Nouvelle étude : étude sur le coût mondial des rançongiciels. Découvrez ce que les breaches vous coûtent.
Télécharger le rapport
Blogue
/
Cyber-résilience

Un cadre pour les professionnels de la sécurité pour la sûreté et la sécurité de l'IA

Michael Adjei
,
Ingénieur système senior
November 16, 2023
23 min. de lecture
A logo of the AI Safety Summit 2023

Début novembre, le Royaume-Uni a accueilli le Sommet sur la sécurité de l'IA, le tout premier sommet mondial sur l'intelligence artificielle. Il a réuni des gouvernements internationaux et des experts de l'IA pour examiner les risques liés à l'IA et la manière dont des efforts coordonnés au niveau international peuvent contribuer à les atténuer. Ce sommet fait suite à des discussions mondiales sur la sécurité de l'IA, notamment le récent Décret exécutif américain sur le développement et l'utilisation sûrs, sécurisés et fiables de l'IA.

Je m'attendais à voir un cadre ou des directives spécifiques pour la sécurité de l'IA sortir du sommet, mais j'ai été déçue de n'avoir trouvé aucune orientation tangible. Dans ce billet de blog, j'ai décrit le type de cadre concret en matière de sécurité de l'IA que j'espérais voir émerger du sommet, de mon point de vue en tant que professionnel de la sécurité senior.

Tirez parti des nouveautés de l'IA pour garantir la sûreté et la sécurité

Avant de définir le cadre, je pense qu'il est important de prendre un peu de recul philosophique pour comprendre pourquoi la sécurité de l'IA est un sujet si important et pourquoi j'ai été si déçue par les résultats du sommet sur la sécurité de l'IA de cette année.

Il est évident que la plupart des failles de sécurité des technologies de réseau actuelles que nous utilisons aujourd'hui peuvent être attribuées à des faiblesses dans la façon dont les protocoles dont elles dépendent ont été initialement conçus il y a des décennies.

La sécurité n'était pas une considération initiale. En réalité, c'est rarement le cas.

Prenons par exemple les protocoles originaux pour le Web (HTTP), le courrier (SMTP) et le transfert de fichiers (FTP). Ils ont tous été conçus en texte brut sans aucune forme de sécurité des données par cryptage. Les créateurs de l'époque n'envisageaient pas un monde où les informations bancaires, cliniques sur les patients ou les informations sensibles des utilisateurs seraient toutes transmises librement et facilement à travers le monde via ces simples protocoles réseau.

Il en va de même pour le schéma d'adressage IPv4 créé au début des années 1980 décrit dans la publication de l'IETF (Internet Engineering Task Force) RFC 791. Qui aurait cru à l'époque que le monde pourrait véritablement manquer de milliards d'adresses IP adressables publiquement ? Malgré cela, essayer de renforcer rétrospectivement la sécurité s'avère généralement être à la fois un goulot d'étranglement et une entreprise perturbatrice.

AI nodes represented in the shape of a brain

L'IA générative, telle que ChatGPT d'OpenAI, qui marque ses premier anniversaire , accessible au public ce mois-ci, a présenté les avancées en matière d'apprentissage automatique et de capacités d'apprentissage profond. Ce type de grand modèle de langage (LLM) peut largement imiter les réseaux neuronaux du cerveau humain au moyen de réseaux neuronaux artificiels (ANN). Pour la première fois, le monde a assisté au fil des ans à l'aboutissement de divers travaux visant à rendre l'IA facilement utilisable dans des offres telles que ChatGPT. Tout à coup, même la possibilité d'une intelligence générale artificielle (AGI) et d'une super intelligence artificielle (ASI) théoriquement bien supérieure n'est peut-être plus une exagération par rapport aux titres de fiction.

Nous devons profiter du fait que l'IA en est encore au début de son évolution pour prendre en compte sûreté et sécurité, notamment en ce qui concerne l'histoire et le bagage des réseaux et de la sécurité. Un sommet sur la sécurité de l'IA comme celui de novembre 2023 aurait dû non seulement répondre aux craintes, mais également prendre du recul pour évaluer la sûreté et la sécurité de l'IA dans une perspective holistique. Malheureusement, je ne suis pas sûr que cela ait été accompli ; du moins pas cette fois-ci.

