Le Royaume-Uni introduit un code de bonne pratique pour renforcer la sécurité de l’IA

L’IA est l’outil le plus puissant de notre époque, mais comme tous les outils puissants, elle comporte des risques. Le gouvernement britannique l’a bien compris, et c’est pourquoi il vient de mettre en place le premier code de pratique cybernétique de l’IA au monde. Il s’agit d’un ensemble de principes volontaires visant à rendre les systèmes d’IA plus sûrs, ce qui devrait intéresser toutes les entreprises qui touchent à l’IA.

Voici la réalité : L’IA est excellente pour résoudre les problèmes, mais elle en crée aussi de nouveaux. Les cyberattaques ciblant les systèmes d’IA sont en augmentation, et une IA mal conçue peut exposer les entreprises à des vulnérabilités de sécurité qu’elles n’ont jamais vues venir. Ce nouveau cadre ne vise pas à ralentir l’innovation en matière d’IA, mais à s’assurer que les systèmes sur lesquels vous comptez ne deviennent pas des responsabilités.

Le code s’applique aux développeurs, aux opérateurs de systèmes et aux dépositaires de données, c’est-à-dire à toute personne qui construit ou déploie des systèmes d’IA. Si vous vendez des modèles ou des composants d’IA, d’autres lignes directrices s’appliquent à vous. L’objectif est simple : sécuriser l’IA sans tuer l’innovation. Les recommandations portent sur la formation du personnel, l’évaluation des risques et une communication claire avec les utilisateurs finaux sur l’utilisation des données. Il s’agit de construire l’IA en intégrant la sécurité dès le premier jour, et non pas après coup.

Le code décrit les principes de sécurité essentiels pour le développement et le déploiement de l’IA.

Un dispositif de sécurité faible en matière d’IA peut ruiner même les entreprises les plus prometteuses. Le code de pratique cybernétique de l’IA énonce 13 principes destinés à assurer la résilience de vos systèmes d’IA. Considérez ces principes comme une hygiène de sécurité fondamentale pour le développement et le déploiement de l’IA.

Le premier principe ? Connaître les risques. Les menaces de sécurité liées à l’IA évoluent rapidement, et la plupart des entreprises ne suivent pas le rythme. Former votre équipe à la sécurité de l’IA et la mettre à jour régulièrement n’est pas facultatif. Un autre principe est de concevoir pour la sécurité, pas pour la performance. Trop souvent, les modèles d’IA sont conçus pour la vitesse et la fonctionnalité, tandis que la sécurité est ignorée. C’est ainsi que l’on se retrouve avec des attaques par empoisonnement des données, où des acteurs malveillants manipulent les données d’entraînement de l’IA pour fausser les résultats.

Parmi les autres principes clés, citons la documentation des actifs d’IA, la restriction de l’accès, la sécurisation des chaînes d’approvisionnement et le maintien de mises à jour de sécurité régulières. Chaque système d’IA doit être testé rigoureusement pour éviter la rétro-ingénierie, qui permet aux attaquants d’extraire des informations propriétaires ou des données de formation. Ce qu’il faut retenir ? La sécurité de l’IA n’est pas une affaire ponctuelle. C’est un processus en constante évolution que les entreprises doivent prendre au sérieux.

Le Royaume-Uni préconise des mesures de cybersécurité plus strictes pour le développement de logiciels

Le Royaume-Uni s’attaque à la cybersécurité dans son ensemble. Le Centre national de cybersécurité (NCSC) du pays interpelle les fournisseurs de logiciels sur un problème de longue date : les « vulnérabilités impardonnables » : des « vulnérabilités impardonnables ».

Qu’est-ce que cela signifie ? C’est lorsque des entreprises lancent des logiciels sur le marché en ignorant des failles de sécurité bien documentées et faciles à corriger. Ce phénomène est fréquent. Les entreprises se précipitent pour lancer de nouvelles fonctionnalités, laissant des failles de sécurité béantes dans leurs produits. Les pirates informatiques adorent cela.

Les éditeurs de logiciels doivent cesser de privilégier la vitesse et les fonctionnalités au détriment de la sécurité. C’est pourquoi le Royaume-Uni introduit également un code de pratique pour les fournisseurs de logiciels, qui vise à faire de la sécurité un élément non négociable du développement des logiciels. La meilleure approche ? Traiter la sécurité comme faisant partie intégrante de la conception du produit, et non comme un élément que vous rafistolez par la suite.

Pour les entreprises, il s’agit d’un signal d’alarme. Si vous achetez des outils ou des logiciels d’intelligence artificielle, ne vous contentez pas de regarder les fonctionnalités, regardez aussi la sécurité. Si un fournisseur ne peut pas démontrer son engagement en matière de cybersécurité, son produit est une responsabilité.

Le Royaume-Uni forme une coalition internationale pour la main-d’œuvre dans le domaine de la cybersécurité

L’IA et la cybersécurité sont des défis mondiaux, il est donc logique de les aborder avec des solutions mondiales. C’est pourquoi le Royaume-Uni s’est associé au Canada, à Dubaï, au Ghana, au Japon et à Singapour pour lancer l’International Cybersecurity Workforce Coalition.

