Pourquoi la gouvernance de l’IA est désormais critique pour l’infrastructure américaine
L’infrastructure civile américaine se trouve à un carrefour alors que l’intelligence artificielle (IA) redéfinit rapidement les risques et la résilience au sein des systèmes critiques. Bien que la sophistication croissante des menaces cybernétiques alimentées par l’IA ait exposé de nouvelles vulnérabilités, elle a également créé des outils puissants qui, s’ils sont correctement gouvernés, peuvent aider les propriétaires d’infrastructure à renforcer leurs défenses et à récupérer plus rapidement en cas de violations.
L’IA accroît les risques cybernétiques pour l’infrastructure critique
Les récents pics d’attaques cybernétiques ont souligné à quel point des systèmes essentiels tels que les réseaux électriques, les usines de traitement des eaux et les pipelines de gaz naturel demeurent exposés. Au cours de la dernière décennie, des centaines d’intrusions signalées par des cybercriminels et des acteurs étrangers ont ciblé les services publics américains, menaçant la sécurité publique et la continuité opérationnelle. Jusqu’en août 2024, les cyberattaques sur les services publics américains ont augmenté de près de 70% d’une année sur l’autre — une tendance qui s’est intensifiée avec la disponibilité croissante des outils d’IA.
« La commercialisation rapide de l’IA a fondamentalement modifié le paysage de la cybersécurité. Ce qui nécessitait autrefois une expertise technique approfondie peut désormais être exécuté avec des connaissances minimales, abaissant considérablement la barrière d’entrée pour les acteurs malveillants. » Les opérateurs d’infrastructure ont maintenant accès à des systèmes alimentés par l’IA capables d’identifier les menaces plus rapidement et de répondre plus intelligemment que les outils traditionnels.
Les systèmes hérités face à une exposition croissante
Même les programmes de sécurité les plus avancés ne peuvent plus garantir une protection absolue dans une ère marquée par des attaques alimentées par l’IA. La technologie des deepfakes a déjà démontré sa capacité à contourner les systèmes d’authentification basés sur des connaissances utilisées par les banques et les agences gouvernementales, le secteur financier mondial signalant une augmentation de 393% des attaques de phishing alimentées par des deepfakes en une seule année. Pour les opérateurs d’infrastructure qui dépendent encore de systèmes numériques anciens, le risque est encore plus prononcé.
Cette réalité a forcé un changement dans la stratégie de cybersécurité. Plutôt que d’essayer de prévenir chaque intrusion possible, les organisations doivent désormais se concentrer sur la limitation des dommages et l’accélération de la récupération. Des pare-feux correctement installés, des réseaux segmentés et des systèmes de secours permettent aux opérateurs d’isoler les zones compromises avant qu’un système entier ne soit affecté, assurant ainsi la continuité même en cas de violation active.
La gouvernance et la formation des employés comme première ligne de défense
Une gouvernance solide de l’IA doit dépasser la technologie seule. Des politiques internes améliorées, une formation des employés et des garde-fous numériques clairement définis sont essentiels pour réduire les risques organisationnels. Former les employés sur l’hygiène des données, l’utilisation sécurisée de l’IA, l’ingénierie des invites et la reconnaissance des tentatives de phishing générées par l’IA devient de plus en plus essentiel à mesure que les modèles de langage de grande taille s’intègrent dans les opérations quotidiennes.
Des cadres tels que le NIST AI Risk Management Framework, associés à des audits réguliers, aident les organisations à établir la cohérence, à garantir la conformité et à favoriser la confiance dans les systèmes d’IA. Sans ces garde-fous, même un usage bien intentionné de l’IA peut créer une exposition involontaire.
Un des risques liés à l’IA les plus significatifs auxquels sont confrontés les opérateurs d’infrastructure est la fuite accidentelle de données. Une analyse du Comité de la sécurité intérieure de la Chambre des représentants a estimé qu’une intrusion sur dix aux États-Unis en 2023 découle d’un accès aux identifiants inappropriés plutôt que de piratages sophistiqués. À mesure que les travailleurs s’appuient de plus en plus sur les outils d’IA pour des tâches routinières, l’absence de politiques claires d’utilisation augmente la probabilité que des informations sensibles soient partagées par inadvertance avec des plateformes tierces.
Construire des systèmes résilients pour l’avenir
En regardant vers l’avenir, les organisations doivent prioriser les technologies qui réduisent à la fois l’impact des attaques et le rôle de l’erreur humaine. La reconnaissance vocale, l’authentification biométrique et les outils de détection de deepfakes joueront un rôle croissant dans la protection des systèmes d’infrastructure, mais seulement si elles sont soutenues par une surveillance continue, des tests rigoureux et des cadres de gouvernance clairs.
L’IA n’est pas intrinsèquement une menace pour l’infrastructure civile. Lorsqu’elle est déployée de manière responsable, elle offre des opportunités sans précédent pour améliorer la sécurité, l’efficacité et la résilience. Cependant, comprendre les risques liés à la confidentialité des données et les nouvelles vulnérabilités qui accompagnent l’adoption de l’IA est tout aussi important que de moderniser les systèmes obsolètes.
Le chemin à suivre dépend de l’acceptation de l’innovation tout en investissant dans les personnes et une gouvernance proactive. Avec le bon équilibre, l’infrastructure américaine peut non seulement résister aux menaces numériques d’aujourd’hui, mais en sortir plus forte et plus adaptable face aux défis à venir.