Cybersécurité et IA : 58% des entreprises redoutent la fuite de données confidentielles (Kaspersky)

Alors que l’intelligence artificielle révolutionne les modèles d’affaires, elle devient aussi une arme à double tranchant. Selon une étude récente de Kaspersky, 58% des entreprises dans le monde craignent avant tout la perte de données personnelles face aux attaques basées sur l’IA. Un chiffre alarmant qui met en lumière la vulnérabilité croissante des systèmes face aux usages malveillants de cette technologie. À cela s’ajoutent 52 % des entreprises qui redoutent une perte de confiance de leurs clients, et autant qui anticipent des dommages financiers directs. Le tableau est d’autant plus préoccupant que 41 % des organisations avouent ne pas disposer de l’expertise nécessaire pour anticiper ou comprendre les menaces extérieures liées à l’intelligence artificielle. Un déficit de compétences qui pourrait amplifier l’exposition aux risques si aucune action n’est engagée.



Kaspersky prône donc des recommandations claires pour le développement et l'utilisation éthiques de l'IA afin de prévenir efficacement toute manipulation et tout abus. En 2024, Kaspersky a signé le Pacte sur l'IA de la Commission européenne, une initiative visant à préparer les organisations à la mise en œuvre de la loi sur l'IA – le premier cadre juridique global sur l'IA au monde, adopté par l'Union européenne (UE). En décembre de la même année, Kaspersky a également présenté ses lignes directrices pour le développement et le déploiement sécurisés des systèmes d'IA lors d'un atelier organisé au Forum sur la gouvernance de l'Internet (FGI) 2024 à Riyad.

La transparence, la sécurité, le contrôle et la protection des données comme pierres angulaires d'une utilisation éthique de l'IA

Pour soutenir l’adoption d’une IA éthique, Kaspersky a développé des recommandations et des principes pour son utilisation responsable. Les recommandations pour le développement et le déploiement sécurisés des systèmes d'IA abordent les aspects clés du développement, du déploiement et de l'exploitation des systèmes d'IA, notamment la conception, les bonnes pratiques de sécurité et l'intégration, sans se concentrer sur le développement de modèles fondamentaux.

Parmi ces aspects figurent :

• Sensibilisation et formation à la cybersécurité : Kaspersky met l'accent sur l’accompagnement de la direction et la formation spécialisée des employés. Ils doivent comprendre les menaces liées à l'IA grâce à des formations régulièrement mises à jour et adaptées aux nouveaux risques.
• Modélisation des menaces et évaluation des risques : La modélisation proactive des menaces (par exemple, STRIDE, OWASP) permet d'identifier les vulnérabilités en amont. Kaspersky souligne l'importance d'évaluer les risques tels que l'empoisonnement des données et l'utilisation abusive des modèles.
• Sécurité de l'infrastructure (cloud) : Une sécurité cloud renforcée est essentielle. Kaspersky recommande le chiffrement, la segmentation du réseau, le principe de Zero trust et l'application régulière de correctifs pour prévenir les failles.
• Sécurité de la supply chain et des données : Les outils d'IA tiers présentent des risques pour les données et la confidentialité. Kaspersky recommande des audits stricts, l'utilisation de capteurs de sécurité et des politiques de confidentialité strictes pour prévenir les abus.
• Tests et validation : La validation continue des modèles détecte les problèmes tels que la dérive des données et les attaques adverses. Kaspersky recommande la surveillance, le partitionnement des jeux de données et la révision de la logique de décision.
• Défense contre les attaques spécifiques au Machine Learning : Pour se prémunir contre les attaques telles que l'injection de prompt ou les entrées adversariales, Kaspersky suggère un entraînement avec des exemples adversariaux, la détection des anomalies et la distillation des modèles.
• Mises à jour de sécurité et maintenance régulières : La mise à jour fréquente des outils d’IA et la participation à des programmes de bug bounty (chasse aux failles) permettent de corriger les vulnérabilités et de renforcer la résilience des systèmes.
• Conformité aux normes internationales : Kaspersky insiste sur le respect des standards mondiaux (par exemple le RGPD, l’AI Act européen) ainsi que sur la réalisation d’audits réguliers afin de garantir la conformité légale, éthique et en matière de protection de la vie privée.

Les « Principes d'utilisation éthique des systèmes d'IA en cybersécurité » préconisent une meilleure éducation et des normes claires axées sur la transparence, la sécurité, le contrôle humain et la protection des données, afin de prévenir efficacement la manipulation et l'utilisation abusive des applications d'IA.

Ces principes incluent :

• Transparence : Informer les clients de l’utilisation de l’IA et du Machine Learning ; expliquer leur fonctionnement ; développer des systèmes aussi interprétables que possible ; et mettre en place des mécanismes de contrôle pour garantir des résultats valides.
• Sécurité : Prioriser la sécurité tout au long du développement et du déploiement ; effectuer des contrôles de cybersécurité spécifiques ; minimiser la dépendance aux données d’apprentissage externes ; mettre en œuvre des stratégies de protection multicouches ; et privilégier les solutions cloud dotées de garanties appropriées.
• Contrôle humain : Assurer la supervision humaine de tous les systèmes d’IA/ML ; assurer une surveillance continue par des spécialistes ; et combiner algorithmes et expertise humaine.
• Protection des données : Respecter la confidentialité des données personnelles ; limiter et réduire le traitement des données ; pseudonymisation ou anonymisation ; garantir l’intégrité des données ; et appliquer des mesures techniques et organisationnelles pour protéger la confidentialité.