Le pari de la cybersécurité de la loi sur l’IA de l’UE : Les hackers n’ont pas besoin de permission
À mesure que le développement de l’IA progresse, son utilisation dans la cybersécurité devient inévitable – elle peut aider à détecter et à prévenir les menaces cybernétiques de manière sans précédent.
Cependant, il existe un revers : les acteurs malveillants peuvent également utiliser l’IA pour développer des méthodes d’attaque plus sophistiquées, renforçant ainsi leurs activités illicites. Et les criminels ne se soucient généralement pas de respecter des contraintes sur l’utilisation de cette technologie.
Alors que l’UE avance avec la loi sur l’IA, de nombreuses personnes dans l’industrie se demandent : cette réglementation aidera-t-elle réellement à rendre l’Europe plus sûre ? Ou deviendra-t-elle un obstacle, créant de nouveaux défis pour les entreprises qui tentent d’exploiter l’intelligence artificielle pour se protéger ?
Les mesures de cybersécurité de la loi sur l’IA
La loi sur l’IA de l’UE est le premier cadre réglementaire majeur à établir des règles claires pour le développement et le déploiement de l’IA. Parmi ses nombreuses dispositions, la loi aborde directement les risques de cybersécurité en introduisant des mesures visant à garantir que les systèmes d’IA soient sécurisés et utilisés de manière responsable.
Elle le fait en introduisant une classification des applications d’IA basée sur le risque, chaque classe ayant des exigences de conformité différentes. Naturellement, les systèmes à plus haut risque – ceux qui pourraient affecter négativement la santé et la sécurité des personnes – sont soumis à des exigences de sécurité et de transparence plus strictes.
De plus, les systèmes d’IA doivent subir des tests de sécurité obligatoires réguliers pour identifier les vulnérabilités et réduire les chances d’exploitation par des cybercriminels. En même temps, cela établit de meilleures obligations de transparence et de reporting. Ces mesures sont de solides premiers pas vers la structuration de cette industrie et sa légitimation.
Cependant, en ce qui concerne la cybersécurité, cette approche présente ses complications et inconvénients.
Exiger que les systèmes d’IA subissent de nombreux contrôles et certifications signifie qu’en pratique, la publication des mises à jour de sécurité est considérablement ralentissante. Si chaque modification des mesures de sécurité basées sur l’IA nécessite un long processus d’approbation, cela laisse aux attaquants amplement le temps d’exploiter des faiblesses connues tandis que les entreprises ciblées sont coincées dans la bureaucratie et restent vulnérables.
De plus, la question de la transparence est également une épée à double tranchant, selon la façon dont on la considère. La loi sur l’IA exige que les développeurs divulguent des détails techniques sur leurs systèmes d’IA aux organismes gouvernementaux afin d’assurer la responsabilité. Un point valide, certes, mais cela introduit une autre vulnérabilité critique : si ce type d’information fuit, il pourrait tomber entre les mains d’acteurs malveillants, leur fournissant effectivement une carte pour exploiter les systèmes d’IA. Cela viole l’un des principes fondamentaux de la sécurité : la sécurité par l’obscurité.
La conformité comme source de vulnérabilité ?
Il y a une autre couche de risque que nous devons examiner de plus près : le mentalité de conformité.
Plus la réglementation devient stricte, plus les équipes de sécurité se concentreront sur la construction de systèmes qui répondent aux cases juridiques plutôt qu’aux menaces du monde réel. Il y a un très grand risque que cela aboutisse à des systèmes d’IA qui sont techniquement conformes mais opérationnellement fragiles.
Les systèmes construits pour la conformité partageront inévitablement des modèles, et une fois que les acteurs malveillants auront connaissance de ces modèles, il leur sera d’autant plus facile d’ingénier des exploits autour d’eux. Résultat final ? Des systèmes construits de manière similaire restent également sans défense.
