La Loi sur l’IA de l’UE : Ce qu’elle signifie et comment s’y conformer
Avec l’entrée en vigueur des derniers articles de la Loi sur l’Intelligence Artificielle (IA) de l’Union Européenne (UE) le 2 août, une attention accrue est portée sur les mesures de sécurité concernant les cas d’utilisation de l’IA, notamment ceux désignés comme « à haut risque ».
Considérée comme l’une des réglementations les plus avancées en matière d’IA, cette loi établit une norme pour la région européenne en matière d’utilisation de l’IA de manière sûre et éthique, mais les organisations devront disposer d’une feuille de route claire pour garantir leur conformité. Cet article aborde les principales questions liées à la loi.
Comment la loi réécrit les règles de la cybersécurité
La Loi sur l’IA de l’UE renforce la résilience cybernétique en imposant des protections techniques spécifiques à l’IA. Premier de son genre, cet acte exige des protections contre le poisonnement des données, le poisonnement des modèles, les exemples adverses, les attaques sur la confidentialité et les défauts des modèles.
Bien que cela soit prometteur, ce sont les actes délégués qui définiront ce à quoi la résilience ressemblera en pratique. Par conséquent, le véritable fardeau de conformité sera déterminé par des spécifications techniques qui n’existent pas encore. Ces spécifications définiront par exemple la signification pratique d’un « niveau de cybersécurité approprié ».
Ce que nous savons avec certitude, c’est que la loi impose des exigences de sécurité tout au long du cycle de vie des systèmes désignés comme « à haut risque ». Cela signifie que les organisations ayant des solutions d’IA considérées comme à haut risque doivent atteindre et maintenir des niveaux appropriés de précision, de robustesse et de cybersécurité à chaque étape du cycle de vie du produit.
Cette assurance continue, plutôt que des audits ponctuels et des vérifications de conformité, nécessite l’établissement d’une pratique DevSecOps continue, plutôt qu’une certification unique. Les organisations devront construire des pipelines qui surveillent, enregistrent, mettent à jour et rapportent automatiquement leur posture de sécurité en temps réel.
Devenir conforme
Les organisations doivent adopter une approche structurée pour s’assurer qu’elles se conforment à la Loi sur l’IA de l’UE, en commençant par une classification des risques initiale et une analyse des lacunes pour cartographier chaque système d’IA par rapport à l’Annexe III de la loi. Une fois les cas d’utilisation à haut risque identifiés, l’audit peut commencer en vérifiant les contrôles de sécurité existants par rapport aux exigences des articles 10 à 19.
La prochaine étape consistera à établir des structures de gouvernance robustes pour l’IA. Pour y parvenir, les organisations devront investir dans une équipe interdisciplinaire d’experts issus des domaines juridique, de la sécurité, de la science des données et de l’éthique.
Ces équipes d’experts seront les mieux placées pour concevoir des procédures claires pour la gestion des modifications. Cela ne concerne pas seulement l’ajout de rôles de conformité – cela nécessite des changements fondamentaux dans les cycles de développement de produits, avec des considérations de sécurité et de conformité intégrées dès la conception initiale jusqu’aux opérations en cours.
Les défis à surmonter
Malgré tous les aspects prometteurs, plusieurs limitations pourraient entraver l’efficacité des réglementations sur la sécurité de l’IA. Une préoccupation principale est l’évolution rapide des menaces inhérentes au paysage de l’IA. De nouveaux vecteurs d’attaque peuvent émerger plus rapidement que les règles statiques ne peuvent être mises à jour, nécessitant des révisions régulières par le biais d’actes délégués.
Des lacunes significatives en matière de ressources et d’expertise pourraient également poser un défi, car les autorités nationales et les organismes notifiés auront besoin de financements adéquats et de personnel hautement qualifié pour mettre efficacement en œuvre et faire respecter ces réglementations.
Seul le temps nous dira à quel point ces nouvelles mesures seront efficaces, mais une chose est certaine : cette législation révolutionnaire marquera une nouvelle ère pour l’IA et la cybersécurité.
Les organisations cherchant à exploiter des solutions d’IA devraient prioriser la sécurité holistique et la résilience cybernétique dans leurs pratiques et considérer la conformité non pas comme un simple exercice de vérification, mais comme un changement fondamental dans la manière dont les systèmes sont construits et les produits sont mis sur le marché.