Voici le problème : Il n’y a pas assez de professionnels de la cybersécurité pour faire face à la complexité croissante des menaces numériques. Le secteur souffre d’un énorme déficit de compétences, et le seul moyen d’y remédier est la collaboration. Cette coalition a pour but d’harmoniser les programmes de formation, de normaliser la terminologie de la cybersécurité et de partager les meilleures pratiques par-delà les frontières.

Une autre question importante ? La diversité. À l’heure actuelle, seul un professionnel de la cybersécurité sur quatre est une femme. C’est mauvais pour l’égalité et pour les entreprises. Un plus grand nombre de points de vue permet d’élaborer de meilleures solutions de sécurité. La coalition en fait une priorité et s’efforce de faire de la cybersécurité un domaine plus inclusif.

Pour les cadres supérieurs, cela signifie deux choses :

  1. Attendez-vous à de meilleures normes mondiales en matière de cybersécurité : Les entreprises de ces régions disposeront de professionnels plus qualifiés et de politiques plus strictes.

  2. Investissez dès maintenant dans les talents en matière de cybersécurité : Qu’il s’agisse de former les employés existants ou d’embaucher de nouveaux experts, les entreprises qui prennent la sécurité au sérieux sont gagnantes à long terme.

Les entreprises britanniques confrontées à de nouveaux défis en matière de cybersécurité

Si vous pensez que la cybersécurité n’est pas un problème urgent pour votre entreprise, détrompez-vous. Des études récentes montrent une dure réalité :

  • 87 % des entreprises britanniques ne sont pas préparées aux cyberattaques.

  • 99 % ont subi au moins un cyberincident au cours de l’année écoulée.

  • Seuls 54 % des professionnels de l’informatique se sentent capables de récupérer les données de leur entreprise après une attaque.

Ces chiffres représentent un désastre en puissance. En décembre, le directeur du National Cyber Security Centre a averti que les risques cybernétiques du Royaume-Uni étaient largement sous-estimés. C’est pourquoi les entreprises ne doivent pas attendre que les réglementations les obligent à agir. L’adoption du code de bonnes pratiques en matière d’IA constitue un avantage concurrentiel.

« Les clients, les investisseurs et les partenaires veulent savoir que vos systèmes d’IA et vos données sont sécurisés. Si vous attendez qu’une brèche se produise, vous êtes déjà perdant. »

La leçon à tirer est simple : La sécurité de l’IA n’est pas facultative. Les entreprises qui prendront les devants, en sécurisant leurs systèmes d’IA et en éliminant les risques de cybersécurité, seront celles qui domineront le secteur.

Dernières réflexions

Le code de pratique cybernétique de l’IA est plus qu’une question de conformité, il s’agit de construire l’IA de la bonne manière. Les entreprises qui accordent la priorité à la sécurité aujourd’hui seront celles qui façonneront l’économie basée sur l’IA.

La cybersécurité est une question de conseil d’administration, un facteur de différenciation du marché et, en fin de compte, une question de survie de l’entreprise. Si votre entreprise prend l’IA au sérieux, elle doit aussi prendre la sécurité au sérieux.

Parce qu’en fin de compte, le meilleur système d’intelligence artificielle au monde ne vaut rien s’il n’est pas sécurisé.

Principaux enseignements pour les dirigeants

  • Transformation de la sécurité de l’IA : Le code de pratique britannique AI Cyber Code of Practice constitue une référence mondiale en établissant un cadre pour sécuriser les systèmes d’IA contre les cybermenaces. Les dirigeants devraient envisager d’intégrer ces lignes directrices pour préserver l’innovation et maintenir un avantage concurrentiel.

  • Une gestion globale des risques : Avec 13 principes définis couvrant l’évaluation des risques, la formation du personnel, une infrastructure sécurisée et la sécurité de la chaîne d’approvisionnement, le code met l’accent sur la sécurité de bout en bout. Les décideurs devraient intégrer ces mesures dans leur planification stratégique afin d’atténuer les vulnérabilités.

  • L’alignement de la cybersécurité au niveau mondial : L’initiative du Royaume-Uni, associée à sa coalition internationale sur la main-d’œuvre en cybersécurité, reflète un effort mondial coordonné pour normaliser et élever les pratiques en matière de cybersécurité. Cet alignement offre la possibilité d’exploiter les meilleures pratiques émergentes et de combler le déficit de compétences en matière de cybersécurité.

  • Résilience des entreprises et avantage concurrentiel : Des données récentes montrent que 87 % des entreprises britanniques ne sont pas préparées aux cyberattaques, ce qui rend inestimable l’adoption proactive de cadres de sécurité complets. Les dirigeants devraient donner la priorité à l’amélioration de la sécurité de l’IA afin de renforcer la résilience et d’inspirer confiance aux parties prenantes.

Alexander Procter

février 21, 2025

8 Min

Tags: