Menu principal
Dans ce contexte, les entreprises doivent concilier innovation et sécurité, tout en respectant un cadre réglementaire européen en pleine évolution.
L’Intelligence Artificielle générative, moteur d’accélération des risques pour les entreprises :
1. Un vecteur de simplification des cybermenaces externes
Grâce à ses capacités d’automatisation de traitement de données à grande échelle et d’apprentissage autonome, l’IA générative permet aujourd’hui de concevoir des attaques plus efficaces, ciblées et difficile à détecter.
Parmi les pratiques, le phishing (ou l’hameçonnage en français) ne cesse de gagner en crédibilité, l’IA permettant de générer de façon automatique tous types de contenus, tels que des deepfakes personnalisés.
Les virus polymorphes sont capables de muter leur signature pour échapper aux détections. Ils ont la capacité de modifier leur empreinte numérique pour ne pas être repérés par l’antivirus.
L’empoisonnement des données vient également altérer les prédictions d’un système d’intelligence artificielle s’appuyant sur le machine learning.
D’autres types d’attaques peuvent aussi permettre de s’emparer de données confidentielles, de perturber le processus de classification des données, ou d’effectuer une ingénierie inversée du modèle afin de le répliquer.
2. Un vecteur de risque interne
L’usage de l’IA générative par les développeurs informatiques pour générer du code servant au développement d’applications métiers, est susceptible d’accroitre le risque de failles de sécurité du logiciel et l’exploitation de vulnérabilités par les cyberattaquants des systèmes d’IA.
Selon le Laboratoire d’innovation numérique de la CNIL, il existe trois grandes familles d’attaques de systèmes d’IA :
Les attaques par manipulation, qui ont pour objectif de contourner les résultats attendus ou d’induire des actions imprévues pour que le système d’IA effectue des tâches inattendues.
Les attaques par infection qui visent à compromettre la fiabilité des décisions produites par l’IA en compromettant les données utilisées pour l’entrainement du modèle, notamment par des attaques par empoisonnement via des logiciels malveillants.
Les attaques par exfiltration qui ont pour objectif l’appropriation des données des systèmes d’IA, portant ainsi atteinte à la confidentialité des informations de l’entreprise et au respect de la vie privée des personnes concernées.
Ainsi, face à ces risques, les entreprises doivent adopter une approche raisonnée dans la mise en œuvre et le déploiement de systèmes d’IA afin de prévenir les atteintes à la sécurité de leurs systèmes d’informations.
L’IA générative, une opportunité encadrée
1. L’encadrement normatif européen renforcé
Le Groupe d’Experts de haut niveau sur l’IA (GEHN IA) constitué par la Commission décrit sept principes éthiques destinés à rendre l’IA digne de confiance : action humaine et contrôle humain ; robustesse technique et sécurité ; respect de la vie privée et gouvernance des données ; transparence ; diversité, non-discrimination et équité ; bien-être sociétal et environnemental ; et responsabilité.
Le règlement européen sur l’IA établit des règles harmonisées pour la mise sur le marché et l’utilisation des systèmes d’IA dans l’UE en mettant en place notamment une obligation de vigilance à la charge des fournisseurs et des déployeurs de systèmes d’IA, tout particulièrement pour les systèmes d’IA à haut risque.
Les entreprises doivent ainsi classifier leurs systèmes d’IA et adapter leurs pratiques selon le niveau de risque. Concrètement, elles doivent procéder à une analyse interne en procédant à une cartographie de leurs applications, une évaluation des risques spécifiques liés à l’IA envisagée et procéder à des analyses d’impact.
Il est nécessaire de mettre en place des mesures de transparence, particulièrement pour les systèmes d’IA générative utilisés pour générer ou manipuler des contenus, et de prévoir des explications sur les décisions fondées sur leur système d’IA à haut risque, du fait de leur impact sur les droits des utilisateurs.
En outre le règlement européen impose que les systèmes d’IA soient encadrés par un processus de gestion des risques planifié, évolutif et mis à jour régulièrement, de la phase d’entrainement jusqu’à son déploiement. Cela vise à garantir une meilleure anticipation des menaces cyber et réduit les risques notamment via une conception sécurisée par défaut (security by design). Cette logique rejoint les exigences du RGPD, de la Directive NIS2 en cours de transposition ou du Règlement DORA applicable au secteur financier et de l’assurance.
Sur le plan humain, le règlement sur l’IA impose de former et de responsabiliser les personnes impliquées.
2. Sécuriser l’IA tout au long de son cycle de vie
Les entreprises doivent redoubler de vigilance dans la protection de leurs systèmes afin de lutter efficacement contre la compromission de leurs infrastructures d’hébergement de données ou de leur chaine d’approvisionnement.
Au stade de la prévention du risque, la mise en place d’une procédure destinée à évaluer et suivre la conformité en interne des systèmes d’IA est un enjeux clé pour les entreprises.
La mise en place de politiques internes destinées à encadrer l’utilisation de l’IA par les salariés ou encore le contrôle systématique de toute nouvelle application introduite sur le système d’information de l’entreprise afin d’éradiquer le shadow IA sont des facteurs de diminution des risques.
La mise en œuvre concrète des exigences réglementaires implique pour les entreprises de prendre en compte les recommandations produites par les régulateurs, sources d’informations précieuses pour anticiper les risques.
L’ANSSI a publié un guide de recommandations de sécurité pour les systèmes d’IA générative le 29 avril 2024. Ce guide propose une série de mesures pour sécuriser ces systèmes tout au long de leur cycle de vie, depuis l’entraînement jusqu’à la production.
On y trouve ainsi des recommandations générales visant à intégrer la sécurité dès la conception et dans toutes les phases du projet de développement d’un système d’IA ; mais également en phases d’entrainement, de déploiement et de production.
L’ANSSI recommande par exemple de prévoir des audits de sécurité avant déploiement en production ou encore journaliser l’ensemble des traitements réalisés au sein du système d’IA.
En février 2025, lors du Sommet de l’IA, l’ANSSI a publié le guide : « Développer la confiance dans l’IA à travers une approche par les risques cyber », où elle élabore des bonnes pratiques pour un déploiement sécurisé des systèmes d’IA, donnant ainsi des orientations à destination des développeurs, des fournisseurs et des décideurs.
Outre la mise en place d’un processus de veille technologique et réglementaire, elle recommande de procéder à un contrôle strict des chaînes d’approvisionnement en cartographiant les composants logiciels, en vérifiant la fiabilité des fournisseurs, et en protégeant les données d’entraînement contre l’empoisonnement.
En matière de protection des données personnelles, la CNIL exige de décliner les principes du RGPD aux usages de l’IA. Elle a publié le 7 février 2025 plusieurs recommandations pour la mise en place d’un système d’IA en donnant des bonnes pratiques visant notamment à l’information des personnes concernées qui voient leurs données intégrées dans une base de données d’apprentissage. En outre, elle invite les fournisseurs à anonymiser les données d’entrainement ou, à défaut de pouvoir le faire, à s’assurer que le modèle d’IA est anonyme à l’issu de son entrainement.
Dans la mise en œuvre de ces bonnes pratiques, le suivi de la conformité implique l’évaluation régulière de la conformité et de la résilience des systèmes mis en place.