Cybersécurité des systèmes d’intelligence artificielle : La Commission européenne a proposé un règlement établissant un cadre juridique pour le développement et l’utilisation d’une intelligence artificielle (IA) digne de confiance. La cybersécurité des systèmes d’IA représente un enjeu majeur de cette réglementation. Examinons plus en détails les exigences proposées et les principes directeurs pour s’y conformer.
L’exigence de cybersécurité dans la proposition de règlement
L’article 15 de la proposition de règlement sur l’IA prévoit que les systèmes d’IA à haut risque doivent être conçus de manière à être résilients face aux tentatives de compromission de leur sécurité. Des solutions techniques et organisationnelles adéquates doivent être mises en œuvre.
Cette exigence est précisée dans le considérant 51. Elle nécessite de réaliser une analyse de risques en cybersécurité et de mettre en place des mesures de sécurité proportionnées aux risques identifiés.
La demande de normalisation associée mentionne que les normes harmonisées couvriront les mesures de cybersécurité correspondant à l’état de l’art. Ces normes constitueront un moyen privilégié d’atteindre la conformité réglementaire une fois le règlement applicable.
Principes directeurs pour répondre à l’exigence de cybersécurité
Quatre grands principes directeurs ressortent d’une analyse du Centre commun de recherche de la Commission :
- L’exigence s’applique au système d’IA dans son ensemble, pas uniquement à ses composants internes tels que les modèles d’IA.
- La conformité nécessite une évaluation des risques de sécurité prenant en compte l’architecture interne du système.
- La sécurisation des systèmes d’IA requiert une approche intégrée associant les bonnes pratiques de la cybersécurité et des mesures spécifiques à l’IA.
- Il existe des limites dans l’état de l’art pour sécuriser certains modèles d’IA, en particulier les technologies émergentes. Néanmoins, la conformité réglementaire reste possible avec une approche holistique.
Cybersécurité des systèmes d’intelligence artificielle : Analyse des principes directeurs
Le premier principe souligne que la réglementation cible le système d’IA dans sa globalité. Les modèles d’IA, bien qu’essentiels, ne représentent que des composants internes. Cette vision systémique est alignée avec les approches connues en cybersécurité.
Le deuxième principe met en avant la nécessité d’évaluer les risques de sécurité de manière approfondie, en prenant en compte le design du système. Cette étape est indispensable pour déterminer les mesures de sécurité appropriées.
Le troisième principe promeut une approche intégrée combinant les bonnes pratiques de la cybersécurité des logiciels avec des mesures spécifiques aux modèles d’IA. La défense en profondeur et la sécurité par conception sont essentielles pour assurer la cybersécurité des systèmes d’IA.
Enfin, le quatrième principe reconnaît les limites actuelles dans la sécurisation de certains modèles d’IA, en particulier les technologies émergentes comme l’apprentissage profond. Néanmoins, une approche holistique permet d’atteindre la conformité réglementaire.
