Techonologie

L’intelligence artificielle face à la cybersécurité

salwa

Comme toujours dans le contexte de la sécurité des systèmes d’information, les menaces et les parades vont de pair. Avec la cybersécurité, les questions juridiques restent nombreuses. Or, les systèmes d’IA sont la cible de nouvelles menaces. A côté de ce phénomène, comment le cadre juridique de la cybersécurité évolue-t-il au niveau de l’Union européenne ? Comment embrasse-t-il ces problématiques actuelles ? Eric A. Caprioli, avocat à la Cour de Paris et fondateur du cabinet Caprioli & associé, analyse les contours de ce phénomène.

Un contexte en évolution permanente

On a dit beaucoup de chose sur les systèmes d’intelligence artificielle (IA) qui se situent au cœur d’une actualité très riche. Tout le monde cherche à capitaliser sur la donnée que ce soit de façon légale ou illégale. Il y a longtemps maintenant que la sécurité numérique a pour objectif d’assurer la disponibilité du système d’information, l’intégrité et à la confidentialité des données qu’il transmet et enregistre, tout en réalisant la traçabilité des opérations qu’il effectue. Le fameux acronyme « DIC ou DICT » de la cybersécurité.

Or, les attaques se multiplient dans tous les secteurs et nuisent aussi bien aux organisations qu’aux individus. Des risques nouveaux apparaissent avec de plus en plus de persistance : ransomware, malware, ingénierie sociale, fraudes diverses dont celle dite au président, menaces contre les données, menaces contre la disponibilité du système (attaque par déni de services) et contre l’internet, manipulation de l’information et intrusion, ou encore les attaques contre les chaines d’approvisionnement.

Tout cela se traduit par des infractions pénales telles que l’usurpation d’identité, le chantage, l’escroquerie, les atteintes aux droits de propriété intellectuelle (contrefaçon), le vol et les atteintes aux données personnelles (articles 226-16 à 226-24 du code pénal), ou les délits relatifs aux atteintes aux systèmes de traitement automatisés de données (articles 323-1 et suivants du code pénal). Les menaces portent souvent sur les biens. Mais désormais, on ne compte plus les attaques qui ciblent des hôpitaux, des aéroports, des gares ou des services de sécurité civile ou publique ce qui peut également entrainer de graves atteintes aux personnes.

Les systèmes d’intelligence artificielle (SIA) nouvelles cibles de menaces

Les SIA font également l’objet de menaces, dont certaines plus spécifiques tel que l’empoisonnement (envoi massif de données de nature à fausser les résultats), l’inférence (obtention par recoupement d’informations inaccessibles) ou l’évasion (communication de modifications dans les données entrantes qui vont modifier la classification). Selon l’Enisa. « [Ils] nécessitent d’énormes quantités de données pour être correctement entraînés et obtenir une génération de données de haute qualité, écrit l’agence dans son rapport. Ils deviennent donc une cible privilégiée pour les cybercriminels car ils sont très sensibles à l’empoisonnement des données. » De plus, il est nécessaire de disposer d’outils pour contrer la désinformation générée par l’IA.

Les utilisations des SIA sont diverses, ils peuvent notamment être intégrés à un SI comme un CRM. De plus, les interconnexions des systèmes des structures privées et publiques, génèrent l’interdépendance des risques qui sont susceptibles de devenir systémiques.
Pour trouver des parades à ces nouvelles menaces, il existe deux sortes de solutions de sécurité : technique et organisationnelle. Pour ce faire, il faudra mettre en place une équipe dédiée, une politique de sécurité, une méthode du type roue de Deming : PDCA ou Plan, Do, Check, Act ; et à ces solutions, il est nécessaire de leur associer des remèdes juridiques idoines qui seront de nature à répondre aux éventuelles atteintes aux données de l’entreprise et de ses clients (chartes, contrats, etc.).

Un cadre législatif européen de plus en plus élaboré

Dès lors que le SIA contient des données personnelles, il faut impérativement tenir compte de l’obligation de sécurité, assortie notamment de sanctions pécuniaires importantes émanant de l’autorité de contrôle compétente, qui figure dans le Règlement Général sur la Protection des Données du 27 avril 2016 (2 ou 4 % du CA ou amendes) et qui impose la limitation de conservation des données ainsi que leur intégrité et leur confidentialité.

Depuis 2013, la France a développé une politique de cybersécurité pour les entités critiques. En 2016, l’Union européenne a suivi le mouvement avec la directive NIS (Network & Information Security) qui touche aussi bien les organisations publiques que privées. Ensuite, la Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, « NIS 2 » (JOUE L 333/80 du 27.12.2022) est venue compléter le dispositif afin de le renforcer pour tenir compte de la généralisation de la numérisation et des multiples interconnexions. Elle a pour objectif d’établir un niveau de maturité cyber dans les 27 états membres de l’UE qui devront incorporer les mesures prévues dans leurs législations et en vigueur au plus tard en octobre 2024.

La cybersécurité européenne a été complétée par le Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications. Ce règlement, est applicable depuis juin 2023, il a pour objectif de renforcer le rôle de l’ENISA et de définir un cadre européen de certification de cybersécurité (JOUE L 151/15 du 7 juin 2019).

En outre, une directive 2022/2557 du 14 décembre 2022 a pour objet de renforcer la résilience des entités critiques, tout en créant le statut d’entités critiques européennes ; elle entrera en application le 18 octobre 2024 (JOUE L 333/176 du 27.12.2022). Selon ce texte, la «re?silience» consiste en la capacite? d’une entite? critique a? pre?venir tout incident, a? s’en prote?ger, a? y re?agir, a? y re?sister, a? l’atte?nuer, a? l’absorber, a? s’y adapter et a? s’en re?tablir (art. 2-2). A côté de cette directive, une proposition de règlement le « Cyber resilience Act » est en cours de discussion. Un règlement spécifique au secteur bancaire « DORA » du 27 décembre 2022-, applicable le 17 janvier 2025, vise à renforcer la cyber résilience opérationnelle des acteurs de ce secteur.

En ce qui concerne l’Intelligence artificielle, une proposition de réglement européen sur l’IA du parlement et du conseil (COM/2021/206 final) a été adoptée le 14 juin 2023 par le Parlement européen. Le Règlement cherche à promouvoir une IA digne de confiance en établissant des règles harmonisées et en suivant une approche par les risques ; ce qui doit permettre une classification des différents usages de l’IA et d’en assurer la régulation.

Le texte devrait être publié vers la fin de 2023 pour une application en 2025. « L’AI Act » envisage des obligations de transparence tout en intégrant les aspects cybersécurité de l’IA en interdisant par exemple l’utilisation de certaines solutions d’IA à hauts risques. Les utilisateurs devront suivre des normes et faire l’objet d’évaluation de conformité.

Au final, on signalera que l’IA est utilisée aussi bien au service du glaive que du bouclier et que la course entre l’attaque et la défense n’en est qu’à ses débuts.

Source : usine-digitale.fr

Vous pourrez aussi aimer

Ce robot va aider les pompiers à sauver des vies dans les incendies

salwa

CES 2024 : Withings donne un coup de fouet à la santé à domicile avec BeamO

salwa

On a testé le chatbot Bard de Google et voici comment vous pouvez l’essayer

salwa