Gestion de la sécurité : Mise en œuvre de contrôles de cybersécurité

Cette sous-ligne directrice fait partie de la ligne directrice Gestion de la sécurité. Se reporter à la ligne directrice principale pour le contexte et une vue d'ensemble.

Conformément aux principaux cadres de sécurité, les parlements doivent progressivement mettre en place des contrôles dans les quatre domaines suivants, en fonction de leur structure spécifique, de leurs besoins et des risques que font courir les menaces :
⦁    Contrôles techniques
⦁    Contrôles organisationnels
⦁    Contrôles humains
⦁    Contrôles physiques
L'ensemble des mesures prises dans ces quatre domaines – qui sont abordés ci-dessous – permettent aux parlements d'améliorer la protection de leurs systèmes d'IA.

Les contrôles techniques sont des mesures et des processus visant à protéger les systèmes, les données et les algorithmes d'IA contre tout accès non autorisé, manipulation ou détournement.

Sécurité des réseaux

• Utiliser des pare-feu pour segmenter le réseau en différentes zones en fonction des exigences de sécurité, en mettant en place des contrôles d'accès stricts entre les zones.
• Envisager de déployer des systèmes de prévention d'intrusion pour détecter et bloquer les activités malveillantes en temps réel dès que possible.
• Veiller à ce que tous les canaux de communication – y compris les transferts de données, les mises à jour de modèles et les appels à l'interface de programmation d'application (API) – soient cryptés afin de protéger les données en transit.
• Appliquer des protocoles de cryptage robustes, tels que la sécurité de la couche de transport (TLS) et la couche de sockets sécurisée (SSL).
• Utiliser des réseaux privés virtuels (VPN) pour sécuriser l'accès à distance aux systèmes et aux données de l'IA.

Sécurité des systèmes

• Mettre à jour et corriger régulièrement tous les logiciels, systèmes d'exploitation et algorithmes d'IA afin de les protéger contre les vulnérabilités connues.
• Veiller à tester les correctifs dans un environnement contrôlé avant de les déployer sur les systèmes de production afin de vous assurer qu'ils n'introduisent pas de nouvelles vulnérabilités ou qu'ils ne provoquent pas d'instabilité du système.
• Déployer des solutions antivirus et anti-malware robustes et régulièrement mises à jour sur tous les points de terminaison, y compris les serveurs, les postes de travail et les appareils mobiles.
• Activer les fonctions de protection en temps réel pour détecter et bloquer les logiciels malveillants et autres menaces dès leur apparition.

Sécurité des données

• Vérifier que les ensembles de données d'entraînement sont fiables et les conserver en sécurité, car ils constituent l'un des atouts les plus importants du système d'IA.
• Utiliser des données provenant de sources fiables et vérifiées afin de garantir l'authenticité et l'exactitude des informations.
• Avec des données provenant de tiers, s'assurer que le fournisseur de données a fait l'objet d'audits de sécurité rigoureux.
• Supprimer les informations identifiables à des personnes dans les ensembles de données pour garantir la protection de la vie privée.
• Si cela n'est pas possible, remplacer les données sensibles par des pseudonymes ne permettant de remonter aux données d'origine que par des moyens sécurisés.
• Crypter les données stockées dans les bases et dans les systèmes de stockage et de sauvegarde sur le cloud, à l'aide d'algorithmes de cryptage fort.
• Appliquer des protocoles de cryptage tels que TLS ou SSL pour protéger les données lorsqu'elles transitent entre les systèmes ou les utilisateurs.
• Prétraiter les données pour les assainir à l'aide de diverses méthodes telles que l'anonymisation, la pseudonymisation et le masquage des données (pour plus de détails sur ce sujet, voir la ligne directrice Gestion des données).
• Le cas échéant, établir des accords et des protocoles de partage de données avec des partenaires de confiance (tels que d'autres parlements) afin de garantir l'intégrité et la sécurité des ensembles de données partagés, et utiliser des canaux de communication sécurisés lors du partage des données ou de la collaboration avec des parties externes.

Sécurité des applications

• Mettre en œuvre les meilleures pratiques en matière de développement de systèmes afin de répondre aux vulnérabilités connues et d'être prêt à faire face aux vulnérabilités inconnues (pour une réflexion plus approfondie sur ce sujet, voir la ligne directrice Développement des systèmes).

Les contrôles organisationnels sont axés sur les politiques, procédures et pratiques internes.

Élaboration de politiques de sécurité

• Élaborer et mettre en œuvre des politiques de sécurité couvrant la protection des données, le comportement des utilisateurs, l'accès au système et la réponse aux incidents (pour une réflexion plus approfondie sur ce sujet, voir la ligne directrice Développement des systèmes).

Gestion des risques de sécurité

• Évaluer les risques inhérents à tous les projets afin d'optimiser les chances de réussite (pour plus de détails sur ce sujet, voir la ligne directrice Gestion des risques).

Réponse aux incidents

• Établir des procédures bien définies à un moment où le système n'est pas réellement menacé. Ainsi, l'équipe peut réfléchir, discuter et élaborer un plan d'intervention qui ne soit pas précipité par l'imminence du danger.

Les humains sont l'un des maillons les plus faibles de la chaîne d'un système d'IA, voire de tout autre système. Les contrôles humains visent à maîtriser ce risque par le biais d'une série de mesures et de procédures différentes.

Formation et sensibilisation

• Proposer une formation à la sécurité à l'équipe chargée de l'IA et veiller à ce que les pratiques de sécurité soient appliquées à tous les stades du processus de développement des systèmes d'IA au sein de l'organisation (pour une réflexion plus approfondie sur ce sujet, voir la ligne directrice Formation à la maîtrise des données et à la maîtrise de l'IA).

Gestion des accès

• Développer un modèle d'accès strict basé sur les postes occupés, en mettant en œuvre le principe de moindre privilège afin de limiter le risque d'accès non autorisé et de fuite des données.
  Redevabilité
• Surveiller les incidents de sécurité et les activités suspectes, et mettre en place des canaux clairs pour signaler ces incidents et activités (pour une réflexion plus approfondie sur ce sujet, voir les lignes directrices Principes éthiques et Développement des systèmes).

Les contrôles physiques sont axés sur la protection des biens physiques et de l'infrastructure qui permettent aux systèmes d'IA de se préserver des accès non autorisés, des dommages ou des perturbations.

Sécurité des locaux

• Veiller à ce que seules les personnes autorisées aient un accès physique au système d'IA.
• Mettre en place au moins deux moyens d'accès à la salle informatique et appliquer une gestion appropriée des visiteurs dans les zones sensibles.

Contrôles environnementaux

• Veiller à ce que les locaux hébergeant le matériel informatique et le personnel soient protégés contre les incendies.
• Installer des systèmes de détection d'incendie et mettre en place un plan d'évacuation.
• Si possible, utiliser un système de climatisation pour maintenir tous les ordinateurs à des niveaux de température et d'humidité appropriés.

Les Lignes directrices pour l’IA dans les parlements ont été produites par l’UIP en collaboration avec le Pôle parlementaire sur la science des données du Centre pour l'innovation au parlement de l'UIP. Ce document est soumis à une licence Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International. Il peut être librement partagé et réutilisé en mentionnant l'UIP. Pour plus d'informations sur les travaux de l'UIP en matière d'intelligence artificielle, veuillez consulter le site www.ipu.org/fr/impact/democratie-et-parlements-forts/lintelligence-artificielle ou contacter [email protected].