[FIC 2025] La sécurité « by design », essentielle pour protéger les systèmes d’IA des cyberattaques

2 avril 2025 salwa

A l’occasion du Forum InCyber, le Campus Cyber, en collaboration avec le Hub France IA, publie un guide pour protéger les systèmes d’intelligence artificielle contre les cyberattaques. Après avoir présenté les différents types d’incidents, il détaille les mesures de sécurité à mettre en place.

Bien que le thème de cette année soit la confiance, l’intelligence artificielle est également sur toutes les lèvres au Forum InCyber, qui se tient actuellement à Lille jusqu’au 3 avril. A cette occasion, le Campus Cyber – lieu totem de la cybersécurité – publie son analyse des attaques sur les systèmes d’intelligence artificielle. Ce rapport a été publié en collaboration avec le Hub France IA, association regroupant des acteurs mobilisés autour d’une vision commune de l’IA en France et en Europe.

Un guide pour les experts de la cyber et de l’IA

L’objectif de ce document est de proposer un guide pour les experts de la cybersécurité mais aussi de l’intelligence artificielle afin de sécuriser les systèmes d’IA dès leur conception. C’est le principe du « secure by design », régulièrement plébiscité par les agences de sécurité, telles que l’Agence nationale de la sécurité des systèmes d’information (Anssi) ou son homologue, le Bundesamt für Sicherheit in der Informationstechnik (BSI).

Ce guide s’appuie sur les travaux de référence de l’Anssi, du National Institute of Standards and Technology (NIST), du MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) qui est un référentiel qui fournit une taxonomie détaillée des tactiques et techniques adversariales ciblant les systèmes d’apprentissage automatique ainsi que de l’Open Worldwide Application Security Project (OWASP), une fondation à but non lucratif qui oeuvre pour améliorer la sécurité des logiciels grâce à ses projets logiciels open source.

Précisions que le rapport a choisi le terme de « systèmes d’IA » en référence à l’Artificial Intelligence Act. Il s’agit d’un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et pouvant faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels.

Mettre en place des mesures de sécurité adaptées

Les auteurs du rapport, qui travaillent chez Wavestone, I-Tracing ou encore au Commissariat à l’Energie Atomique (CEA), rappellent que les systèmes d’IA présentent « des vulnérabilités spécifiques, propres à leur architecture et à leur fonctionnement, qui reposent sur des algorithmes complexes et des jeux de données volumineux ». A ce titre, il est essentiel de mettre en place des mesures de sécurité adaptées à ces spécificités.

Dans le détail, le document propose une classification simplifiée contenant trois catégories d’attaques. La première est l’attaque par empoisonnement qui cible la phase d’apprentissage du modèle, en altérant les données d’entraînement ou le modèle pour compromettre son intégrité. La deuxième est l’attaque par évasion, qui consiste à cibler le modèle en production en modifiant les données d’entrée pour obtenir des prédictions erronées. La troisième est l’attaque Oracle (Oracle Attacks) par laquelle les cybercriminels exploitent l’accès au modèle pour en extraire des informations ou influencer son comportement.

Une double protection

Face à ces menaces, les experts préconisent la mise en place d’une double protection : les mesures de prévention classiques de cybersécurité en ajoutant les mesures de prévention spécifiques à l’IA. Sur cette seconde série de mesures, le guide renvoie aux recommandations de l’Anssi.

Dans le détail, pour protéger les données contre l’empoisonnement en phase d’entraînement, le guide recommande de mettre en place des mécanismes d’identification des données inattendues ou malveillantes, susceptibles d’incidences sur l’apprentissage du modèle. Il est également possible d’entraîner le système à se protéger lui-même contre l’empoisonnement en l’entraînant sur des données empoisonnées.

Evaluer précisément les modèles open source

Par ailleurs, lors de l’utilisation d’un modèle open source, il convient de procéder à une évaluation de sécurité exhaustive de toutes les dépendances et de tous les composants tiers, tels que les bibliothèques, les frameworks ou les modèles d’IA générative téléchargés. Le guide précise également qu’il est préférable de les télécharger depuis des référentiels réputés, des plateformes de confiance avec des pratiques de sécurité bien établies, et uniquement des versions stables et bien maintenues.

Concernant la gestion des incidents, le guide propose une architecture structurée autour de trois volets : la gouvernance et gestion de crise, la détection et investigation et la remédiation et restructuration. Il faut y ajouter « une boucle d’amélioration continue » pour tirer parti de chaque incident et renforcer durablement la posture de cybersécurité des systèmes. Cette phase repose sur un Retour d’Expérience (RETEX) structuré, permettant de documenter les incidents, identifier les vulnérabilités exploitées et affiner les stratégies de détection et de remédiation.

Par ailleurs, le guide propose une checklist opérationnelle de remédiation. Elle intègre des actions stratégiques et techniques permettant d’anticiper les risques et structurer la gouvernance de la sécurité IA, d’identifier et qualifier les menaces pesant sur les modèles IA et leurs infrastructures, de remédier efficacement aux attaques et restaurer les systèmes IA impactés ainsi que d’améliorer continuellement la posture de sécurité IA grâce à un retour d’expérience structuré.

Source : usine-digitale.fr