Depuis le 30 novembre 2022, date à laquelle ChatGPT fut fonctionnelle en Europe, l’intelligence artificielle ne cesse, entre crainte et enthousiasme, de susciter le débat. Face à ses possibilités prometteuses mais parfois non compatibles avec les principes démocratiques en vigueur en Europe, l’Union Européenne met en place des directives afin de responsabiliser l’utilisation de l’IA : responsabilité des développeurs, transparence des algorithmes, mesures de sécurité pour éviter les biais et les discriminations… Préserver la confidentialité des données et le respect des valeurs européennes sont le but d’une telle démarche.
Allier cybersécurité et intelligence artificielle, est-ce possible ? Avec l’apparition d’un cadre réglementaire adapté, grâce au RGPD et à NIS2, l’Intelligence Artificielle s’avère être un outil de choix pour rendre notre espace numérique plus sûr et plus éthique, grâce à sa capacité à détecter précocement une menace et à y répondre efficacement. Hexatrust a décidé de creuser le sujet en organisant une plénière d’ouverture lors de ses Universités d’Été de la Cybersécurité et du Cloud de Confiance, qui se sont tenues aux CentQuatre à Paris le 19 septembre 2023. Nous avons réuni des experts afin de mieux comprendre les problématiques liées à ce sujet :
L’IA dans l’œil de la réglementation européenne
« L’IA offre des opportunités extraordinaires et ça comporte un certain nombre de risques parce qu’elle peut aussi être utilisée à des fins malveillantes », déclare le Général Patrick Perrot lors de la plénière. C’est pour cette raison que l’Union Européenne s’est emparée du sujet et a produit deux textes qui se complètent, le Règlement sur l’Intelligence Artificielle et la Directive sur la Responsabilité, afin d’offrir un cadre à cette technologie qui prend de l’ampleur. Ce « paquet réglementaire », connu sous le nom de IA Act, est une première mondiale puisqu’il s’agit de la première loi globale de régulation des intelligences artificielles au monde.
Ces textes ont aussi abouti à une classification des IA, comme l’explique Maxime Alay-Eddine : « Certaines IA dites à risque inacceptable seront simplement interdites, lorsqu’elles visent à manipuler psychologiquement certains publics particulièrement vulnérables comme les enfants par exemple. D’autres IA seront considérées à risque élevé lorsqu’elles exercent une influence sur des dispositifs de sécurité et de sûreté. Ces dispositifs devront être déclarés dans une base européenne et feront l’objet d’auto-évaluations régulières. La dernière catégorie qui fera l’objet d’obligations réglementaires est celle des IA à risque limité, qui rassemblent les IA centrées sur les interactions humaines. Dans ce cas, elles devront simplement bien faire apparaître que les contenus produits ont été générés par une intelligence artificielle ».
L’IA Act n’est pas encore finalisé à ce jour, mais déjà quelques particularités ont été établies. Premièrement, il s’agit d’un texte qui se veut au-delà des frontières de l’Union Européenne puisque quelle que soit l’origine de l’acteur qui fournira une intelligence artificielle à des européens, il devra respecter l’IA act. Deuxièmement, c’est aussi un texte qui respecte le principe de subsidiarité sur certains sujets.
En effet, les lois nationales resteront prépondérantes en ce qui concerne la sécurité. Troisièmement, c’est aussi un texte qui est porteur d’innovations quant au principe de responsabilité. La responsabilité pourra être établie sans preuve afin de faciliter l’indemnisation des victimes, ce qui n’a jamais été fait auparavant.
Bien que ce texte ait pour vocation de sanctionner, il est aussi porteur de possibilités économiques, comme le souligne Garance Mathias : « Le cadre n’empêche pas. Le cadre est là pour être respecté, bien entendu, mais il est là aussi pour permettre l’innovation et le développement des opportunités ».
L’IA Act, une opportunité pour les professionnels de la cyber ?
