L'IA est une arme à double tranchant : si elle permet des gains d'efficacité significatifs et offre de nouvelles opportunités pour les entreprises comme pour les particuliers, elle peut aussi être utilisée à mauvais escient par les cybercriminels pour, entre autres, faciliter la création de logiciels malveillants. Selon une récente étude Kaspersky, 52 % des entreprises dans le monde craignent une perte de confiance de leurs clients si elles n'améliorent pas leur protection contre les cyberattaques utilisant l'IA. Parallèlement, 41 % déclarent ne pas disposer de l'expertise nécessaire en matière de menaces externes pour se protéger efficacement contre de tels scénarios. Avec ses « Recommandations pour le développement et le déploiement sécurisés des systèmes d'IA », Kaspersky propose des conseils spécifiques que les entreprises peuvent utiliser pour déployer l'IA de manière sécurisée et responsable. En complément, le livret « Principes d'utilisation éthique des systèmes d'IA en cybersécurité » complète ces lignes directrices avec des principes éthiques pour le développement et l'utilisation de l'IA dans la cybersécurité. L'intelligence artificielle se développe rapidement et, bien que son potentiel soit bénéfique pour les entreprises et les particuliers, des cybercriminels mal intentionnés l'utilisent déjà pour étendre leurs capacités de nuisance. Une récente enquête Kaspersky révèle que la plupart des entreprises sont conscientes de ces dangers : 58 % des entreprises mondiales craignent une perte de données confidentielles et 52 % une perte de confiance, ainsi que des dommages financiers (52 %), si elles n'améliorent pas leur protection contre les attaques basées sur l'IA. Cependant, les connaissances nécessaires font souvent défaut : 41 % des personnes interrogées déclarent ne pas disposer d'informations pertinentes de la part d'experts externes sur les attaques basées sur l'IA. Kaspersky prône donc des recommandations claires pour le développement et l'utilisation éthiques de l'IA afin de prévenir efficacement toute manipulation et tout abus. En 2024, Kaspersky a signé le Pacte sur l'IA de la Commission européenne, une initiative visant à préparer les organisations à la mise en œuvre de la loi sur l'IA – le premier cadre juridique global sur l'IA au monde, adopté par l'Union européenne (UE). En décembre de la même année, Kaspersky a également présenté ses lignes directrices pour le développement et le déploiement sécurisés des systèmes d'IA lors d'un atelier organisé au Forum sur la gouvernance de l'Internet (FGI) 2024 à Riyad. La transparence, la sécurité, le contrôle humain et la protection des données constituent les principes fondamentaux de cette démarche. « L'IA éthique est la base de la confiance, de la conformité et de la réussite durable des entreprises. Elle permet aux entreprises de minimiser efficacement les risques de violations de données et de menaces liées à l'IA, tout en respectant scrupuleusement les exigences réglementaires telles que la loi européenne sur l'IA. Dans un monde de plus en plus numérisé, l'utilisation responsable de l'IA n'est pas seulement une question technologique, mais aussi une question d'intégrité et de pérennité pour les entreprises. Nos conseils pour le développement et le déploiement sécurisés de l'intelligence artificielle, ainsi que nos principes pour l'utilisation éthique des systèmes d'IA en cybersécurité, permettent aux entreprises de l'utiliser de manière responsable et sûre, en se protégeant des potentielles menaces sans sacrifier les avantages offerts par la technologie », commente Jochen Michels, Directeur des Affaires Publiques Europe chez Kaspersky. « L'intelligence artificielle est de plus en plus utilisée pour renforcer la cybersécurité, de la détection des menaces à la prédiction des attaques. Mais qui décide du périmètre d'utilisation de ces outils ? En cas de faille de sécurité, les dommages sont souvent plus importants pour les individus et les groupes vulnérables, que pour les grandes organisations. Nous avons besoin de systèmes non seulement efficaces, mais aussi sécurisés et éthiques, garantissant un partage équitable du pouvoir, des responsabilités et des préjudices dans notre monde numérique », déclare Liliana Acosta, fondatrice et PDG de Thinker Soul, un cabinet de conseil basé sur l'éthique, la pensée critique et la philosophie pour accompagner les entreprises dans leur transformation numérique. Clément Domingo partage ses réflexions et son expérience de spécialiste de la cybersécurité : « Ces derniers mois, j'ai été témoin de l'utilisation massive de l'IA par les cybercriminels. Ils en ont pleinement conscience et l'utilisent déjà avec succès pour optimiser leurs attaques. Il est donc