La National Security Agency (NSA, qui est aussi l'agence en charge de la cybersécurité aux États-Unis, ndlr) vient de publier une fiche d'information sur la cybersécurité (« Cybersecurity Information Sheet », ou CSI) intitulée « Déployer des systèmes d'IA en toute sécurité : Meilleures pratiques pour le déploiement de systèmes d'IA sécurisés et résilients » [.pdf].

Elle est destinée « aux propriétaires de systèmes de sécurité nationale et aux entreprises de la base industrielle de défense qui déploieront et exploiteront des systèmes d'IA conçus et développés par une entité externe ».

Notons que, dans ce document, l'agence parle d'IA pour tout système basé sur du machine learning.

Les Five Eyes parlent d’une même voix

Cette CSI est la première recommandation du Centre de sécurité de l'intelligence artificielle (AISC) de la NSA, créé en septembre 2023, dans le cadre de son Cybersecurity Collaboration Center (CCC), qui « travaille avec des partenaires industriels, interinstitutionnels et internationaux pour renforcer la base industrielle de défense américaine, opérationnaliser les connaissances uniques de la NSA sur les cybermenaces des États-nations, créer conjointement des directives d'atténuation pour les activités émergentes et les défis chroniques de cybersécurité, et sécuriser les technologies émergentes ».

L'AISC a quant à lui pour objectif d' « améliorer la confidentialité, l'intégrité et la disponibilité des systèmes d'intelligence artificielle », et donc « détecter et contrer les vulnérabilités de l'IA, favoriser les partenariats avec l'industrie et les experts de l'industrie américaine, des laboratoires nationaux, des universités, de l'IC [intelligence community, ou communauté du renseignement, ndlr], du DoD [département de la défense, ndlr] et de certains partenaires étrangers, développer et promouvoir les meilleures pratiques en matière de sécurité de l'IA et garantir la capacité de la NSA à rester à l'avant-garde des tactiques et des techniques de ses adversaires ».

En l'espèce, cette CSI a été préparée en partenariat avec la Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau of Investigation (FBI) états-uniens, ainsi qu'avec les autorités de quatre autres pays formant l’alliance de renseignement Five Eyes (Australie, Canada, Nouvelle-Zélande, Royaume-Uni et États-Unis). On y retrouve donc l'Australian Cyber Security Centre (ACSC) de l'Australian Signals Directorate, le Centre canadien de cybersécurité, le New Zealand National Cyber Security Centre (NCSC-NZ) et le United Kingdom National Cyber Security Centre (NCSC-UK).

Vers une « série d'orientations »

L'AISC prévoit à ce titre de collaborer avec des « partenaires mondiaux » pour « élaborer une série d'orientations sur des sujets liés à la sécurité de l'IA » au fur et à mesure de l'évolution du domaine, « tels que la sécurité des données, l'authenticité du contenu, la sécurité des modèles, la gestion des identités et le red teaming, la réponse aux incidents et la reprise d'activités ».

« Bien qu'elles soient destinées à la sécurité nationale », précise la NSA, ces orientations « s'appliquent à tous ceux qui introduisent des capacités d'IA dans des environnements à forte menace et à haute valeur ajoutée ».

Elles s'appuient aussi sur les lignes directrices pour développer des systèmes d'IA sécurisés [.pdf] et sur celles consacrées à l'utilisation de l'intelligence artificielle [.pdf] précédemment mises en ligne.

Régulation à tout-va dans le monde

Durant les derniers mois, les lignes bougent progressivement sur l’intelligence artificielle. L’arrivée « surprise » fin 2022 de ChatGPT et de la flopée d’intelligences artificielles génératives par la suite a redistribué les cartes.

Les Nations Unies ont, par exemple, adopté une première résolution mondiale sur l’IA afin de soutenir des systèmes « sûrs, sécurisés et dignes de confiance ». Fin 2023, le G7 présentait onze principes internationaux pour guider le développement de l'IA ainsi qu'un Code de conduite « volontaire » pour les entreprises.

En Europe, l’AI Act fait son chemin. Il a été formellement approuvé par le Parlement européen en mars, après que le conseil des 27 l’a adopté à l'unanimité en février. La France, qui a essayé de créer une minorité de blocage avec l'Allemagne et l'Italie, ne s'y était finalement pas opposée.

• • ONU : une première résolution mondiale sur l’intelligence artificielle

• • Le G7 affiche 11 principes pour les organisations développant des IA

• • AI Act : les États européens votent le texte à l’unanimité

Le document conseille notamment aux organisations qui déploient des systèmes d'IA de « mettre en œuvre des mesures de sécurité robustes capables à la fois de prévenir le vol de données sensibles et d'atténuer l'utilisation abusive des systèmes d'IA ». L'agence met l'accent sur les poids des modèles qui sont des éléments « particulièrement important à protéger ».