3 domaines principaux pour la sûreté et la sécurité de l'IA

À l'occasion de ce sommet international proactif et unique en son genre sur la sûreté et la sécurité de l'IA, je m'attendais à une évolution tangible de la géo-politique au profit des géopolitiques pour aborder les principaux domaines suivants :

  • Développement, administration et utilisation finale
  • Sécurité
  • Éthique et droit

Ces domaines sont étroitement liés et, par conséquent, liés les uns aux autres. Par exemple, le développement de solutions d'IA devrait englober les domaines éthique et juridique afin de réduire les problèmes de source tels que la partialité dans les données de formation et la configuration en couches cachées des systèmes d'apprentissage en profondeur. Tout ce qui fonctionne n'est pas la bonne chose à faire. Dans le même temps, la garantie de l'intégrité des données de formation et du processus de développement doit être incluse le plus tôt possible dans le processus.

Un cadre de sécurité de l'IA : ce que j'espérais voir du Sommet sur la sécurité de l'IA

Pour chacun des trois domaines, j'ai suggéré une sélection de normes et de cadres clés à examiner plus avant, dont le résultat final devrait être de créer des groupes ciblés chargés de formuler ces normes et cadres :

Développement, administration et utilisation finale
  • Normes et cadre d'interfaçage : Directives et normes relatives à l'interfaçage de l'IA entre les différents fournisseurs, puis entre les fournisseurs et les utilisateurs finaux, similaires à l'API Web avec JSON et USB-C pour les appareils physiques. Cela peut permettre d'innover encore plus rapidement dans de nombreux domaines. L'impact du Wi-Fi et de l'interfaçage des communications mobiles sur l'innovation technologique dans les montres intelligentes, les téléviseurs, les drones, les voitures, les ambulances, etc. en est un bon exemple.
  • Normes et cadre de différenciation : Des politiques visant à permettre une détermination et une différenciation claires entre les œuvres artistiques originales et les œuvres générées par l'IA, telles que celles que nous avons mises en place pour les droits d'auteur et la protection de la propriété intellectuelle en matière de gestion des droits numériques (DRM). L'un des principaux domaines bénéficiaires sera la lutte contre la désinformation et les contenus trompeurs tels que les contrefaçons profondes et l'ingérence électorale, du moins au niveau des produits de base.
  • Déficit de compétences en IA : Combler le déficit de compétences dans les domaines clés du développement de l'IA, de l'administration de l'IA et de son utilisation, de la même manière que les efforts déployés en matière de programmation informatique et d'initiation à l'informatique (y compris l'éducation des adultes) au début de l'essor de l'informatique personnelle jusqu'à aujourd'hui. Cela vise à uniformiser les règles du jeu pour le développement et l'utilisation de bonnes IA et de mauvaises IA publicitaires.
Sécurité
  • Singularité des protections de forme : Directives et protections pour la fusion de l'IA (comme ChatGPT, l'IA vocale, l'IA de reconnaissance d'image, etc.) avec du matériel réel en une seule forme, comme les robots industriels ou les robots humanoïdes à l'avenir. Une telle capacité confère en fin de compte à l'intelligence générale (IA) des capacités d'interaction physique dans le monde physique. En gros, il s'agit de s'assurer qu'un robot physique de type ChatGPT ne s'en prend jamais aux humains ou ne fonctionne pas de manière catastrophique. Il est déjà arrivé à plusieurs reprises que des robots industriels et des voitures autonomes aient mal fonctionné et aient causé des dommages ou la mort à des humains.
  • Risque à partir de AIDE : Protections contre les risques posés par l'IA. ChatGPT a déjà démontré une utilisation malveillante. Ce domaine prendra en compte les menaces telles que l'évolution des charges utiles malveillantes, la découverte et l'exploitation de vulnérabilités à une vitesse record, la fraude vocale et par hameçonnage, et le sabotage, tel que la compromission des processus de fabrication ou les attaques contre la chaîne d'approvisionnement.
  • Risque pour AIDE : Protections contre les risques posés à l'IA elle-même. Cela inclut l'exploitation du développement de l'IA, des processus d'apprentissage et des paramètres de biais. Bien que des directives en matière d'éthique, de sécurité et d'utilisation du développement de l'IA existent, elles doivent être améliorées et améliorées par rapport aux pratiques de sécurité actuelles telles que le codage sécurisé, DevSecOps et SBOMS dans la chaîne d'approvisionnement. En ce qui concerne la consommation, nous avons des politiques similaires à la loi sur les abus informatiques, aux politiques de sécurité des entreprises en matière d'utilisation des ordinateurs et à des politiques d'utilisation équitable.
Éthique et droit
  • Éthique civique de l'IA : Éthique et directives sur l'utilisation de l'IA dans des domaines tels que la reconnaissance faciale et le comportement des utilisateurs contre la surveillance des employés, le contrôle du trafic et l'application de la loi, et le système de justice pénale.
  • Éthique scientifique de l'IA : Éthique et lignes directrices sur ce que l'IA peut faire en termes de science et de médecine. Les exemples sont la recherche sur la génétique et les maladies, le clonage, etc.
  • Éthique militaire de l'IA : Élaborer un ensemble de règles d'engagement du type de la Convention de Genève pour l'utilisation de l'IA dans les opérations cinétiques, en particulier dans le cadre de l'IA autonome. Cela serait particulièrement important pour que l'IA puisse prendre des décisions de vie ou de mort afin de prévenir la possibilité de conséquences imprévues telles qu'un meurtre de masse, l'utilisation d'armes chimiques ou une détonation nucléaire involontaire.
  • Cadre juridique de l'IA : Lignes directrices et normes concernant les implications juridiques de l'implication de l'IA dans diverses situations juridiquement pertinentes. Cela pourrait inclure des scénarios tels que la nature des preuves recevables dans les affaires juridiques ou les réclamations d'assurance et de financement et les calculs d'acceptation des risques.