Si l’IA est présentée comme une opportunité pour de nombreux secteurs (santé, sécurité des citoyens…), elle est moins souvent présentée comme tel aux yeux du grand public et des professionnels de la filière concernant la cybersécurité. Pourtant, avec l’arrivée de la directive NIS2 et ses nouvelles contraintes qui en découleront, elle peut devenir une alliée de taille pour les RSSI. « L’IA peut facilement aider à identifier des comportements techniques anormaux sur des postes utilisateurs, ou des requêtes réseaux anormales », assure Maxime Alay-Eddine. Elles pourraient permettre d’en faire plus, avec le même niveau de moyens qu’aujourd’hui. Alors que certains acteurs considérés comme des entités critiques, comme les établissements de santé publics ou les collectivités territoriales, se heurtent à la pénurie de moyens et de talents en ce qui concerne la cybersécurité, cela pourra leur permettre de se protéger efficacement contre les cybermenaces.
Les intelligences artificielles seraient de « supers outils d’aide à la décision » pour les DSI et les RSSI, pour reprendre les mots de Maxime Alay-Eddine. Elles le seraient aussi pour les ingénieurs, comme l’évoque Philippe Miltin : « L’intelligence artificielle donne des choix. Elles donnent plus de choix à l’ensemble des ingénieurs pour pouvoir créer plus rapidement et innover plus rapidement ». En d’autres termes, l’Intelligence Artificielle pourrait contribuer à la productivité des ingénieurs.
L’intelligence artificielle est loin d’être une nouveauté pour les professionnels de la cyber, puisque beaucoup d’éditeurs de logiciels l’ont déjà intégrée à leur solution. « L’Intelligence Artificielle est présente partout, pour pouvoir passer du préventif au prescriptif, notamment dans la partie cyber », fait remarquer Philippe Miltin au sujet des solutions choisies pour sécuriser les prochains Jeux Olympiques de Paris.
L’IA Act, une contrainte pour les professionnels de la sécurité ?
Au cours de la plénière, Philippe Miltin a souligné l’intérêt de l’Intelligence Artificielle par les professionnels de la sécurité. En effet, certaines solutions de vidéosurveillance sont considérées comme très efficaces pour assurer la protection des citoyens puisqu’elles sont capables de détecter des incidents de sécurité que l’œil humain est incapable de percevoir. Pour les professionnels de la sécurité, l’Intelligence Artificielle pourrait donc constituer un gain considérable dans l’anticipation et la gestion de certains événements de sécurité.
Le Général Patrick Perrot émet quelques réserves quant à l’IA Act. Il met en évidence que l’utilisation à des fins de sécurité sera classée haut-risque, ce qui signifie qu’il y aura beaucoup de contraintes qui nuiront à son utilisation, ce qui découragera les forces de l’ordre. « Si on n’utilise pas l’IA, le niveau de protection de la population baissera », indique-t-il. En effet, les criminels, eux, ne se priveront pas de l’utiliser. « Générer une asymétrie par la réglementation pourrait profiter aux délinquants », précise le Général.
Pour permettre aux professionnels de la sécurité de se servir de l’IA tout en respectant une certaine éthique, il préconise une approche d’assurance qualité quant à son utilisation. Pour cela, la Gendarmerie a mis en place une charte éthique concernant l’utilisation de l’IA. « Pour moi, l’éthique est importante en Intelligence Artificielle parce qu’on explore au-delà de l’état de l’art. On explore au-delà de l’état des connaissances. Le droit n’est pas encore établi donc il est important de s’intéresser à l’éthique. », explique le Général Perrot.
L’utilisation de l’IA doit répondre à quatre valeurs : confiance, connaissance, transparence et explicabilité. « On assiste aujourd’hui à une course à la réglementation. L’important aujourd’hui, ce n’est pas d’être le premier, c’est d’être le meilleur. », conclue-t-il au sujet de l’IA Act.
L’IA Act, un texte qui n’est pas encore finalisé
L’IA Act a beau être encore en cours d’élaboration, il fait déjà beaucoup parler de lui alors que des modifications risquent d’advenir. « Dans le cadre de la sécurité informatique, la majorité des solutions sera concernée par l’appellation « risque élevée », puisque l’on y trouve des systèmes de gestion et d’exploitation des infrastructures critiques. Nous devons maintenant attendre de voir l’application concrète de ces directives sur le terrain, notamment l’effort à fournir en termes d’auto-évaluations. », explique Maxime Alay-Eddine. Les acteurs de la cybersécurité sont donc en attente de précisions, mais une chose est sûre selon le Président de Cyberwatch : « Le futur de la cybersécurité est avant tout l’humain, accompagné par les bons experts et aidé des bons outils, dont l’IA fera certainement partie » .