Évaluation de la gouvernance et de la sécurité de l’IA
Lors d’un atelier sur la gouvernance de l’IA et l’évaluation de la sécurité, plusieurs experts ont discuté des moyens de gouverner l’utilisation de l’intelligence artificielle générative et de traiter les risques de sécurité associés dans un environnement en rapide évolution.
Points clés à retenir
Une IA omniprésente
L’IA devient omniprésente. L’intelligence artificielle pénètre rapidement tous les aspects des opérations commerciales. Nous nous dirigeons vers un environnement où le cas « étrange » sera l’absence d’IA plutôt que sa présence. Les organisations doivent planifier proactivement et guider l’adoption de l’IA au lieu de tenter de la bloquer. Cela inclut la mise en œuvre de pratiques de déploiement sûres et responsables ainsi que le développement d’une compréhension claire du profil de risque de chaque outil. Une gouvernance réfléchie dès le départ facilitera l’adoption et l’utilisation des outils d’IA.
Paysage juridique fragmenté aux États-Unis
Il n’existe pas de cadre fédéral complet qui fournisse une orientation unifiée ou une supervision réglementaire pour l’IA aux États-Unis. Des thèmes communs émergent à travers les législatures des États, notamment des obligations de transparence, des exigences de protection des consommateurs et des employés, des garanties de confidentialité des données, des mandats de réduction des biais et des restrictions sur les deepfakes. Les États semblent diverger dans leurs approches. Par exemple, le Texas adopte une approche favorable aux entreprises, tandis que le Colorado impose des charges plus lourdes (en particulier pour les systèmes à haut risque) tout en offrant une défense affirmative liée aux cadres de mitigation des risques. Cette divergence affectera l’approche globale de conformité des organisations, notamment celles qui opèrent à travers plusieurs États ou à l’échelle mondiale.
Fondation de la confiance zéro
La supervision humaine doit être intégrée à chaque action pilotée par l’IA, et les résultats générés par les outils d’IA doivent faire l’objet d’un examen approprié. Des incidents récents ont démontré que l’IA peut être utilisée pour créer ou amplifier des vulnérabilités de sécurité que les adversaires n’auraient pas pu exploiter sans les capacités alimentées par l’IA. L’introduction de l’IA dans le paysage des menaces a également accéléré le rythme des attaques et compressé les délais de réponse aux incidents, ce qui augmente la pression sur les organisations pour évaluer, renforcer et tester régulièrement leur infrastructure de sécurité en tenant compte des risques liés à l’IA.
Attaques autonomes par IA
Le paysage des menaces inclut désormais des opérations cybernétiques autonomes ou semi-autonomes assistées par IA qui sont hautement évolutives, adaptables et difficiles à attribuer. Les adversaires exploitent désormais des modèles de langage de grande taille (LLM), des agents et des protocoles de contexte de modèle pour automatiser l’exfiltration de données et effectuer une analyse post-exfiltration. En conséquence, les organisations doivent se préparer à des attaquants exécutant des campagnes d’attaques plus rapides, plus persistantes et plus sophistiquées, et doivent moderniser leurs systèmes de défense en conséquence.
Programmes de gouvernance de l’IA
Les organisations de toutes tailles devraient prioriser le développement de programmes de gouvernance de l’IA durables et complets. Un élément clé de cet effort est d’établir des comités de gouvernance interfonctionnels pour orienter l’adoption de l’IA de manière sûre. D’autres efforts incluent la supervision de l’adoption de l’IA, l’établissement et la mise à jour des politiques relatives à l’IA, la réalisation d’inventaires de l’IA à l’échelle de l’entreprise (y compris l’identification de l’IA cachée) et la surveillance des développements juridiques et réglementaires. Le National Institute of Standards and Technology (NIST) a publié un cadre de gestion des risques de l’IA, qui aide les organisations à réduire les risques liés à l’IA, à automatiser la gestion des risques de l’IA et à surveiller en continu les risques liés à l’IA.