{ Tribune Expert } - Déployer une cybersécurité basée sur l'IA dans le cadre du RGPD et de la législation européenne sur l'IA

L'adoption rapide de l'Intelligence Artificielle pour la cybersécurité représente un double défi pour les organisations: il s'agit d'exploiter son potentiel pour lutter contre des menaces en constante évolution tout en naviguant dans le paysage réglementaire contraignant de l'UE.

Bien qu'elle permette de répondre plus efficacement aux menaces, elle introduit également de nouveaux risques, notamment à mesure que les outils d'IA générative deviennent largement accessibles. Le rythme auquel les utilisateurs en entreprise adoptent les applications d'IA générative dépasse la capacité du marché à développer des solutions éprouvées de protection contre les menaces émergentes.

Gartner souligne que « les réglementations à venir sont également une menace latente pour les organisations qui utilisent (et construisent) des applications d'IA ». Les organisations doivent trouver un équilibre entre l'innovation et la responsabilité, en particulier dans le cadre du RGPD et de la loi européenne sur l'IA, qui impose une surveillance stricte des systèmes d'IA.

Dans ce contexte très exigeant, voici comment déployer de manière responsable des solutions de cybersécurité basées sur l'IA :

1. Adopter une approche basée sur les risques

La loi sur l'IA classe les systèmes par niveau de risque, exigeant des mesures de protection renforcées pour les applications « à haut risque ». Les agents IA en cybersécurité doivent se concentrer sur les tâches à faible risque telles que la formation des employés, les alertes de menaces et les simulations de phishing, en évitant les fonctions qui ont un impact sur la dimension juridique ou la sécurité.

Les étapes clés sont les suivantes :

> Réaliser des analyses d'impact pour classer les cas d'utilisation de l'IA.

> Mettre en place des garde-fous techniques pour limiter les fonctionnalités de l'IA à des tâches préapprouvées et à faible risque.

> Demander aux équipes de conformité d'examiner les flux de travail de l'IA pour s'aligner sur les exigences de transparence et de responsabilité de l'AI Act.

2. Intégrer les principes du RGPD dans la conception de l'IA

La conformité au RGPD commence par la minimisation des données et la confidentialité dès la conception (privacy by design). Pour les agents IA, cela signifie :

> Le chiffrement des données en transit (TLS) et au repos (AES 256 bits).

> L'utilisation d'architectures à locataire unique (single tenant) pour isoler les données des clients et éviter la contamination croisée.

> La suppression automatique des données après le traitement, pour garantir l'absence de conservation pour l'entraînement du modèle et le maintien des mécanismes permettant de répondre aux demandes d'accès ou d'effacement des données des personnes concernées (DSAR).

> La possibilité pour les administrateurs de désactivation des fonctionnalités d'IA au niveau du locataire, avec des notifications utilisateur claires pour les interactions avec l'IA.

Ces mesures satisfont non seulement au RGPD, mais elles renforcent également la confiance en démontrant un engagement en faveur de la souveraineté des données.

3. Préserver la surveillance humaine

Alors que l'IA automatise les tâches, le jugement humain reste irremplaçable. Une approche à deux vitesses assure le respect des règles de responsabilité:

> Une surveillance par l'administrateur : Définir l'étendue des données accessibles aux systèmes d'IA, en minimisant l'exposition aux informations sensibles.

> Des garde-fous techniques : Déployer une analyse de contenu automatisée pour détecter les anomalies, complétée par des examens humains pour les décisions critiques.

Cette structure de contrôle à plusieurs niveaux empêche une dépendance excessive à l'égard de l'automatisation et s'aligne sur l'exigence de la loi sur l'IA en matière de surveillance humaine dans les scénarios à enjeux élevés.

4. Transparence et formation des employés

La loi sur l'IA exige une communication claire sur l'utilisation de l'IA. Les organisations doivent ainsi:

> Mettre en évidence dans les interfaces les fonctions pilotées par l'IA.

> Former les employés à la maîtrise de l'IA, notamment à la reconnaissance des menaces générées par l'IA comme les deepfakes.

> Former les développeurs aux pratiques de codage sécurisées pour les systèmes d'IA et à la gestion des données conforme au RGPD.

A titre d'exemple, votre agent IA devrait fournir des conseils en temps réel sur le phishing tout en enregistrant les interactions, ce qui permettra aux audits de vérifier la transparence.

5. Surveillance et amélioration continues

Le déploiement de l'IA n'est pas un effort ponctuel. Des audits réguliers, des tests de pénétration et des mises à jour sont essentiels. Pour cela, il s'agit de :

> Tenir des registres d'audit des décisions de l'IA et des interventions des garde-fous

> Intégrer la gouvernance de l'IA dans les cadres ISO 27001 et ISO/IEC 42001 existants.

> Mettre à jour les modèles pour faire face aux menaces émergentes, telles que les attaques antagonistes exploitant les vulnérabilités de l'IA.

Conclusion

La cybersécurité pilotée par l'IA est un facteur de transformation mais elle exige une conformité rigoureuse. En donnant la priorité à l'atténuation des risques, en intégrant la protection de la vie privée dans la conception et en maintenant une surveillance humaine, les organisations peuvent déployer des agents IA qui renforcent la sécurité sans compromettre les obligations réglementaires. Comme le note Gartner, 89 % des employés peuvent contourner les protocoles de sécurité pour des raisons d'efficacité, d'où la nécessité d'aligner les outils d'IA sur le comportement humain et les cadres juridiques.

L'avenir de la cybersécurité ne réside pas dans le remplacement des humains, mais dans l'autonomisation de ceux-ci avec des outils intelligents et conformes. Toujours selon Gartner, « le bon ordre pour tout investissement dans la sécurité est le personnel, le processus et, seulement ensuite, la technologie ».

* Jean-Baptiste Roux est vice-président international chez SoSafe