Intelligence artificielle : grand allié ou ennemi juré de la cybersécurité ?

  

 

Capture d e cran 2022 12 04 a 15 59 04e Parlement européen a eu l’occasion de définir l’intelligence artificielle (IA) comme étant tout outil utilisé par une machine afin de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité »[1].

L’IA est très controversée, notamment en matière de cybersécurité, une notion au cœur des d’enjeux de sécurisation de la société numérique et de l’innovation. En théorie, les nombreuses recherches en matière d’IA déjà bien avancées en 2023, doivent profiter à la cybersécurité. Nonobstant, ces innovations technologiques ont pu être détournées pour développer des cyberattaques sophistiquées.

Ainsi, l’IA peut représenter un auxiliaire indispensable pour la cybersécurité, mais aussi un outil permettant des attaques très élaborées. Force est donc de constater que le développement des IA, et notamment son influence sur la cybersécurité, ne cesse de susciter des questions juridiques.

 

Capture d e cran 2023 02 19 a 21 09 05

 

1.IA, facteur principal de l’accroissement et diversification des modes de cyberattaque

Les systèmes d’IA ont créé des nouveaux risques de sécurité très spécifiques en comparaison à des systèmes d’information classiques. En effet, les nouvelles capacités d’apprentissage automatique ont augmenté le champ d’attaque de ces systèmes en introduisant de nombreuses vulnérabilités. Ainsi, le laboratoire d’innovation numérique de la CNIL a proposé une classification des attaques connues des systèmes d’IA[2] :

  • attaques par manipulation[3] ;
  • attaques par infection[4] ;
  • attaques par exfiltration[5].

Les victimes des cyberattaques sont variées. Il peut s’agir de gouvernements, du domaine de la recherche ou encore militaire. Mais aussi des grandes entreprises, telles que Google, Amazon, Microsoft et Tesla qui ont vu certains de leurs systèmes d’IA attaqués.

Nous pouvons donc observer une augmentation de la cybercriminalité. En effet, 30% des cyberattaques impliqueront des vols de modèles, l’utilisation d’exemples contradictoires ou l’empoisonnement de données.

Les systèmes d’IA serviront de plus en plus de support à des décisions automatiques et cela peut présenter un réel intérêt pour un utilisateur malveillant. À titre d’exemple, un concurrent peut envisager tenter de saboter un logiciel d’IA utilisé pour le contrôle qualité́ dans un environnement industriel ou encore un attaquant peut chercher à optimiser l’analyse d’une demande de crédit.

 

2. IA, outil de cyberdéfense

Malgré la complexité et le volume croissants des cyberattaques, l’IA peut apporter de nouvelles réponses aux risques de sécurité. En effet, l'IA dispose d’une capacité à analyser un contexte donné, de ce fait, elle peut contribuer à détecter des anomalies ou des comportements inhabituels, révélateurs d’attaques. Ainsi, elle renforce les outils de protection, détection, réponse et remédiation.

À titre d’exemple, les systèmes d'IA apprennent le comportement normal de l’infrastructure et toute déviation observée par la suite est signalée comme un potentiel risque cyber.

 

3. IA, un cadre juridique européen en construction  

En 2021, une proposition de règlement visant à introduire pour la première fois des règles contraignantes pour les systèmes d’IA a été présenté[6]. Le règlement avait pour objectif de :

  • veiller à ce que les systèmes d’IA mis sur le marché de l’Union et utilisés soient sûrs et respectent la législation en vigueur en matière de droits fondamentaux ;
  • garantir la sécurité juridique pour faciliter les investissements et l’innovation dans le domaine de l’IA ;
  • renforcer la gouvernance et l’application effective de la législation existante en matière de droits fondamentaux et des exigences de sécurité applicables aux systèmes d’IA ;
  • faciliter le développement d’un marché unique pour des applications d’IA légales, sûres et dignes de confiance, et empêcher la fragmentation du marché.

Afin d’asseoir une vision européenne de l’IA basée sur l’éthique et de prévenir les risques inhérents à ces technologies, la Commission européenne proposait une catégorisation des outils algorithmiques selon quatre types de risques :

  • le risque inacceptable ;
  • le risque élevé ;
  • le risque limité ;
  • le risque minimal.

Lors de la réunion « télécommunications » du 6 décembre 2022, le Conseil a approuvé une orientation générale de la proposition de règlement relative à l’IA[7]. L'adoption de l'orientation générale permettra au Conseil d'entamer des négociations avec le Parlement, qui devrait finaliser sa version aux alentours du mois de mars 2023.

Jéssica P. Lima

4e69dee3 7de4 4646 8539 d3b0d712d83e

 

 


[1] Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’union Commission européenne, 21 avril 2021 (2021/0106(COD)).

[2] Vallet, F. (2022). Sécurité des systèmes d’IA. Dans CNIL (CC-BY 3.0 FR). Laboratoire d’innovation numérique de la CNIL. https://linc.cnil.fr/sites/default/files/atoms/files/linc_cnil_dossier-securite-systemes-ia.pdf

[3] Les attaques par manipulation permettent aux adversaires de contourner le comportement attendu ou même de faire en sorte que les systèmes d'IA effectuent des tâches inattendues. Avec des entrées malicieuses, les attaquants peuvent mener des attaques d'évasion, reprogrammer les systèmes d'IA en temps réel, voire procéder à des attaques beaucoup plus rudimentaires, sortes de transposition des attaques par déni de service appliquées aux systèmes d’IA.

[4] Les attaques par infection sabotent la qualité des décisions et permettent aux attaquants d’exercer un contrôle des systèmes d'IA de façon dissimulée. Les attaquants contaminent les données utilisées pour l'entrainement, exploitent des déclencheurs cachés dans les comportements de l'IA ou distribuent des modèles d'IA malveillants via des attaques par empoisonnement, des portes dérobées, ou des chevaux de Troie.

[5] Les attaques en exfiltration visent à dérober les données des systèmes d'IA. Elles sont donc directement liées à la confidentialité́ et à la protection de la vie privée. Les échantillons de données utilisés pour l'entraînement de l'IA, le modèle sur lequel il s’appuie, les éléments internes aux algorithmes utilisés peuvent être exfiltrés par des attaques telles que l'inférence, l'inversion de modèle, ou l'extraction de modèle.

[6] Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’union Commission européenne, 21 avril 2021 (2021/0106(COD)).

[7] Conseil de l’UE. (2022, 6 décembre). Identité numérique européenne (identification électronique) : le Conseil progresse sur la voie du portefeuille numérique de l’UE, un changement de paradigme pour l’identité numérique en Europe [Communiqué de presse]. https://www.consilium.europa.eu/fr/press/press-releases/2022/12/06/european-digital-identity-eid-council-adopts-its-position-on-a-new-regulation-for-a-digital-wallet-at-eu-level/

 
  • 59 votes. Moyenne 4.9 sur 5.

Ajouter un commentaire