Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) s’est joint à l’Agence nationale de la sécurité des systèmes d’information (ANNSI) de la France pour publier des conseils exploitant une approche fondée sur les risques en vue de favoriser des systèmes d’intelligence artificielle (IA) de confiance et des chaînes d’approvisionnement sécuritaires en IA.
L’ IA a des répercussions sur pratiquement tous les secteurs, allant du secteur de la défense à celui de l’énergie. Bien qu’elle fournisse de nombreuses occasions pour les organisations, des auteurs de menace peuvent exploiter des vulnérabilités et compromettre le recours aux technologies d’ IA . Les organisations et les parties concernées doivent évaluer les risques liés au recours croissant à l’ IA et à l’adoption de modèles de langage de grande taille (Large Language Models ou LLM). Comprendre et atténuer ces risques est crucial en vue de favoriser le développement et la mise en œuvre d’ IA de confiance.
Les systèmes d’ IA font face aux mêmes cybermenaces que tout autre système d’information. Toutefois, il existe des risques propres à l’ IA , et en particulier ceux qui ont trait au rôle central des données dans les systèmes d’ IA et qui posent des risques uniques en matière de confidentialité et d’intégrité .
Certains des principaux risques propres à l’ IA à prendre en considération comprennent :
- La compromission des infrastructures d’hébergement et de gestion des IA ;
- Les attaques visant les chaînes d’approvisionnement;
- Une latéralisation par le biais d’interconnexions entre les systèmes d’ IA et ceux de TI ;
- Une perte de contrôle, à long terme, sur les systèmes d’information;
- De mauvais fonctionnements dans les réponses des systèmes d’ IA .
Le déploiement de systèmes d’ IA peut ouvrir de nouvelles voies d’attaque aux auteurs de menace. Les organisations doivent effectuer une analyse pour évaluer les risques, bien comprendre la chaîne d’approvisionnement des IA et cerner les mesures de sécurité appropriées.
Ces conseils conjoints fournissent des lignes directrices à l’intention des utilisatrices et utilisateurs, opératrices et opérateurs, et développeuses et développeurs d’ IA , notamment pour ce qui suit :
- Ajuster le niveau d’autonomie du système d’ IA en fonction de l’analyse des risques, des besoins de l’organisation et du caractère critique des activités menées;
- Effectuer le mappage de la chaîne d’approvisionnement de l’ IA ;
- Repérer les interconnexions entre les systèmes d’ IA et les autres systèmes d’information;
- Assurer une surveillance et un entretien continus des systèmes d’ IA ;
- Mettre en œuvre un processus pour anticiper les changements technologiques et réglementaires d’importance majeure;
- Identifier les nouvelles menaces et les menaces potentielles;
- Fournir de la formation et effectuer de la sensibilisation.
Ces conseils précisent également des mesures recommandées, parmi lesquelles :
- Interdire l’utilisation des systèmes d’ IA pour automatiser des activités cruciales;
- Veiller à ce que l’ IA soit intégrée de manière appropriée aux processus critiques, en mettant en place des mesures de protection;
- Effectuer une analyse spécialisée des risques;
- Examiner la sécurité de chacune des étapes du cycle de vie des systèmes d’ IA .
Pour obtenir davantage d’information, veuillez consulter les conseils formulés dans la publication conjointe Développer la confiance dans l’IA par une approche par les risques cyber.