À mesure que les technologies de l'IA sont déployées à grande échelle, elles deviennent également des cibles pour les cybercriminels. Les agences de cybersécurité du Royaume-Uni et des États-Unis ont élaboré de nouvelles lignes directrices sur la manière de rendre l'IA plus sûre.
L'objectif déclaré de la les lignes directrices est de permettre aux entreprises d'IA de "construire des systèmes d'IA qui fonctionnent comme prévu, sont disponibles en cas de besoin et fonctionnent sans révéler de données sensibles à des parties non autorisées".
En fait, il s'agit de s'assurer que l'IA ne peut pas être détournée ou qu'elle ne peut pas divulguer les données privées des utilisateurs.
Les lignes directrices énumèrent les principes de conception qui devraient guider le développement des produits d'IA tout au long de leur cycle de vie. Les quatre domaines clés abordés sont résumés ci-dessous :
- Conception sécurisée
Évaluer les risques et modéliser les menaces pendant la phase de conception. - Développement sécurisé
Gérez votre chaîne d'approvisionnement, votre documentation et vos actifs numériques de manière sécurisée pendant que vous construisez votre produit. Si vous prenez des raccourcis non sécurisés, veillez à revenir en arrière et à les corriger. - Déploiement sécurisé
Lorsque vous donnez aux utilisateurs l'accès à votre produit, assurez-vous qu'ils ne peuvent pas accéder à des parties sensibles via l'API ou d'autres moyens. Ne déployez le produit qu'après des tests rigoureux en équipe restreinte. - Fonctionnement et entretien sécurisés
Surveillez votre produit, effectuez les mises à jour avec soin et ne gardez pas le secret lorsque les choses tournent mal.
Les lignes directrices sont peu détaillées sur le plan technique en ce qui concerne la mise en œuvre, mais c'est un bon début. Outre le Royaume-Uni et les États-Unis, 16 autres pays ont approuvé ces lignes directrices.
La liste complète des signataires est la suivante
Allemagne, Australie, Canada, Chili, Estonie, États-Unis d'Amérique, France, Israël, Italie, Japon, Nigeria, Norvège, Nouvelle-Zélande, Pologne, République de Corée, République tchèque, Royaume-Uni, Singapour.
La Chine et la Russie sont notablement absentes de la liste, alors qu'il s'agit probablement des sources les plus importantes d'émissions de gaz à effet de serre. cyberattaques sur les pays occidentaux.
Les lignes directrices n'étant pas contraignantes, les pays qui ont approuvé le document se contentent de dire : "Nous pensons qu'il s'agit de bons principes de conception de l'IA à respecter". Par ailleurs, bien que le Royaume-Uni soit à l'avant-garde de ces efforts, il a déclaré qu'il n'appliquerait pas de nouvelle législation sur le développement de l'IA dans un avenir proche.
Il est dans l'intérêt des pays de rendre leurs produits d'IA aussi sûrs que possible, mais il reste à savoir si c'est possible ou non. Les vulnérabilités de type "jour zéro" dans les logiciels et systèmes commerciaux semblent faire partie du quotidien.
Avec des rapports réguliers sur déverrouillage des exploits des systèmes d'IA, peut-on raisonnablement s'attendre à ce que ces nouveaux modèles soient correctement protégés contre les cyber-attaques ?
Les dangers imaginés, ou prédits, de l'IA constituent une menace potentielle pour l'avenir. Les cybercriminels, qui sont sans aucun doute en train de sonder les vulnérabilités de l'IA, représentent un danger plus clair et plus présent.