Un cadre de sûreté et de sécurité pour l'IA n'est qu'un début

Il est encourageant de constater que l'accent est mis sur les risques liés aux cybermenaces liées à l'IA à l'échelle mondiale. Un cadre de sécurité de l'IA est une première étape essentielle pour construire un avenir innovant et sûr en matière d'IA. Mais ce n'est qu'un point de départ. Idéalement, il devrait y avoir une sélection de groupes d'élite ciblés d'experts en IA et en la matière qui s'associent pour développer et itérer des normes de sécurité en matière d'IA similaires à celles de l'Internet Engineering Task Force (IETF) et de la Request for Comments (RFC).

Surtout, nous devons également réfléchir à la manière dont nous pouvons donner aux organisations les moyens de renforcer la résilience contre les attaques basées sur l'IA. L'IA permet aux criminels de lancer des attaques plus facilement et plus rapidement. La meilleure défense consiste à réduire la « surface d'apprentissage » afin de réduire les possibilités pour les cybermenaces basées sur l'IA d'apprendre, de s'adapter et de faire progresser l'attaque.

Contactez-nous dès aujourd'hui pour découvrir comment les développements en matière d'IA peuvent avoir un impact sur la cybersécurité de votre organisation.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

Pourquoi les approches de sécurité traditionnelles ne fonctionnent pas dans le cloud
Cyber-résilience

Pourquoi les approches de sécurité traditionnelles ne fonctionnent pas dans le cloud

Erika Bagby, directrice principale du marketing produit d'Illumio, discute de la sécurité du cloud par rapport à la sécurité traditionnelle et explique pourquoi elle ne fonctionne pas dans un environnement cloud.

En savoir plus
Assume Breach : meilleures pratiques en matière de cyberrésilience
Cyber-résilience

Assume Breach : meilleures pratiques en matière de cyberrésilience

Présumer qu'il y a violation signifie adopter un état d'esprit d'adversaire. Voici ce que cela signifie pour ce que vous pensez des investissements en matière de sécurité dans les personnes, les processus et la technologie.

En savoir plus
Point de vue du client : allocation budgétaire et craintes en matière de sécurité pour 2020
Cyber-résilience

Point de vue du client : allocation budgétaire et craintes en matière de sécurité pour 2020

Les leaders d'opinion de certaines des plus grandes entreprises mondiales se prononcent sur l'allocation budgétaire pour 2020 et sur les menaces imminentes qui les empêchent de dormir la nuit.

En savoir plus
Il ne faut pas faire confiance à l'IA : pourquoi le comprendre peut être transformateur
Cyber-résilience

Il ne faut pas faire confiance à l'IA : pourquoi le comprendre peut être transformateur

Découvrez pourquoi le directeur technique et cofondateur d'Illumio pense que la « frontière technologique » de l'IA est plus petite qu'il n'y paraît, et comment cela influence la manière dont nous utilisons l'IA.

En savoir plus
Comment l'IA et l'apprentissage automatique peuvent accélérer la segmentation Zero Trust
Segmentation Zero Trust

Comment l'IA et l'apprentissage automatique peuvent accélérer la segmentation Zero Trust

Découvrez comment les innovations en matière d'IA et de machine learning peuvent constituer de puissants outils pour accélérer la mise en œuvre de la segmentation Zero Trust.

En savoir plus
Pourquoi l'IA pose un problème de communication
Cyber-résilience

Pourquoi l'IA pose un problème de communication

Découvrez pourquoi les technologies liées à l'IA rencontrent des difficultés en matière de communication « inter-silos ».

En savoir plus

Assume Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus