L’intégration de l’intelligence artificielle dans les opérations de base des organisations nécessite une attention particulière à la sécurité. Le standard ETSI EN 304 223 établit des exigences de sécurité de base pour l’IA que les entreprises doivent intégrer dans leurs cadres de gouvernance. Cette norme européenne définit des dispositions concrètes pour sécuriser les modèles et systèmes d’IA, couvrant notamment les réseaux neuronaux profonds, l’IA générative et les systèmes prédictifs de base.
Un point clé du standard est la clarification de la chaîne de responsabilité pour la sécurité de l’IA. Il définit trois rôles techniques principaux : les Développeurs, les Opérateurs de Systèmes et les Gardiens de Données. Il est essentiel pour les entreprises de clarifier qui détient le risque et quelles sont les obligations de chacun des acteurs concernant la sécurité de l’IA.
Le standard ETSI met en évidence l’importance de l’intégration de la sécurité dès la phase de conception. Les organisations doivent effectuer une modélisation des menaces pour anticiper les attaques spécifiques à l’IA et limiter la surface d’attaque en restreignant les fonctionnalités inutiles. De plus, une gestion stricte des actifs et une planification des mesures de reprise après incident sont nécessaires pour assurer la sécurité des modèles d’IA.
La sécurité de la chaîne d’approvisionnement est également un point crucial abordé par le standard. Les opérateurs de systèmes doivent justifier l’utilisation de modèles ou composants d’IA non documentés et documenter les risques de sécurité associés. Les équipes d’approvisionnement ne peuvent plus accepter des solutions « boîte noire » et doivent exiger des preuves d’authenticité pour les composants de modèles d’IA.
La surveillance continue est un autre aspect clé du standard. Les opérateurs de systèmes doivent analyser les journaux pour détecter les changements subtils de comportement des systèmes d’IA qui pourraient indiquer une violation de sécurité. Cette approche transforme la surveillance de l’IA d’une simple mesure de performance en une discipline de sécurité.
Enfin, la gouvernance et la supervision exécutives sont essentielles pour garantir la conformité avec le standard ETSI EN 304 223. Les programmes de formation en cybersécurité doivent être adaptés aux rôles spécifiques, et les développeurs doivent être sensibilisés à la programmation sécurisée pour l’IA. Une attention particulière doit être portée à la formation des développeurs sur la sécurité de l’IA et à la sensibilisation du personnel aux menaces potentielles.
En conclusion, l’application des principes de sécurité de base définis par le standard ETSI dans le domaine de l’IA offre un cadre pour l’innovation plus sûre. En établissant des pistes d’audit documentées, des définitions claires des rôles et une transparence dans la chaîne d’approvisionnement, les entreprises peuvent atténuer les risques liés à l’adoption de l’IA tout en se préparant à d’éventuelles audits réglementaires.