Cybersécurité : L'Anssi émet plusieurs recommandations pour sécuriser les systèmes d'IA
L'Anssi et plusieurs agences nationales de cybersécurité appellent à limiter les risques de compromission des systèmes d'IA. Plus d'une dizaine de recommandations ont été émises à l'attention des fournisseurs, développeurs et responsables impliqués dans ces systèmes.
"Favoriser l’usage des systèmes d’IA de confiance" : c'est l'objectif que s'est fixé l'Agence nationale de la sécurité des systèmes d'information (Anssi) face aux menaces cyber croissantes qui pèsent sur les systèmes d'IA. Dans le cadre du Sommet pour l'Action sur l'IA, qui a lieu cette semaine à Paris, l'agence a publié un rapport présentant les principaux scénarios de compromission de ces systèmes et les conseils pour atténuer les risques. Le document a été cosigné par les agences nationales de cybersécurité de 16 pays, dont celles du Royaume-Uni, du Canada, de l'Allemagne et de la Corée du Sud.
Des tentatives d'attaques par "empoisonnement", "évasion" et "extraction"
L'Anssi explique que les systèmes d'IA sont exposés à trois types d'attaques. Les attaques par "empoisonnement" consistent à altérer les données du modèle ou d'entraînement pour modifier la réponse du système, tandis que les attaques par "extraction" visent à reconstruire ou récupérer des données sensibles internes au modèle après la phase d'apprentissage. Viennent enfin les tentatives d'évasion, qui permettent à un attaquant de modifier le comportement du système en transformant les données d'entrée.
En exploitant ces vulnérabilités, les cybercriminels peuvent compromettre l'ensemble de l'infrastructure d'hébergement et d'administration des systèmes ou s'infiltrer au niveau de la supply chain (sur des bibliothèques open source, notamment). Le rapport met aussi en garde contre la compromission des bases de données d'entraînement, les risques liés à l'interconnexion des systèmes d'IA et le manque de formation des équipes pour repérer les dysfonctionnements.
Cartographier la supply chain logicielle et matérielle
Pour améliorer la cybersécurité des systèmes d'IA, l'Anssi émet plusieurs conseils à destination des utilisateurs, des fournisseurs et des développeurs. L'agence insiste ainsi sur un niveau d'autonomie du système ajusté, avec une validation humaine tout au long du processus. Elle recommande également de cartographier l'ensemble de la supply chain, qu'il s'agisse des composants matériels et logiciels et des jeux de données. Checkmarx a révélé que 63% des organisations avaient subi une cyberattaque sur leur système de protection de la supply chain au cours des deux dernières années.
Afin de limiter les compromissions liées à l'interconnexion des systèmes d'IA, l'Anssi met en avant un recensement et une limitation de ces processus. L'autorité conseille aussi de mettre en place une maintenance et une supervision de l'ensemble des systèmes, ainsi qu'un processus de veille technologique et réglementaire pour être à jour des nouvelles menaces.
Renforcer la formation aux enjeux de l'IA
"Il est indispensable de former et sensibiliser aux enjeux et aux risques de l’intelligence artificielle, en interne et notamment au niveau des directions", évoque également l'Anssi. D'après une étude réalisée par Odoxa pour SAP en avril 2024, 6 salariés sur 10 estiment qu'il serait utile que leurs employeurs proposent des formations et conseils pour utiliser l'IA au quotidien.
L'Anssi adresse plusieurs recommandations à l'attention des décideurs, à commencer par la mise en avant des évaluations de sécurité et des capacités de certification. Elle demande aussi à ces responsables de promouvoir les bonnes pratiques de cybersécurité en entreprise, en valorisant la réglementation, en partageant des retours d'expérience et en soutenant la recherche sur les méthodes de prévention des risques.
Opter pour une meilleure coordination entre les agences cyber et IA
L'autorité de cybersécurité estime aussi qu'une meilleure coordination entre les agences cyber et celles spécialisées en IA permettrait de réduire les risques et de mieux prendre en compte les enjeux. Elle cite notamment les "AI Safety Institutes", soit des organismes soutenus par l'Etat pour évaluer la sécurité des systèmes d'IA. Lors du sommet sur la Sécurité de l'IA organisé à Séoul l'année dernière, plus d'une dizaine de pays – dont la France – se sont engagés à créer un réseau d'"AI Safety Institutes".
Sélectionné pour vous
SUR LE MÊME SUJET
Cybersécurité : L'Anssi émet plusieurs recommandations pour sécuriser les systèmes d'IA
Tous les champs sont obligatoires
0Commentaire
Réagir![[Vidéo] Rencontrez Chloé, conceptrice mécanique chez MBDA](/mediatheque/5/4/0/001530045_400x440_c.jpg)
