Cybersécurité et IA : deux disciplines vouées à la complémentarité

Force est de constater que les champs de l’intelligence artificielle et de la cybersécurité sont désormais voués à évoluer ensemble. Il s’agit, d’une part, de sécuriser les systèmes d’IA pour en assurer la robustesse face à tout type de malveillance et de l’autre, d’utiliser l’IA pour renforcer la cybersécurité.

UNE IA DIGNE DE CONFIANCE

Aujourd’hui, nous voyons fleurir dans notre quotidien, dans nos organisations, de nouvelles solutions d’IA, allant de la simple reconnaissance faciale pour activer un téléphone jusqu’au développement de systèmes critiques de navigation aéronautique. Sans précautions suffisantes dans leur conception et leur déploiement, elles constituent autant de nouvelles surfaces de risques potentielles.

Pour garantir des systèmes d’IA sécurisés, robustes et résilients, il faut donc, en premier lieu, bien comprendre les principes théoriques sur lesquels ceux-ci doivent reposer, mais aussi connaître l’ensemble des menaces auquel ils sont et seront soumis. 

En 2018, déjà, la Commission Européenne soulevait la nécessité d’énoncer des Lignes directrices en matière d’éthique pour une IA digne de confiance et constituait un Groupe d’Experts de Haut Niveau sur l’Intelligence Artificielle (GEHN IA). Celui-ci identifia alors les quatre piliers fondamentaux prévalant au développement de tout système d’IA :

 

Le respect de l'autonomie humaine

« Les systèmes d’IA ne doivent pas subordonner, contraindre, tromper, manipuler, conditionner ni régenter des êtres humains. »
L’IA doit donner à l’humain la possibilité de faire des choix. Il convient donc de soumettre les processus de travail des systèmes d’IA au contrôle humain.

L'équité

Toute décision prise par un système d’IA doit être équitable et éthique, non fondée sur des biais ou des préjugés tels que l’âge, le genre, l’ethnicité, etc.

La prévention de toute atteinte

« Les systèmes d’IA ne devraient ni porter atteinte, ni aggraver toute atteinte portée, ni nuire aux êtres humains d’une quelconque autre manière. »
Cela engobe aussi les risques cyber. Ces systèmes et leurs environnements doivent être robustes face aux attaques dont ils sont susceptibles d’être la cible. Ils doivent aussi garantir leur intégrité. Les données collectées lors de l’apprentissage ne peuvent être altérées ou falsifiées dans le but de modifier leur processus de décision.

L'explicabilité

La finalité d’un système d’IA et son processus de décision doivent être transparents et si besoin, explicables et argumentés.

CONSTRUIRE UN Référentiel de sécurité

Ces principes soulignent ainsi l’importance d’intégrer les préoccupations de sécurité dès la phase de conception d’un système d’IA, et de construire un référentiel de cybersécurité pouvant inclure les points suivants :

  • La connaissance du cadre juridique dans lequel le système opère
  • La mise en place d’une ligne de base sécurité
  • Le suivi et le monitoring des systèmes de production
  • Le suivi, l’évaluation et la mise à jour régulière des risques et nouvelles menaces
  • La sensibilisation de toutes les parties prenantes aux risques encourus par les systèmes d’IA

Enfin, il semble désormais vital pour les deux disciplines d’avancer et de se développer ensemble, se nourrissant chacune des technologies, innovations et enjeux de l’autre pour toujours mieux identifier les menaces actuelles et futures, mais aussi toutes les opportunités qu’elles ont à s’offrir mutuellement.