Gestion de la sécurité

La présente ligne directrice est destinée au personnel technique de haut niveau chargé du développement et de la mise en œuvre des systèmes d'IA. Certains des éléments qu'elle présente peuvent également intéresser les hauts fonctionnaires parlementaires souhaitant mieux comprendre les questions techniques liées à la sécurité. 

Traitant de la protection des systèmes d'IA contre un large éventail de menaces et de risques, cette ligne directrice décrit un ensemble de pratiques visant à assurer la confidentialité, l'intégrité et la disponibilité des systèmes d'IA et des données dans les parlements.

Les systèmes d'IA sont déployés selon de nombreuses modalités différentes, toujours dans un but de meilleure productivité. Les parlements vont sans aucun doute suivre cette tendance, en privilégiant la rapidité des processus pour une démocratie plus dynamique, sans nuire au débat ni le précipiter. Les processus doivent également être plus sûrs, car les parlements sont des cibles potentielles pour les groupes d'intérêt nationaux et internationaux.

L'usage croissant de l'IA s'accompagne d'une augmentation des risques pour les organisations qui recourent à cette technologie.

Les systèmes d'IA sont associés à divers problèmes de sécurité, tels que l'inférence sur les données – parfois sensibles – servant dans le processus d'entraînement, la modification de ces données et l'utilisation d'une invite particulière – volontairement ou non – qui pourrait conduire le système d'IA à une conclusion erronée ou inattendue. Toutes ces questions, et bien d'autres encore, doivent être résolues avant que le système d'IA ne soit remis aux utilisateurs.

En outre, certains comportements de l'IA pourraient avoir un impact négatif important sur la réputation publique d'une organisation. Ainsi, les systèmes d'IA ne peuvent être déployés qu'après – au minimum – une évaluation de base des risques démontrant que ces derniers sont faibles ou maîtrisés, et que les avantages l'emportent.
Plus une personne a de connaissances sur l'IA, plus il lui sera facile de tromper le système et de transformer une technologie révolutionnaire en moyen de menace à l'encontre de différents acteurs.

En outre, même les organisations qui n'utilisent pas de modèles et de systèmes d'IA sont exposées, car les délinquants ont déjà recours à l'IA pour tenter d'augmenter le taux de réussite de leurs attaques. Cependant, les considérations de sécurité sont particulièrement importantes pour les organisations qui utilisent l'IA dans leurs propres systèmes, car ces modèles sont sujets à de nouveaux types d'attaques.

Compte tenu de l'augmentation des cyberattaques, qui se sont multipliées après la pandémie de COVID-19, et de l'utilisation croissante des modèles d'IA, nouveau Graal de la technologie, la lutte contre les menaces liées à l'IA est un élément important du plan de cybersécurité d'une organisation.
 

Les cyberattaques sont une préoccupation croissante, car les parlements dépendent de plus en plus de la connectivité à Internet – qu'il s'agisse de serveurs basés sur le cloud, de systèmes externes ou que ce soit pour les utilisateurs. Une gestion efficace de la cybersécurité est donc essentielle pour éviter de telles attaques ou en réduire l'impact.

Pour plus de détails sur ce sujet, voir la sous-ligne directrice Gestion de la sécurité : Contexte parlementaire.

Les systèmes d'IA apprennent à partir des données qui leur sont fournies et appliquent ensuite des modèles pour les aider à prendre des décisions, à générer de nouveaux contenus ou à réaliser d'autres tâches pour lesquelles ils sont programmés.

Si les parlements doivent s'assurer que les données sont fiables et de grande qualité, ils doivent également veiller à ce que des hackers ne puissent pas exploiter les entrées dans les systèmes d'IA en vue de corrompre et de manipuler les données, la modélisation et les éléments en sortie.

Les attaques peuvent survenir à n'importe quelle phase, de la préparation des données, jusqu'au développement, au déploiement et à l'exploitation des systèmes d'IA (pour plus de détails sur ce sujet, voir la ligne directrice Développement des systèmes). L'ensemble du cycle de vie du système d'IA doit donc être correctement supervisé afin de limiter les comportements inattendus.

Pour plus de détails sur ce sujet, voir la sous-ligne directrice Gestion de la sécurité : Menaces.

La plupart des types d'attaques peuvent être évités ou limités par la mise en œuvre de bonnes pratiques. Néanmoins, certaines attaques visant spécifiquement les systèmes d'IA nécessitent des contre-mesures spécifiques.

Pour plus de détails sur ce sujet, voir la sous-ligne directrice Gestion de la sécurité : Bonnes pratiques.

Conformément aux principaux cadres de sécurité, les parlements doivent progressivement mettre en place des contrôles dans les quatre domaines suivants, en fonction de leur structure spécifique, de leurs besoins et des risques que font courir les menaces :
⦁    Contrôles techniques
⦁    Contrôles organisationnels
⦁    Contrôles humains
⦁    Contrôles physiques

L'ensemble des mesures prises dans ces quatre domaines permettent aux parlements d'améliorer la protection de leurs systèmes d'IA.

Pour plus de détails sur ce sujet, voir la sous-ligne directrice Gestion de la sécurité : Mise en œuvre des contrôles de cybersécurité.