AI Risk Meets Cyber Governance : Le Projet de Profil Cyber AI de NIST
Le 16 décembre 2025, l’Institut national des normes et de la technologie (NIST), une agence fédérale non réglementaire au sein du Département du Commerce des États-Unis, a publié un projet préliminaire de son futur Profil Cyber AI. Ce dernier vise à aider les organisations à renforcer la gouvernance de l’intelligence artificielle (IA) en s’appuyant sur le Cadre de cybersécurité 2.0 de NIST comme guide pour la cybersécurité des systèmes d’IA et l’utilisation de l’IA pour soutenir la cybersécurité.
Tout comme le CSF, le Profil Cyber AI est volontaire pour la plupart des organisations ; cependant, celles qui alignent leurs pratiques de gestion des risques sur ces ressources sont souvent perçues par les clients, investisseurs et régulateurs comme plus sécurisées, résilientes et responsables.
Thèmes Principaux du Profil Cyber AI
Le Profil Cyber AI identifie trois grands domaines d’attention liés à la gouvernance de l’IA dans les organisations :
- Sécuriser les composants des systèmes d’IA : Les entreprises sont encouragées à compléter leurs approches de gestion des risques existantes pour prendre en compte les nouveaux défis posés par l’intégration des systèmes d’IA, y compris les chaînes d’approvisionnement en IA et les infrastructures.
- Conduire une défense cybernétique renforcée par l’IA : Les entreprises doivent s’efforcer de tirer parti de l’IA pour renforcer leurs défenses en cybersécurité, que ce soit en utilisant l’IA pour gérer un volume accru d’informations sur les menaces ou en intégrant l’IA agentique pour automatiser les tâches de réponse aux incidents.
- Éviter les cyberattaques renforcées par l’IA : Les entreprises doivent se préparer à la manière dont l’utilisation adversaire de l’IA augmente la sophistication des acteurs malveillants et élargit les surfaces d’attaque potentielles, introduisant de nouveaux risques, tels que les attaques par deepfake.
Recommandations et Approches
Plutôt que de prescrire des exigences spécifiques, le Profil Cyber AI se compose de considérations recommandées pour la mise en œuvre de la gouvernance de l’IA au sein du CSF. Chaque domaine d’attention de l’IA est associé aux six fonctions principales du CSF : Gouverner, Identifier, Protéger, Détecter, Répondre, et Récupérer.
Par exemple, dans la fonction Gouverner, il est recommandé de prioriser la sécurisation de l’IA en s’assurant que les équipes concernées comprennent les résultats commerciaux qui dépendent de l’IA et peuvent évaluer efficacement les décisions prises par l’IA.
Implications Réglementaires et Applications Pratiques
Le Profil Cyber AI est largement applicable, mais pourrait s’avérer particulièrement utile pour les organisations cherchant à démontrer leur maturité en cybersécurité, notamment celles régulées par le Department of Financial Services de l’État de New York (NYDFS) et la Securities and Exchange Commission (SEC).
Les entités couvertes par le NYDFS ont été encouragées à intégrer les risques liés à l’IA dans leurs évaluations de risques en cybersécurité, en tenant compte de l’évolution des risques cybernétiques à la lumière de l’IA.
Pour les entreprises publiques régulées par la SEC, le Profil Cyber AI peut fournir un cadre contextuel pour gérer les risques liés à l’IA dans le cadre de programmes de gestion des risques de cybersécurité plus larges.
Prochaines Étapes
La période de commentaire pour le projet de Profil Cyber AI reste ouverte jusqu’au 30 janvier 2026. Les organisations devraient continuer à surveiller les progrès de NIST vers la publication d’un Profil Cyber AI final.
En attendant, les entreprises cherchant à aligner la cybersécurité et la gestion des risques liés à l’IA devraient envisager le Profil Cyber AI comme un outil pour évaluer et affiner leurs programmes existants.