L'IA sera bientôt profondément ancrée dans les fondements des entreprises - et nous ne pouvons pas nous permettre de faire de la sécurité de l’IA une adaptation à posteriori.

Le 06 mai 2024, par Kevin Skapinetz, Vice President, Security Strategy, IBM : L'IA générative recèle un énorme potentiel pour transformer les opérations commerciales et notre vie quotidienne. Mais en fin de compte, le potentiel de l'IA repose sur la confiance. Si la confiance dans l'IA est compromise, cela pourrait freiner les investissements, son adoption et notre capacité à compter sur ces systèmes pour atteindre l'objectif prévu - transformant la promesse de l'IA en passif et en coûts irrécupérables.

Tout comme l'industrie s'est efforcée de sécuriser les serveurs, les réseaux, les applications et le Cloud dans le passé, l'IA est la prochaine grande plateforme que nous devons sécuriser. Mais cette fois, nous ne pouvons pas nous permettre d'échouer. En effet, l'IA générative sera bientôt profondément ancrée dans le tissu même de l'entreprise - la base sur laquelle reposent les décisions critiques, les opérations et les interactions avec les clients. Si nous n'intégrons pas la sécurité à cette base dès le départ, des abus de confiance réguliers peuvent rapidement l'éroder.

C'est pourquoi nous devons intégrer la sécurité dans nos modèles d'IA et dans la couche d'applications qu'elle révolutionne aujourd'hui - alors que nous sommes encore au début de sa courbe d'adoption. En d'autres termes, la sécurité doit être prise en compte par les équipes concernées au fur et à mesure que les entreprises progressent dans la planification et les investissements en matière d’IA.

Alors que beaucoup considèrent la sécurité comme un obstacle à ce cheminement, nous pensons que la sécurité peut réellement contribuer à créer la confiance nécessaire pour accélérer les cas d'usage de l'IA en passant plus rapidement des proof-of-concept à la production.

Pour que cela devienne une réalité, IBM publie de nouvelles données afin de mieux comprendre les perspectives actuelles des décideurs lorsqu'il s'agit de sécuriser l'IA générative. En outre, nous avons publié un framework pour la sécurisation de l'IA générative afin d'aider les entreprises à prioriser ces projets de sécurité. IBM propose également l'un des portefeuilles de données, d'IA et de sécurité les plus complets du secteur, conçu pour aider les entreprises à intégrer plus facilement la sécurité et la gouvernance dans les fondements de leurs activités alimentées par l'IA.

Une étude mondiale révèle le point de vue des décideurs sur la sécurisation de l'IA générative

Comme la plupart des projets d'IA sont menés par des équipes commerciales et opérationnelles, il est essentiel que les responsables de la sécurité abordent ces conversations dans une perspective axée sur les risques, avec une compréhension solide des priorités de l’organisation.

Une nouvelle étude[1] de l'IBM Institute for Business Value met en lumière les perspectives et les priorités des décideurs en matière de risques et d'adoption de l'IA générative, révélant un décalage alarmant entre les préoccupations en matière de sécurité et la nécessité d’innover rapidement. Alors que 82% des personnes interrogées reconnaissent que l'IA sécurisée et digne de confiance est essentielle à la réussite de leur entreprise - 69% d'entre elles affirment encore que l'innovation prime sur la sécurité.

L'étude a également révélé que l'une des principales préoccupations des dirigeants est qu'ils ne savent pas ce qu'ils ne savent pas, l'IA générative représentant un nouveau champ de risques et d'opportunités:

• La plupart des dirigeants interrogés s'inquiètent des risques de sécurité nouveaux et imprévisibles résultant de l'IA générative : 51 % des décideurs interrogés sont préoccupés par l'apparition de risques imprévisibles et de nouvelles vulnérabilités en matière de sécurité, et 47 % s'inquiètent de nouvelles attaques ciblant l'IA.

• Près de la moitié d'entre eux (47 %) ont exprimé leur incertitude quant à l'endroit et au montant à investir en ce qui concerne l’IA générative et leurs activités commerciales.

Bien que les dirigeants reconnaissent l'importance d'une IA sûre et fiable, la nature inconnue de cette nouvelle frontière pourrait les empêcher de prendre les mesures nécessaires pour sécuriser l'IA aujourd'hui. En fait, moins d'un quart (24 %) des personnes interrogées ont déclaré qu'elles incluaient la sécurité dans leurs projets actuels d'IA générative.

Un cadre d’analyse précis peut aider les entreprises à naviguer et à prioriser les investissements en matière de sécurité de l'IA en fonction du risque

Pour aider les organisations à mieux comprendre ces défis et à les relever, certains des principaux experts d'IBM ont créé un framework pour la sécurisation de l'IA générative. Ce cadre est conçu pour aider les entreprises à comprendre les menaces qu'elles sont le plus susceptibles de rencontrer lors de l'adoption de l'IA générative, et à prioriser les défenses en conséquence. Il peut également aider les entreprises à adopter une vision globale de la sécurisation de l'IA, avec trois piliers fondamentaux alignés sur les risques spécifiques à l'IA :

• Sécuriser les données : l'IA présente un risque accru pour la sécurité des données, des données hautement sensibles étant centralisées et accessibles à des fins de formation. Les entreprises doivent se concentrer sur la sécurisation des données d'apprentissage de l'IA sous-jacentes en protégeant les données sensibles contre le vol, la manipulation et les violations de la conformité.

• Sécuriser le développement du modèle : les applications basées sur l'IA étant conçues d'une manière totalement nouvelle, le risque d'introduire de nouvelles vulnérabilités augmente. La priorité est de sécuriser le développement des modèles d'IA en recherchant les vulnérabilités dans le pipeline, en renforçant les intégrations et en s’assurant de la bonne application des politiques de sécurité et d’accès aux systèmes d’information.

• Sécuriser l'utilisation : les attaquants chercheront à utiliser l'inférence des modèles pour détourner ou manipuler le comportement des modèles d'IA. Les entreprises doivent sécuriser l'utilisation des modèles d'IA en détectant les fuites de données ou de requêtes (prompts), et en alertant sur les attaques par évasion, empoisonnement, extraction ou inférence.

Au-delà de ces trois piliers, les responsables de la sécurité doivent garder à l’esprit que l'une des premières lignes de défense est une infrastructure sécurisée - et doivent optimiser la sécurité dans l'environnement plus large qui héberge les systèmes d'IA.

Avec les réglementations émergentes et le contrôle exercé par le public concernant une IA responsable, les organisations doivent également mettre en place une gouvernance robuste de l'IA pour gérer l'exactitude, la confidentialité, la transparence et l'explicabilité. Dans ce contexte, les organisations devraient chercher à fusionner plus étroitement les programmes de sécurité et de gouvernance des données, afin d'assurer la cohérence des politiques, de l'application et des rapports entre ces deux disciplines historiquement cloisonnées.

IBM aide ses clients à intégrer la sécurité dans leurs déploiements d'IA

IBM a des décennies de leadership à la fois dans la sécurité et dans l'IA pour les entreprises, ce qui nous permet d'offrir aux clients à la fois l'expertise et un portefeuille robuste de technologies et de services pour les aider à sécuriser leurs parcours vers l'IA. IBM s'engage à proposer des offres qui renforcent la confiance et tirent parti d'une architecture ouverte - facilitant la connexion entre les programmes de sécurité, de risque et de gouvernance.

• IBM Consulting Cybersecurity Services peut aider les organisations à gérer leurs transformations en matière d’IA avec la sécurité au premier plan, depuis la planification et le développement jusqu’au contrôle et à la gouvernance continus.

• IBM lance de nouveaux services IBM X-Force Red Testing pour l'IA, conçus pour tester la sécurité des applications d'IA générative, des pipelines MLSecOps et des modèles d'IA en se positionnant du point de vue des attaquants (« red teaming »). Fournie par une équipe spécialisée dotée d'une expertise approfondie dans les domaines de la science des données, du red teaming de l'IA et des tests d’intrusion des applications, cette approche permet d'identifier les faiblesses que les attaquants sont les plus susceptibles d'exploiter dans le monde réel d'aujourd'hui et d’y remédier.

• Le nouveau framework de gouvernance proactive d'IBM Consulting aide les organisations à obtenir une vision continue et complète des cyber-risques, alimentée par l'IA et l'automatisation. À l'ère de l'IA, il est essentiel de concevoir des modèles de gouvernance de l'IA robustes et de les intégrer aux programmes de cybersécurité pour aider à gérer les risques à l'échelle de l'entreprise, en particulier compte tenu de l'évolution des politiques et des réglementations.

• IBM Software aide ses clients à trouver, protéger et sécuriser l'accès aux données sensibles utilisées dans les déploiements d'IA, tout en sécurisant l'accès à ces systèmes. Parmi les deux éléments cruciaux, citons :

• Sécurité des données : notre portefeuille IBM Security Guardium aide à protéger les données où qu'elles se trouvent, y compris la gestion de la posture de sécurité des données conçue pour aider les entreprises à trouver les données sensibles "fantômes" (shadow data) et à gérer leur mouvement à travers les applications. Concernant l'avenir, nous nous efforçons d'étendre ces capacités pour aider les entreprises à trouver et à protéger les modèles d'IA utilisés au sein de leur entreprise, et à mieux comprendre les risques afin d'accélérer l'adoption.

• Identité et accès : les attaques basées sur l'identité ayant été le principal point d'entrée des attaquants l'année dernière[2], ce risque va encore s'accroître à mesure que l'IA rassemblera les données et la propriété intellectuelle les plus critiques des entreprises : il est donc crucial de protéger l'accès à ces systèmes. IBM Security Verify offre un ensemble complet de fonctionnalités de gestion des identités et des accès, conçues selon une approche ouverte et indépendante des fournisseurs, qui aide les entreprises à créer une "structure d'identité" plus cohérente pour gérer les risques liés aux identités dans l’ensemble de leurs technologies legacy et basées sur le Cloud.

IBM propose également aux entreprises son portefeuille watsonx, qui leur permet de créer des applications d'IA personnalisées, de gérer les sources de données et d'accélérer les processus s’appuyant sur l'IA, le tout à partir d'une plateforme unique. Plus précisément, watsonx.governance permet aux entreprises de gérer leurs modèles d'IA générative conçus par n'importe quel fournisseur, en les aidant à évaluer et à surveiller le comportement des modèles d'IA, y compris les dérives, les biais et la qualité - et en aidant les entreprises à remplir leurs obligations en se conformant aux réglementations et aux politiques émergentes dans le monde entier.

L'IA étant sur le point de transformer le paysage commercial tel que nous le connaissons, les entreprises ne peuvent pas se permettre de faire de la sécurité une adaptation à posteriori : elle doit être intégrée dès le départ, dès aujourd'hui. Le potentiel de l'IA reposant sur la confiance, la sécurité pourrait en fin de compte être l'ingrédient secret qui déterminera quels projets d'IA générative deviendront des succès et lesquels se transformeront en coûts irrécupérables.

• Lire le rapport : Sécuriser l'IA générative : ce qui compte aujourd'hui
• Consulter le cadre pour la sécurisation de l'IA générative

Les déclarations d'IBM concernant ses orientations et intentions futures sont sujettes à modification ou retrait sans préavis et ne représentent que des buts et des objectifs.

Contacts Presse :