NIST Publie un Projet de Cadre pour la Cybersécurité de l’IA : Ce que les Organisations Utilisant ou Déployant l’IA Doivent Savoir
Récemment, le National Institute of Standards and Technology (NIST) a publié des lignes directrices préliminaires pour appliquer son Cadre de Cybersécurité aux organisations adoptant l’intelligence artificielle (IA). Le NIST sollicite des commentaires publics sur son Profil de Cadre de Cybersécurité Initial Préliminaire pour l’IA (le Profil Cyber AI) avant minuit le 30 janvier 2026.
Bien que non contraignant, le Profil Cyber AI est significatif car il fournit aux organisations des lignes directrices pour gérer les risques de cybersécurité liés aux systèmes d’IA. Il représente la première tentative complète du NIST d’intégrer les risques et opportunités spécifiques à l’IA directement dans le Cadre de Cybersécurité 2.0 (CSF), la norme largement utilisée pour gérer les risques de cybersécurité.
Objectifs Principaux du Profil Cyber AI
Le Profil Cyber AI aborde trois domaines où l’intersection de l’IA et de la cybersécurité sera particulièrement impactante :
- Sécuriser les Composants des Systèmes d’IA : Identifier les défis de cybersécurité lors de l’intégration de l’IA dans les écosystèmes organisationnels.
- Conduire la Défense Cybernétique Améliorée par l’IA : Identifier les opportunités d’utiliser l’IA pour renforcer les processus et activités de cybersécurité.
- Prévenir les Attaques Cybernétiques Améliorées par l’IA : Construire une résilience pour se protéger contre de nouveaux vecteurs de menaces activés par l’IA.
Prise de Conscience et Application
Le Profil Cyber AI est destiné à un large éventail d’organisations, y compris celles développant ou utilisant des technologies d’IA. Il s’applique à tous les systèmes utilisant des capacités d’IA, qu’il s’agisse de systèmes autonomes ou d’applications intégrées.
En général, le Profil Cyber AI :
- Utilise les Fonctions, Catégories et Sous-Catégories du CSF 2.0, qui regroupent des mesures de cybersécurité similaires que les organisations peuvent mettre en œuvre.
- Ajoute des considérations spécifiques à l’IA et des priorités proposées pour chaque Sous-Catégorie, telles que l’incorporation d’audits de l’IA.
- Reconnaît que les organisations peuvent être à des stades très différents d’adoption de l’IA.
Initiatives Connexes
Pour compléter le Profil Cyber AI, le NIST développe une série de Contrôles pour la Sécurisation des Systèmes d’IA (COSAiS) utilisant les contrôles de la Publication Spéciale NIST (SP) 800-53. Cette initiative vise à permettre aux organisations d’adapter leurs mesures de sécurité de base à leurs besoins spécifiques.
En outre, le National Defense Authorization Act pour l’exercice 2026 a ordonné au Pentagone de créer et de mettre en œuvre un cadre d’évaluation de sécurité pour les technologies d’IA qu’il acquiert.
Conclusion
Le Profil Cyber AI du NIST envoie un message clair : l’IA est une question de gouvernance en cybersécurité. Les organisations qui attendent une réglementation contraignante avant d’adapter leurs programmes pourraient se retrouver à la traîne des attentes émergentes.
Le NIST continuera de surveiller les développements, y compris la finalisation du Profil Cyber AI et des Contrôles pour la Sécurisation des Systèmes d’IA.