Comme toute nouvelle technologie, l’intelligence artificielle n’a pas tardé à intéresser les pirates et autres cybercriminels. Arnaud Tanguy, expert cybersécurité et président du Cercle de la Donnée, nous éclaire alors sur les défis à relever et les meilleures pratiques à adopter. Ses conseils ? Rester vigilant sur les modèles et les fournisseurs utilisés, adapter la confidentialité des données partagées selon la confiance que l’on place dans ses fournisseurs et faire attention aux résultats que nous fournit l’IA…
Catégorie
🗞
NewsTranscription
00:00On termine cette édition avec Arnaud Tanguy. Bonjour Arnaud. Bonjour Delphine. Je rappelle
00:10que vous êtes le président du Cercle de la Donnée, expert en cybersécurité. Aujourd'hui
00:13justement on va faire un focus sur cette sécurité autour des IA génératives. Alors certains
00:18considèrent qu'ils ne peuvent déjà plus se passer de Chajipiti, Claude ou Mistral dans leur quotidien.
00:23Pourtant l'adoption de ces technologies elle pose quand même d'importantes questions notamment en
00:29matière de protection des informations. Alors quels sont les principaux risques Arnaud ? Alors
00:33oui Delphine, depuis l'adoption massive de ces nouvelles technologies, comme toute technologie,
00:39elle a attiré l'attention de Pirates. Pourquoi ? Parce qu'on manipule de grands volumes de données
00:43d'une part et puis les entreprises, les particuliers ont une tendance à accroître la sensibilité des
00:49données qui sont confiées, voire des données confidentielles voire même des données intimes.
00:53Alors on peut catégoriser ces risques en trois grandes familles. Le premier c'est le risque de
00:58manipulation. Un peu à l'image d'un chef d'orchestre auquel vous fournissez une partition qui
01:03serait erronée, et bien vous aboutiriez à une cacophonie ou quelque chose qui n'était pas attendu.
01:08C'est un peu ce que font les Pirates. Dans le fameux prompt, ils vont saisir des fausses commandes pour
01:13rendre le comportement dangereux de l'IA. Le deuxième type d'attaque est celle par
01:19infection. C'est-à-dire lors de la phase d'entraînement de l'IA, on va injecter des données qui paraissent
01:25saines d'extérieur, un peu à l'image du cheval de Troyes de l'Iliade, et lors de l'exécution de
01:31celle-ci, elles vont avoir un comportement dangereux pour l'IA, voire même à l'image d'Ulysse sortant
01:36du cheval, créer des portes dérobées. La troisième famille, certainement la résultante des deux
01:42premières, est l'exfiltration des données. C'est la finalité, c'est ce que les Pirates cherchent à
01:47avoir, c'est-à-dire accéder au contenu des données, données d'entraînement fort volume, données saisies
01:53par les collaborateurs ou par les utilisateurs, et le contenu de l'IA elle-même, parfois pour
01:59l'utiliser contre l'IA à des fins de sécurité. C'est un peu effrayant, j'espère que vous allez nous donner
02:06quand même quelques conseils pour sécuriser l'usage de ces IA génératifs de tout un chacun.
02:11Alors oui, déjà en tant qu'individu, une grande vigilance sur le choix du modèle. Là ce matin je
02:18regardais encore l'Apple Store et le Google Play, il y a une multitude d'applications copiant des fois
02:24éhontément le logo de Saatchi Petit ou de Gemini. Donc première recommandation, ne sélectionnez
02:30que des IA, donc des modèles et des fournisseurs de confiance. Le deuxième, soyez vigilant sur les
02:35données que vous fournissez. On ne fournit des données d'une nature confidentielle que s'il en a
02:41confiance, soit d'un point de vue contractuel ou de sécurité, de l'IA à laquelle vous vous
02:45adressez. C'est particulièrement vrai dans des usages un peu mixtes, perso, pro. Je pense à des
02:50catégories de type les médecins, les notaires et un certain nombre de professions qui peuvent
02:55s'exposer à des risques réglementaires ou contractuels vis-à-vis de leurs propres clients.
02:59Et enfin, une vigilance d'usage. On est habitué aux hallucinations de l'IA qui va générer un texte faux.
03:06Et bien des fois cette cause-là est une cause de sécurité, de manipulation. Donc une grande
03:10vigilance sur ce que fournit l'IA. Alors vigilance, mais comment très concrètement les organisations
03:16peuvent se protéger, vérifier finalement qu'elles ont un usage éthique et sécurisé de ces IA ?
03:21Alors il y a déjà une dimension technique et là je ne vais pas l'aborder aujourd'hui. Il y a des guides
03:24très bien qui existent. Je fais un peu la promotion de l'ANSI, de l'Agence nationale de sécurité des
03:30systèmes d'information, qui a fourni un guide technique extrêmement bien fait à destination
03:36de vos équipes techniques informatiques et sécurité. Non, je vous propose plutôt une méthodologie.
03:41Une méthodologie en quatre étapes. Éduquer, anticiper, agir et contrôler. Éduquer l'ensemble de
03:51la population de vos utilisateurs à l'usage, aux bons usages. Donc l'usage pour en tirer le meilleur
03:56mais aussi pour l'utiliser de manière sécurisée. C'est valable aussi pour vos équipes IT et
04:00sécurité qui découvrent parfois un nouveau monde. Deuxième, c'est l'anticipation. Je parlais de la
04:05sélection des fournisseurs, ça c'est clé aussi en entreprise. Mais lorsque vous développez vous-même
04:11vos modèles, appliquer des mesures techniques, c'est important. Troisième, c'est agir. Tout au
04:16long du cycle de vie, soyez vigilant. Les utilisateurs vont vous dire s'il y a des
04:21erreurs. De la même manière, vous mettez en place des mesures de sécurité pour accéder aux données.
04:26Et enfin, c'est contrôler. On ne peut pas maîtriser quelque chose que l'on ne mesure pas. Donc mettez
04:32en place des mesures de sécurité. On a l'habitude de voir des tests d'intrusion faits par des hackers
04:38éthiques. Ça existe maintenant pour l'IA tester. Donc aucune fatalité, il y a des risques, mais vous
04:44pouvez y aller, éduquer, anticiper, agir et contrôler. Super, merci pour tous ces outils et ces conseils.
04:50Merci beaucoup Arnaud Tanguy. Je rappelle que vous êtes le président du Cercle de la Donnée, un expert
04:55en cybersécurité. Merci à tous de nous avoir suivis. C'était Smartech. Merci d'être très fidèle devant
05:01votre téléviseur sur la chaîne Bsmart4Change et puis aussi de nous suivre en podcast et sur les
05:06réseaux sociaux. Je vous dis à très bientôt pour de nouvelles histoires sur la tech.