Gestion de la sécurité : Bonnes pratiques

À propos de cette sous-ligne directrice

Cette sous-ligne directrice fait partie de la ligne directrice Gestion de la sécurité. Elle peut être lue conjointement avec la sous-ligne directrice Gestion de la sécurité : Menaces. Se reporter à la ligne directrice principale pour le contexte et une vue d'ensemble.

Bonnes pratiques pour contrer les menaces pesant sur les systèmes d'IA

La plupart des types d'attaques peuvent être évités ou limités par la mise en œuvre de bonnes pratiques de sécurité. Néanmoins, certaines attaques visant les systèmes d'IA nécessitent des mesures spécifiques. Des contre-mesures sont recommandées ci-dessous pour les types d'attaques suivants :
⦁    Attaques adverses
⦁    Attaques par évasion du modèle
⦁    Attaques par transfert
⦁    Attaques par empoisonnement des données
⦁    Attaques par inversion de modèle
⦁    Attaques par inférence d'appartenance
⦁    Attaques par déni de service distribué (DDoS)
⦁    Attaques par manipulation des données
⦁    Attaques par utilisation frauduleuse des assistants d'IA

Attaques adverses

Parmi les contre-mesures aux attaques adverses, en particulier celles qui visent les systèmes de reconnaissance d'images, on peut citer :

  • Utiliser des exemples subtils en phase d'entraînement. Montrer par exemple au modèle d'IA un grand nombre d'images légèrement modifiées afin qu'il apprenne à ne pas se laisser abuser.
  • Ajouter un élément aléatoire (que l'on désigne techniquement par le terme “bruit”) aux images utilisées dans l'ensemble de données d'apprentissage. Ainsi, le modèle apprendra à se concentrer sur les parties importantes de l'image, et pas seulement sur les petits détails qui peuvent être facilement modifiés.
  • Utiliser des modèles plus fiables : concevoir le modèle de manière à ce qu'il ait une vue d'ensemble (comme la forme générale d'une personne) plutôt que de se focaliser sur les petits détails.

Attaques par évasion du modèle

Parmi les contre-mesures aux attaques par évasion, on peut citer :

  • Choisir des modèles fiables, moins susceptibles d'être trompés par des données d'entrée légèrement modifiées.
  • Vérifier ou valider le système de données d'entrée pour s'assurer qu'il est sain et conforme aux attentes. Cela peut permettre de détecter les entrées anormales ou malveillantes avant qu'elles ne soient préjudiciables.
  • Entraîner le modèle avec des exemples de ces entrées problématiques afin qu'il apprenne à les reconnaître et à les traiter correctement.
  • Contrôler régulièrement les performances du modèle et le mettre à jour pour traiter les nouveaux types d'attaques au fur et à mesure qu'ils sont découverts.
  • Sous réserve que les avantages l'emportent sur les coûts, utiliser si possible plusieurs modèles en combinaison, de sorte que si l'un d'entre eux est trompé, les autres peuvent encore détecter le problème.

Attaques par transfert

Parmi les contre-mesures aux attaques par transfert, on peut citer :

  • Entraîner le modèle sur une grande variété de données. Cela réduit le risque qu'une attaque conçue pour un autre modèle fonctionne sur les modèles que le parlement utilise.
  • Comme pour les attaques par évasion, utiliser plusieurs modèles pour prendre des décisions, sous réserve que les avantages l'emportent sur les coûts.
  • Au cours de l'entraînement, exposer le modèle à des exemples adverses (petites modifications intentionnelles des données d'entrée destinées à tromper le modèle). Cela permet au modèle d'apprendre à reconnaître ces attaques et à s'en protéger.
  • Si possible, mettre à jour et réentraîner fréquemment le modèle à l'aide de nouvelles données. Cela permet de combler les failles susceptibles d'être exploitées dans le cadre d'attaques par transfert.
  • Appliquer des techniques conçues pour rendre le modèle plus résistant aux attaques, telles que le lissage ou l'injection de bruit pendant l'entraînement.

Attaques par empoisonnement des données

Parmi les contre-mesures aux attaques par empoisonnement des données, on peut citer :

  • Vérifier qui a accès (physique ou logique) à l'ensemble des données d'entraînement, en appliquant des autorisations strictes pour les utilisateurs.
  • Contrôler soigneusement les données avant de les utiliser pour entraîner le modèle, notamment en s'assurant que les étiquettes et les données sont cohérentes. Il est essentiel de procéder à un nettoyage adéquat pour se débarrasser des données susceptibles d'avoir un impact négatif sur le processus d'apprentissage.
  • Évaluer les algorithmes d'apprentissage automatique et vérifier s'ils sont conçus pour être moins sensibles aux données corrompues.
  • Contrôler les performances du modèle après son déploiement afin de détecter tout comportement inhabituel pouvant indiquer qu'il a été entraîné sur des données empoisonnées.

