Dans le monde en évolution de l’intelligence artificielle (IA), il existe de nombreuses opportunités. Cependant, il existe aussi des lacunes en matière de gouvernance, des défis de conformité et des vulnérabilités en cyber sécurité.

Lors d’une récente table ronde LinkedIn Live sur la chaîne HCLTech Trends and Insights, Lacunes en matière de gouvernance et échec des garde-fous : Gérer la sécurité à l’ère de l’IA, animée par Jeff Crume, ingénieur distingué, maître inventeur et architecte de cybersécurité chez IBM, des experts du secteur ont exploré les étapes cruciales que les organisations doivent franchir pour se protéger face à l’adoption accélérée de l’IA.

La visibilité d’abord : comprendre l’expansion de la surface de risque de l’IA

L’adoption de l’IA introduit une surface d’attaque nouvelle et considérablement élargie. Comme l’a dit Crume : « L’IA [est] la nouvelle surface d’attaque parce que c’est exactement ce que c’est. Chaque fois que nous introduisons une nouvelle technologie, c’est une autre fenêtre ou porte que les cybercriminels peuvent exploiter. »

Comprendre les nuances du risque lié à l’IA commence par la visibilité. Selon Guy Shanny, leader mondial de la sécurité des données et de l’IA chez IBM, « Les entreprises doivent savoir quels usages de l’IA elles ont dans toute l’entreprise… parce qu’une fois qu’elles ont cette visibilité, elles peuvent mieux se protéger. »

Shanny a souligné la différence entre divers types d’adopteurs de l’IA, notamment les preneurs, les façonneurs et les créateurs, chacun étant confronté à des défis distincts en matière de sécurité, de conformité et de gouvernance. Les utilisateurs de l’IA vont des entreprises qui se contentent de consommer les services d’IA (preneurs), à celles qui personnalisent et intègrent l’IA (façonneurs), jusqu’à celles qui créent des modèles fondamentaux d’IA (créateurs). Chaque catégorie fait face à des risques uniques, tels que les attaques par injection de requêtes, la fuite de données sensibles, l’empoisonnement des données et les biais inhérents.

Amit Mishra, responsable mondial de la confidentialité et de la sécurité des données chez HCLTech, a également souligné un groupe de risque moins évident, les « observateurs », des utilisateurs au sein des organisations qui adoptent de façon informelle les technologies de l’IA, introduisant potentiellement des risques à leur insu.

Mishra a expliqué : « Ce sont des personnes qui n’apportent pas de valeur à l’ensemble de la chaîne. Cependant, ce sont les curieux qui sont dans votre entreprise et qui bricolent avec les produits. Ils sont donc ceux qui amènent beaucoup de ces risques simplement… de façon irresponsable, sans forcément de mauvaises intentions, mais qui introduisent ce type de modèle. »

Trouver le bon équilibre : innovation, confiance et conformité

Dans la course à l’innovation, les organisations perçoivent souvent la conformité et la sécurité comme des obstacles plutôt que des leviers. Mishra a noté une perception répandue selon laquelle « soit vous innovez, soit vous vous conformez », soulignant à quel point il est crucial pour les organisations de se libérer de cette fausse dichotomie. Les organisations efficaces, selon lui, concilient conformité et innovation en fournissant des directives claires, des outils pratiques et en intégrant la gestion des risques dès le début.

Comme l’a développé Crume, les principes d’IBM pour une IA digne de confiance mettent en avant des piliers essentiels de la gouvernance tels que l’explicabilité, l’équité, la robustesse, la transparence et la confidentialité. Ceux-ci servent de point de départ pratique pour les entreprises cherchant à intégrer des pratiques responsables dans l’adoption de l’IA.

Anticiper la sécurité à l’ère de l’IA

Les mesures de sécurité doivent évoluer en même temps que les capacités de l’IA. Shanny a proposé un cadre clair à cet effet : d’abord, obtenir une visibilité continue ; puis mettre en œuvre une sécurité proactive par la « surveillance continue, le red teaming pendant la phase de développement, la gestion de la posture de l’infrastructure sous-jacente… et enfin, avoir comme dernière ligne de défense le pare-feu d’IA ».

Crume a ajouté : « Je pense [qu’un pare-feu d’IA est] une architecture puissante parce qu’en réalité, beaucoup essaieront d’intégrer toutes ces protections dans chaque modèle individuellement, ce qui sera difficile… alors que le fait de les séparer dans un pare-feu en amont facilite les choses. »

L’impératif de la collaboration interfonctionnelle

Mishra a souligné le rôle crucial de la collaboration interfonctionnelle dans la gestion efficace des risques liés à l’IA. Selon lui, malgré leur complexité apparente, « la plupart de ces défis complexes ont un mode de gestion très simple et logique… et cette réponse commence par la gouvernance. »

Une gouvernance solide permet aux équipes de différents horizons — sécurité, conformité, éthique et affaires — de travailler ensemble de manière plus cohérente.

Pour favoriser cette collaboration, Mishra a suggéré des stratégies pratiques, notamment des mandats exécutifs clairs, la simplification de la conformité par l’automatisation, l’intégration de la sécurité dès le début du développement (souvent appelée approche “shift-left”) et la promotion de la formation croisée ou de la “pollinisation croisée” entre équipes pour bâtir une compréhension mutuelle.

Se préparer à un avenir puissant : le prochain horizon de l’IA

Lorsqu’il a été question de l’inévitabilité de la croissance de l’IA, Crume a prédit que l’IA aura des répercussions à la fois « dévastatrices et extraordinaires » sur la cyber sécurité, citant des menaces comme des attaques de phishing hautement sophistiquées, des injections de requêtes avancées, mais aussi des progrès défensifs comme l’accélération de l’analyse des menaces.

Shanny a mis en garde tout particulièrement contre le potentiel de l’IA à rendre les cyberattaques beaucoup plus évolutives, personnalisées et difficiles à contrer. « Avec l’IA, vous pouvez transformer les différents maliciels à grande échelle et… contourner les détecteurs, les identifications [et] les mécanismes », a-t-il expliqué.

Cependant, Mishra a émis une note d’optimisme : « Lorsque [l’IA] sera dix fois plus puissante, nous serons exactement là où nous sommes aujourd’hui. Parce que l’attaque sera dix fois plus puissante tout comme la défense. »

Peut-être que le risque émergent le plus pressant évoqué par le panel est celui des agents autonomes d’IA. Crume cite l’exemple de « EchoLeak », une attaque par courriel menée par l’IA ne nécessitant aucun clic et pouvant exfiltrer des données sensibles sans aucune interaction humaine.

« Nous ne pouvons pas former un utilisateur à agir différemment… car il n’a rien fait du tout », a averti Crume, soulignant l’importance cruciale de contrôler strictement l’autonomie de l’IA.

Une révolution de la gouvernance pour une nouvelle réalité de l’IA

L’ère de l’intelligence artificielle exige une évolution de la gouvernance et de la cyber sécurité. Les organisations doivent adopter l’innovation en IA tout en maintenant avec diligence la transparence, des garde-fous solides et une collaboration efficace entre les équipes.

Au final, comme l’a résumé Crume : « Il faut s’assurer que notre IA nous serve et non l’inverse. »

Le potentiel révolutionnaire de l’IA est clair, mais sécuriser cette révolution est le nouvel impératif de gouvernance.