primordial que les entreprises intègrent dès maintenant l'IA à leurs stratégies de défense afin de renforcer leurs mesures de sécurité globales. Pour ce faire, il est crucial de comprendre les méthodes des cybercriminels – parfois même de se mettre à leur place – afin de mieux les combattre. À cet égard, l'IA peut être un outil puissant, utilisé avec discernement et responsabilité, pour protéger les données précieuses, les infrastructures, la vie privée et les entreprises dans leur ensemble. » La transparence, la sécurité, le contrôle et la protection des données comme pierres angulaires d'une utilisation éthique de l'IA Pour soutenir l'adoption d'une IA éthique, Kaspersky a développé des recommandations et des principes pour son utilisation responsable. Les recommandations pour le développement et le déploiement sécurisés des systèmes d'IA abordent les aspects clés du développement, du déploiement et de l'exploitation des systèmes d'IA, notamment la conception, les bonnes pratiques de sécurité et l'intégration, sans se concentrer sur le développement de modèles fondamentaux. Parmi ces aspects figurent : ● Sensibilisation et formation à la cybersécurité : Kaspersky met l'accent sur l'accompagnement de la direction et la formation spécialisée des employés. Ils doivent comprendre les menaces liées à l'IA grâce à des formations régulièrement mises à jour et adaptées aux nouveaux risques. ● Modélisation des menaces et évaluation des risques : La modélisation proactive des menaces (par exemple, STRIDE, OWASP) permet d'identifier les vulnérabilités en amont. Kaspersky souligne l'importance d'évaluer les risques tels que l'empoisonnement des données et l'utilisation abusive des modèles. ● Sécurité de l'infrastructure (cloud) : Une sécurité cloud renforcée est essentielle. Kaspersky recommande le chiffrement, la segmentation du réseau, le principe de Zero trust et l'application régulière de correctifs pour prévenir les failles. ● Sécurité de la supply chain et des données : Les outils d'IA tiers présentent des risques pour les données et la confidentialité. Kaspersky recommande des audits stricts, l'utilisation de capteurs de sécurité et des politiques de confidentialité strictes pour prévenir les abus. ● Tests et validation : La validation continue des modèles détecte les problèmes tels que la dérive des données et les attaques adverses. Kaspersky recommande la surveillance, le partitionnement des jeux de données et la révision de la logique de décision. ● Défense contre les attaques spécifiques au Machine Learning : Pour se prémunir contre les attaques telles que l'injection de prompt ou les entrées adversariales, Kaspersky suggère un entraînement avec des exemples adversariaux, la détection des anomalies et la distillation des modèles. ● Mises à jour de sécurité et maintenance régulières : La mise à jour fréquente des outils d'IA et la participation à des programmes de bug bounty (chasse aux failles) permettent de corriger les vulnérabilités et de renforcer la résilience des systèmes. ● Conformité aux normes internationales : Kaspersky insiste sur le respect des standards mondiaux (par exemple le RGPD, l'AI Act européen) ainsi que sur la réalisation d'audits réguliers afin de garantir la conformité légale, éthique et en matière de protection de la vie privée. Les « Principes d'utilisation éthique des systèmes d'IA en cybersécurité » préconisent une meilleure éducation et des normes claires axées sur la transparence, la sécurité, le contrôle humain et la protection des données, afin de prévenir efficacement la manipulation et l'utilisation abusive des applications d'IA. Ces principes incluent : ● Transparence : Informer les clients de l'utilisation de l'IA et du Machine Learning ; expliquer leur fonctionnement ; développer des systèmes aussi interprétables que possible ; et mettre en place des mécanismes de contrôle pour garantir des résultats valides. ● Sécurité : Prioriser la sécurité tout au long du développement et du déploiement ; effectuer des contrôles de cybersécurité spécifiques ; minimiser la dépendance aux données d'apprentissage externes ; mettre en œuvre des stratégies de protection multicouches ; et privilégier les solutions cloud dotées de garanties appropriées. ● Contrôle humain : Assurer la supervision humaine de tous les systèmes d'IA/ML ; assurer une surveillance continue par des spécialistes ; et combiner algorithmes et expertise humaine. ● Protection des données : Respecter la confidentialité des données personnelles ; limiter et réduire le traitement des données ; pseudonymisation ou anonymisation ; garantir l'intégrité des données ; et appliquer des mesures techniques et organisationnelles pour protéger la confidentialité. D'après Communiqué