En outre, puisque la loi exige une supervision humaine des décisions d’IA, il existe une possibilité d’exploitation via l’ingénierie sociale. Les attaques peuvent cibler les examinateurs humains eux-mêmes, qui, au fil du temps, peuvent commencer à approuver automatiquement les décisions prises par les systèmes d’IA. Cela est particulièrement vrai dans des environnements à volume élevé comme la surveillance des transactions — nous commençons déjà à voir des signes de cela dans la conformité bancaire, où la fatigue de supervision peut facilement conduire à des erreurs de jugement.
Un autre exemple de blocages de sécurité causés involontairement par la loi sur l’IA serait la technologie biométrique. Bien que les restrictions sur la reconnaissance faciale soient destinées à protéger la vie privée des citoyens, elles limitent également la capacité des forces de l’ordre à suivre et à appréhender les criminels utilisant des méthodes de surveillance avancées.
Cela affecte également les technologies à double usage — des systèmes développés pour des applications civiles et militaires. Bien que les systèmes militaires d’IA soient formellement exclus de la loi, l’écosystème environnant qui contribue à leur développement est désormais gravement restreint. Cela freine le développement d’outils de défense de nouvelle génération qui pourraient avoir de larges avantages civils.
Les défis auxquels les entreprises seront confrontées
En revenant à la dimension commerciale, nous devons accepter que la loi sur l’IA présente des obstacles en matière de conformité à ces règles. Pour les PME, en particulier, cela peut représenter un défi de taille, car elles manquent souvent des ressources des grandes entreprises pour se consacrer à la conformité.
Les tests de sécurité, les audits de conformité, les consultations juridiques — tout cela nécessite des investissements substantiels. Cela risque de créer un scénario où de nombreuses entreprises sont contraintes de réduire l’adoption de l’IA, freinant l’avancement de ce secteur. Il est très probable qu’elles quittent l’UE pour avancer leurs opérations dans d’autres juridictions plus accueillantes.
Du point de vue de la cybersécurité, un tel recul serait très dangereux. Je ne pense pas qu’il soit nécessaire de le dire, mais les criminels ne se soucient évidemment pas de la conformité — ils sont libres d’innover l’utilisation de l’IA à la vitesse qu’ils souhaitent, ce qui, à ce rythme, dépassera rapidement celle des entreprises légitimes.
À mon avis, il ne faudra pas longtemps avant que le processus de découverte et d’exploitation des vulnérabilités puisse être réalisé en quelques heures, voire en quelques minutes. Pendant ce temps, les parties défensives seraient coincées à re-certifier leurs systèmes pendant des jours ou des semaines avant que les mises à jour de sécurité puissent être mises en ligne.
L’ingénierie sociale est également sur le point de devenir plus dangereuse que jamais. Avec le pouvoir de l’IA de leur côté, les attaquants pourraient extraire des données d’employés à partir de profils publics, puis créer des messages de phishing ciblés ou même générer des appels téléphoniques en temps réel en deepfake pour exploiter le côté humain des systèmes de sécurité. Ce ne sont pas des scénarios hypothétiques — les deepfakes sont déjà de plus en plus utilisés comme des armes.
Comment les entreprises peuvent-elles intégrer les directives de la loi sur l’IA – sans perdre du terrain ?
Ainsi, comme nous le voyons, de nombreux défis nous attendent. Et pourtant, malgré ses imperfections, la loi sur l’IA n’est pas quelque chose que les entreprises peuvent simplement ignorer. Que peut-on donc faire ? À mon avis, la conformité doit devenir plus intelligente, pas plus difficile. Une approche plus proactive consisterait à construire des systèmes d’IA en tenant compte des réglementations dès le départ plutôt que de les adapter par la suite.
Il est également logique de participer à des événements sectoriels, de partager les meilleures pratiques et les tendances émergentes en matière de cybersécurité et de conformité en général.
En fin de compte, la loi sur l’IA vise à apporter de l’ordre et de la responsabilité au développement de l’IA. Mais en ce qui concerne la cybersécurité, elle introduit également de sérieux frottements et risques. Si l’objectif est de maintenir la sécurité en Europe, alors la réglementation doit évoluer aussi rapidement que la technologie qu’elle cherche à gouverner.
Car en ce moment, les défenseurs jouent au rattrapage.
