Développer la confiance dans l’IA à travers une approche par les risques cyber

ANSSI

Ce document présente une analyse de haut niveau des risques cyber liés aux systèmes d’intelligence artificielle (IA) dans le but de favoriser le développement d’une IA de confiance. Il résulte d’un travail collaboratif entre plusieurs agences de cybersécurité nationales et internationales et s’inscrit dans le cadre du Sommet pour l’action sur l’intelligence artificielle. L’analyse souligne que l’IA, en évolution constante depuis les années 1950, influence de nombreux secteurs et que son adoption rapide impose une évaluation rigoureuse des risques liés à la cybersécurité. Le document identifie les vulnérabilités communes aux systèmes d’IA, notamment les risques d’empoisonnement des données, de compromission de l’infrastructure, d’exploitation de la chaîne d’approvisionnement, ainsi que les risques liés aux interconnexions entre systèmes. Il insiste sur la nécessité d’intégrer des bonnes pratiques en cybersécurité dès la conception (DevSecOps, privacy by design), d’assurer une traçabilité et un contrôle stricts des données et des modèles, ainsi que de sensibiliser les utilisateurs et développeurs aux menaces spécifiques. Le rôle des décideurs est aussi mis en avant pour soutenir la recherche, la certification et les bonnes pratiques, et pour promouvoir une gouvernance coordonnée entre cybersécurité et IA. Le document comprend enfin une check-list de recommandations pour chaque acteur impliqué, ainsi que des annexes de références et recommandations complémentaires.

Éléments clés à retenir :

  • L’IA présente des vulnérabilités spécifiques et un potentiel d’exploitation par des acteurs malveillants.

  • L’importance d’une analyse de risque dédiée avant tout déploiement de systèmes IA.

  • Trois piliers critiques : capacité de calcul, modèles IA et données associées dans la chaîne d’approvisionnement.

  • Les risques principaux : empoisonnement des données, compromission d’infrastructures, latéralisation via les interconnexions, et déficiences humaines ou organisationnelles.

  • Recommandations claires : ajuster le niveau d’autonomie des IA, cartographier la chaîne d’approvisionnement, limiter les interconnexions, assurer supervision et maintenance continues.

  • Besoin de formation régulière des personnels et d’une veille technologique et réglementaire permanente.

  • Rôle des décideurs pour promouvoir la recherche, la normalisation, la certification, et la gouvernance cyber-IA.

  • La transparence et explicabilité des modèles doivent être prises en compte pour faciliter la sécurisation et l’auditabilité.

  • L’intégration des principes privacy by design pour protéger les données personnelles et les modèles.

  • Mise en place de processus rigoureux pour la gestion du cycle de vie et la sécurité des systèmes IA.


Document_Analyse_de_risques_FR.pdf