Dix-huit pays, dont les Etats-Unis, le Royaume-Uni et la France, ont dévoilé un accord international pour aider les entreprises à créer des systèmes d’IA « secure by design ». La Belgique absente.

« Ces nouvelles lignes directrices sont les premières du genre à être convenues à l’échelle mondiale », se félicite le National Cyber Security Centre britannique, qui a élaboré le Guidelines for secure AI system development avec son homologue américain, la CISA.

Trois semaines après le premier sommet international sur l’intelligence artificielle, 18 pays ont signé dimanche 26 novembre un accord non contraignant sur des « lignes directrices pour le développement sécurisé de systèmes d’IA ». Celui-ci prévoit notamment, à travers son guide, d’inciter les entreprises du secteur à créer des modèles « secure by design ».

Ce texte a été signé par les agences de cybersécurité de dix-huit pays, dont l’Allemagne, la France et la Grande-Bretagne pour l’Europe ; la NSA, l’un des services de renseignements américains, fait aussi partie des signataires. En revanche, aucun organisme chinois n’a paraphé ce texte, même si le pays était bien présent au sommet de Bletchley Park. La Belgique était absente.

Sécurité de l’IA, une exigence fondamentale

Les auteurs ont principalement destiné ces lignes directrices aux fournisseurs de systèmes d’IA qui utilisent des modèles hébergés par une organisation (ou qui utilisent des API externes), tout en exhortant toutes les parties prenantes (y compris les data scientists, les développeurs, les gestionnaires, les décideurs et les propriétaires de risques) à s’investir dans le « secure by design ».

Les systèmes d’IA sont soumis à de nouvelles vulnérabilités de sécurité qui doivent être prises en compte parallèlement aux menaces de cybersécurité classiques, rappelle la NCSC. Lorsque le rythme de développement est élevé -comme c’est le cas pour l’IA- la sécurité peut souvent passer au second plan. La sécurité doit être une exigence fondamentale, non seulement pendant la phase de développement, mais tout au long du cycle de vie du système. Pour cette raison, les lignes directrices sont divisées en quatre domaines clés au sein du cycle de vie du développement du système d’IA : conception sécurisée, développement sécurisé, déploiement sécurisé, exploitation et maintenance sécurisées.

Pas de mesures contraignantes

Cet accord s’inscrit dans une volonté, affichée par les responsables politiques, de collaboration internationale face aux progrès rapides de l’IA. Mais il illustre aussi l’absence de mesures concrètes et contraignantes pour les entreprises du secteur. En Europe, le projet de régulation AI Act reste encore en négociations entre les différentes institutions, sans grande avancée récente en raison de la réticence de certains pays à trop réglementer par rapport aux grandes puissances comme les Etats-Unis et la Chine…