CISOs et l’Acte sur l’IA de l’UE : Une Attente Incessante
Les responsables de la sécurité de l’information (CISOs) qui espèrent que l’Acte sur l’intelligence artificielle (IA) de l’UE fournira un cadre solide pour la gouvernance de l’IA peuvent être un peu confus ou déçus par les récentes mises à jour concernant l’implémentation des restrictions sur l’IA.
Toutefois, la fondation de la première législation mondiale complète visant à fournir des garde-fous sur l’utilisation de l’IA est toujours présente, même si elle a été compliquée par la décision récente de la Commission européenne de retarder l’implémentation de certaines restrictions d’un an ou plus. Personne n’a dit que réglementer l’IA était une tâche facile.
Ne pas rester dans l’incertitude
Les entreprises ne devraient pas rester en suspens pendant que les dispositions d’application de l’acte sont finalisées, car peu importe comment les réglementations se concrétisent finalement, l’Acte sur l’IA de l’UE n’allait jamais être le dernier mot sur la gestion des risques liés à l’IA. C’est un point de départ pour les organisations désireuses de développer un cadre de sécurité complet, en particulier pour celles qui développent ou protègent des logiciels.
Les CISOs soucieux de sécuriser les logiciels, y compris les logiciels générés ou appliqués par l’IA, doivent aller au-delà du minimum statutaire.
Accélération et préoccupations de sécurité
L’introduction de l’IA dans le processus de développement a considérablement accéléré la production de code tout en amplifiant les préoccupations en matière de sécurité qui étaient déjà présentes. Le potentiel de bogues logiciels et de failles de sécurité a augmenté de manière exponentielle, multipliant la dette technique. Combiné à la complexité accrue et à la sophistication générale des attaques dans le paysage de la cybermenace, l’environnement actuel nécessite une attention renforcée à la mise en œuvre de la sécurité et à la gestion des risques tout au long du cycle de vie du développement logiciel (SDLC).
Les CISOs doivent adopter une approche proactive pour mettre en œuvre la gestion des risques des développeurs et l’observabilité, avec des mesures de sécurité robustes pour protéger le code sous-jacent et les pipelines de développement de l’IA.
Les limites de la réglementation
L’Acte sur l’IA a été en préparation pendant des années et a été formellement adopté en août 2024, bien que de nombreuses dispositions aient été prévues pour entrer en vigueur progressivement. Certaines n’étaient pas encore en vigueur lorsque la Commission européenne a décidé en novembre de retarder la mise en œuvre de certaines restrictions. Par exemple : la réglementation concernant l’utilisation de données personnelles restreintes par des applications d’IA dites « à haut risque », que les entreprises pourraient utiliser pour traiter des demandes de prêt.
Après avoir fixé une date d’implémentation initiale d’août 2026 pour ces utilisations, la commission l’a déplacée à décembre 2027, affirmant qu’elle donnerait plus de temps aux entreprises et aux États membres de l’UE pour adapter leurs processus afin de se conformer aux réglementations. Les objections aux réglementations sur ce que l’acte appelle des systèmes d’IA « posant des risques graves pour la santé, la sécurité ou les droits fondamentaux » ont souligné la nécessité de mettre en œuvre des protections sans freiner l’innovation. Ce débat ne semble pas prêt de s’arrêter.
Gestion des risques avec des avantages mesurables
La formation en sécurité a traditionnellement été négligée dans l’éducation des développeurs, et ces derniers doivent souvent apprendre des pratiques de codage sécurisées et d’autres concepts de sécurité sur le tas. Avec l’augmentation continue du volume de code produit par les pipelines DevOps — accélérée par l’IA — la nécessité de développeurs conscients de la sécurité est devenue critique. Ils doivent avoir les compétences pour créer un code sécurisé eux-mêmes et examiner et corriger le code généré par l’IA ou provenant de tiers.
Il faudra établir des repères pour définir les compétences dont les développeurs ont besoin ainsi que pour mesurer leurs progrès d’apprentissage par rapport aux normes internes et sectorielles. En combinant évaluation et éducation pratique (traitant de problèmes réels) avec une gouvernance robuste, les organisations peuvent développer un système efficace pour mesurer, gérer et atténuer les risques des développeurs.
Les entreprises peuvent créer un score de confiance qui mesure les progrès des développeurs individuels et des équipes AppSec dans leur ensemble. Un score de confiance automatisé mesure non seulement les progrès — identifiant les meilleurs, moyens et moins performants — mais peut également identifier les domaines où le programme peut être amélioré, aidant ainsi à optimiser leur formation.
Construire une culture de développement axée sur la sécurité
Les efforts de l’UE pour établir des exigences réglementaires pour l’utilisation de l’IA sont un développement bienvenu, malgré les débats en cours sur les détails spécifiques de mise en œuvre. Mais les défis liés à la sécurité des logiciels vont plus loin que ce que des réglementations générales peuvent aborder. Les CISOs doivent mettre en œuvre des programmes complets de gestion des risques des développeurs et d’observabilité/traçabilité pour les outils d’IA qu’ils utilisent — en particulier pour leurs engagements — afin de rester en avance sur les risques liés au codage par IA.
Les équipes devront établir une culture de développement « axée sur la sécurité » parmi les développeurs pour protéger les données, les applications, la performance et la réputation d’une organisation. Les CISOs qui n’ont pas encore commencé devraient mettre en œuvre un programme pour éduquer les développeurs, mesurer et évaluer leurs compétences en sécurité en continu, et garantir qu’il y a un « humain dans la boucle » compétent à chaque étape du SDLC.