IA et cybersécurité : deux mondes à rapprocher

Pour le Général Watin-Augouard, fondateur du Forum InCyber, une vraie rupture est intervenue depuis novembre 2022 (date de la sortie de ChatGPT par OpenAI) dans le domaine de l’IA générative. « Cette IA nous subjugue et nous inquiète en même temps. Son immense potentiel n’est pas encore pleinement exploré, dans sa dimension, sa puissance, son impact. Elle nous transporte dans l’inconnu, vers un futur imprévisible, laissant la voie ouverte à toutes les hypothèses ».

Plus que toute autre technologie, l’IA appelle une réponse à la question : « Pourquoi ? ». « Le ‘pourquoi’ renvoie à la recherche de la finalité et d’un encadrement qui préserve notre liberté, en ne portant jamais atteinte à ce qui fait l’essence même de l’être humain : son identité, son unicité, son intimité, sa liberté de penser, de s’exprimer, de décider et même, sa confiance. Cette interrogation quasi-existentielle appelle le développement d’une IA responsable, encadrée, mais non limitée dans sa capacité novatrice par un droit inspiré par l’éthique », complète-t-il.

Comment dès lors concevoir le développement conjoint de l’IA et de la cybersécurité ? « Le développement de l’IA ne peut être envisagé sans une cybersécurité garante de la confiance. La cybersécurité doit être au service de l’IA et inversement. Les systèmes d’IA doivent être sécurisés tout au long de leur cycle de vie afin d’être résistants face aux cyberattaques. Par ailleurs, l’IA rebat les cartes entre la capacité offensive des cybercriminels et la capacité de défense des organisations. La course aux armements est asymétrique, car les pirates n’ont guère de scrupules au regard des contraintes juridiques et éthiques que nous nous imposons », note le Général Watin-Augouard.

Un point de vue que rejoint Pascal Steichenn, Président de l’Advisory Board du Forum InCyber. Il existe selon lui trois dimensions quand on parle d’IA et de cybersécurité : « The good, the bad and the ugly » (le beau, le moins beau et le mauvais). 

« Le ‘good’ consiste à dire que l’IA peut renforcer les systèmes de protection, améliorer la détection des intrusions et l’identification des menaces. Compte tenu du déficit actuel de ressources, l’IA constitue une véritable alliée. Le ‘bad’ correspond au fait que les cybercriminels utilisent eux aussi l’IA. Leurs attaques deviennent plus performantes, plus automatisées. Enfin, l’ugly renvoie à la sécurité même de l’IA. Si les concepteurs d’algorithmes d’IA générative ne savent pas expliquer comment ces derniers fonctionnent, c’est inquiétant », détaille-t-il.

Comment transposer les approches actuelles de la cybersécurité au monde de l’IA ?

Vincent Strubel, Directeur Général de l’ANSSI, insiste, lui, sur le côté itératif et progressif des améliorations qui vont se produire dans le domaine de l’IA. « Je ne crois pas aux discours très anxiogènes disant que l’IA va décupler les pouvoirs des attaquants, précipitant le cyber-Armageddon. Je ne crois pas non plus à ceux qui, au contraire, disent que cela va résoudre trivialement tous les problèmes de cybersécurité, que toutes les cyberattaques et vulnérabilités vont être détectées et que nous allons tous nous retrouver au chômage », analyse-t-il.

Pour le patron de l’ANSSI, le défi actuel est de faire en sorte que les défenseurs profitent des progrès de l’IA au moins aussi vite que les attaquants. Et pour cela, de nombreuses mesures de soutien à l’innovation ont été mises en place, notamment dans le cadre du plan France 2030. 

« Mais le vrai sujet en matière d’IA, c’est tout le reste : comment transposons-nous nos approches actuelles de la cybersécurité au monde de l’IA, c’est-à-dire comment passons-nous d’un monde dans lequel la spécification et l’implémentation s’effacent devant l’apprentissage ? Par ailleurs, comment certifions-nous une IA en termes de sécurité ? Certifier dans l’absolu, c’est simple. Mais le vrai défi, c’est de savoir comment certifier avec un niveau de garantie comparable à celui que nous pouvons fournir pour des produits plus classiques, afin qu’il y ait une continuité dans notre niveau de garantie et de perception », précise Vincent Strubel.

Sécuriser l’IA, une priorité absolue

Dans ce domaine, l’ANSSI a récemment co-signé avec ses homologues britanniques et américains un certain nombre de lignes directrices sur la sécurité de l’IA. « Nous allons probablement publier tôt ou tard des recommandations plus spécifiques de l’ANSSI, cela n’épuisera pas le sujet », note le Directeur Général de l’ANSSI.

Le patron de l’ANSSI rappelle également que son agence a besoin, plus que jamais, de travaux académiques pour creuser les fondements scientifiques de l’ensemble de ces thématiques, mais aussi de cas d’usages concrets sur lesquels il sera possible de mener des expérimentations. « L’enjeu est de permettre à l’État français de s’emparer de ces sujets d’IA, de commencer à les expérimenter dans ses propres missions. C’est une énorme opportunité pour l’ANSSI de concrétiser ces travaux. Et cela vaut autant pour l’IA générative – qui est à la mode en ce moment, mais qui n’est pas ce qui m’inquiète le plus – que pour l’IA prédictive qui est un peu sortie des radars, mais qui est peut-être ce qui arrivera le plus vite sur des enjeux critiques », ajoute Vincent Strubel.

Pour Michel Van Den Berghe, Président du Campus Cyber, la protection de l’IA constitue également une priorité absolue : « De nombreux projets se montent pour protéger l’IA. Nous constatons en effet que des personnes mal intentionnées commencent à empoisonner l’IA afin qu’elle puisse raconter des choses pas forcément réelles… Les projets dont nous discutons aujourd’hui avec les RSSI consistent donc à protéger les nouveaux projets d’IA, un peu comme ce qui s’est passé avec le cloud, avec l’apparition des clouds privés. Là, ce sont des IA privées qui se développent ».

Le mot de la fin revient à Guillaume Tissier, Directeur Général de Forward Global (et organisateur du Forum InCyber), qui regrette que les écosystèmes de l’IA et de la cybersécurité ne se parlent pas suffisamment. « Nous avons eu l’impression, en préparant l’événement InCyber Forum, que les pure players de l’IA étaient réticents à s’afficher sur le sujet de la cybersécurité. Comme s’il y avait d’un côté le numérique glamour, celui du CES de Las Vegas ou de Vivatech, et de l’autre la cybersécurité anxiogène, frileuse, qui freine l’innovation. Il faut arrêter de faire cette segmentation. Les deux vont de pair. Les experts de l’IA ont besoin des experts cyber et réciproquement », conclut Guillaume Tissier. 

Le monde de l’intelligence artificielle et celui de la cybersécurité sont donc deux univers qu’il est urgent de mieux faire communiquer et collaborer. Les experts de l’IA ont besoin des experts en cybersécurité pour sécuriser leurs systèmes et s’assurer que de nouvelles vulnérabilités ne sont pas introduites. Et les experts en cybersécurité ont besoin des experts de l’IA pour ne pas être submergés, notamment par la vague du shadow IA qui déferle dans bon nombre d’entreprises.