Attaques par inversion de modèle 

Parmi les contre-mesures aux attaques par inversion de modèle, on peut citer :

  • Confidentialité différentielle : cette technique consiste à ajouter une petite quantité de bruit aléatoire aux données ou aux sorties du modèle. Le bruit est soigneusement étalonné de sorte qu'il n'affecte pas de manière significative les performances du modèle, mais rende la tâche d'un hacker beaucoup plus difficile pour extraire une information précise sur chaque point de donnée.
  • Minimisation des données : ne collecter et n'utiliser que les données absolument nécessaires au modèle. Moins il y a de données sensibles dans l'ensemble d'entraînement, moins il y a de risques de divulguer des informations confidentielles.
  • Régularisation : cette technique peut rendre le modèle moins sensible à des points de données spécifiques, ce qui réduit le risque de réussite d'une attaque par inversion. Elle contraint le modèle à une plus grande généralisation, ce qui rend plus difficile pour un hacker de reconstituer des entrées spécifiques.
  • Limitation de l'accès au modèle : restreindre le nombre de personnes pouvant interroger le modèle et le nombre de requêtes qu'elles peuvent effectuer. Si un hacker ne peut effectuer qu'un nombre limité de requêtes, il lui est plus difficile de rassembler suffisamment d'informations pour effectuer une attaque par inversion de modèle. Un système robuste de gestion des comptes joue un rôle clé dans la défense contre ce type d'attaque.
  • Audit des requêtes et détection des anomalies : surveiller les requêtes adressées au modèle et rechercher des schémas inhabituels pouvant être un signe d'attaque. Si une activité suspecte est détectée, d'autres requêtes provenant de cette source peuvent être bloquées.
  • Entraînement par antagonisme : entraîner le modèle à l'aide d'exemples adverses (entrées conçues pour tromper le modèle) afin de le rendre plus robuste face à différents types d'attaques, notamment les attaques par inversion de modèle.

Attaques par inférence d'appartenance

Parmi les contre-mesures aux attaques par inférence d'appartenance, on peut citer :

  • Régularisation : cette approche rend le modèle moins confiant dans ses prédictions, ce qui complique la tâche d'un hacker pour savoir si un point de donnée spécifique a été inclus dans l'ensemble des données d'apprentissage.
  • Confidentialité différentielle : cette méthode consiste à ajouter du bruit aux données ou aux prédictions du modèle afin qu'il soit difficile pour un hacker de faire la distinction entre les données qui ont été incluses dans l'ensemble d'apprentissage et celles qui ne l'ont pas été.
  • Distillation de modèles : cette méthode permet d'entraîner un modèle simple afin qu'il imite le comportement d'un modèle plus complexe. Le modèle simple est moins susceptible de divulguer des informations spécifiques sur les données d'entraînement.

Attaques par déni de service distribué (DDoS)

Parmi les contre-mesures aux attaques DDoS, on peut citer :

  • Utiliser un réseau de diffusion de contenu (RDC) pour répartir le service entre des serveurs situés en différents lieux.
  • Installer un pare-feu pour application web afin de détecter et de bloquer le trafic malveillant, notamment une attaque DDoS, avant qu'il n'atteigne les serveurs qui exécutent le système d'IA.
  • Accroître la capacité du serveur. Même si cela ne résout pas le problème lui-même, il sera plus difficile pour le hacker de provoquer l'effondrement de tout le système.
  • Utiliser des services de protection DDoS d'origine externe pour détecter et atténuer les attaques DDoS. Ces services peuvent identifier et bloquer automatiquement le trafic malveillant, ce qui permet à un système de rester en fonctionnement normal.
  • Limiter le nombre de requêtes qu'un même utilisateur peut effectuer dans un laps de temps donné.

Attaques par manipulation des données

Parmi les contre-mesures aux attaques par manipulation des données, on peut citer :

  • Renforcer l'utilisation de mots de passe forts et d'une authentification multifactorielle (AMF) pour limiter le risque d'accès non autorisé.
  • Mettre régulièrement à jour tous les logiciels (après les avoir testés dans un environnement contrôlé, car les mises à jour peuvent parfois introduire de nouveaux problèmes dans le système).
  • Poursuivre les tests pour les dernières vulnérabilités découvertes et être prêts à y remédier.
  • Crypter toutes les données, en particulier celles qui peuvent poser des problèmes de confidentialité. Ainsi, même si les hackers sont en mesure d'accéder aux données, ils ne pourront pas les lire sans la clé de décryptage (ou, du moins, il leur faudra beaucoup de temps avant de pouvoir les lire).
  • Sauvegarder toujours correctement toutes les données afin d'éviter leur détournement (qui peut entraîner l'arrêt soudain du service, ce qui a un impact négatif sur l'image du parlement auprès des citoyens et nécessite le paiement d'une forte rançon).
  • Limiter l'accès aux données sensibles et surveiller les activités inhabituelles et suspectes telles que les modifications des données ou les connexions non autorisées.

Attaques par utilisation frauduleuse des assistants d'IA

Parmi les contre-mesures aux attaques par utilisation frauduleuse des assistants d'IA, on peut citer :

  • Sensibiliser le personnel à la prudence quant aux informations qu'il fournit aux assistants d'IA personnels et d'organisation.
  • Dans la mesure du possible, éviter d'utiliser des assistants d'IA pour des projets d'IA.
  • Si ce n'est pas possible, vérifier les paramètres de confidentialité, car il existe peut-être une option permettant de limiter les données auxquelles l'assistant d'IA peut accéder et qu'il peut stocker.
  • Toujours examiner les journaux d'activité de l'assistant d'IA (s'ils sont disponibles) pour détecter tout comportement inhabituel.

Les Lignes directrices pour l’IA dans les parlements ont été produites par l’UIP en collaboration avec le Pôle parlementaire sur la science des données du Centre pour l'innovation au parlement de l'UIP. Ce document est soumis à une licence Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International. Il peut être librement partagé et réutilisé en mentionnant l'UIP. Pour plus d'informations sur les travaux de l'UIP en matière d'intelligence artificielle, veuillez consulter le site www.ipu.org/fr/impact/democratie-et-parlements-forts/lintelligence-artificielle ou contacter [email protected].

Navigation