technologie utilisée aussi bien par les attaquants que par les défenseurs. S’il est encore tôt pour dire si cette technologie bénéficiera plus à un camp qu’à l’autre, certaines remarques de bon sens méritent d’être formulées :

  • S'emparer de l'IA pour se mettre en conformité : les acteurs, publics comme privés, qui ne feront pas l’effort permanent de comprendre et d’intégrer ces nouveaux usages seront rapidement déclassés.
  • Conserver l'humain dans la boucle aux étapes clés : si l’IA constitue une aide précieuse pour développer, corriger et tester les logiciels, se passer dès maintenant et totalement de l’expertise humaine semble la garantie d’échecs.  
  • Anticiper les nouvelles vulnérabilités et le déploiement de correctifs en conséquence présente un défi de taille, alors que beaucoup d'acteurs sont aujourd'hui déjà saturés.
     
Un nouveau « dilemme de souveraineté » ?

S'ils doivent s'emparer de ces outils pour en tirer le meilleur parti, les acteurs seront probablement confrontés à de difficiles arbitrages entre performance et autonomie stratégique.  

Par ailleurs, la mise à disposition exclusive de Mythos à une poignée d’acteurs quasi-exclusivement américains pose avec beaucoup d’acuité la question des capacités françaises et européennes en matière d’évaluation des modèles d’IA.
 

Des premières pistes opérationnelles 

Dans ce contexte, le CIANum appelle notamment :

  • les acteurs à ne pas céder à la panique ambiante, mais à penser les cadres de gouvernance et de sécurité de l’IA dès l’adoption des solutions. À court terme, les entreprises pourraient envisager la création d’une fonction permanente dédiée à la découverte, la qualification et la remédiation autonomes de vulnérabilités, dans le prolongement de la méthode « DevOps » ;
  • à la mise en œuvre de référentiels généraux qui, bien que non spécifiquement pensés pour l’IA, restent totalement à propos, à l’image de celui associé à la directive européenne NIS2 ;
  • à la structuration accélérée d’un écosystème public-privé européen d’évaluation des modèles d’IA autour de l’Institut national pour l’évaluation et la sécurité de l’IA (INESIA) et de laboratoires IA de pointe en Europe.


Lire la note
 

Ils en parlent
Haut de la page

Voir aussi

Abonnez-vous à notre lettre d'information

Entrez votre adresse e-mail pour recevoir Décibels, la lettre d'information mensuelle du Conseil de l'IA et du numérique. Au programme chaque mois : rubriques de fond, curation de contenus pour prolonger la réflexion, conseils pour augmenter ses pratiques numériques d'un demi-ton, et dates à noter. Vous pouvez vous désabonner à tout moment en un clic. À très vite !