Skip to main content
Subscribe
Subscribe to our Newsletter Subscribe
Cybersécurité

Renforcer la confiance dans l’IA : comment les nouvelles réglementations visent à relever les défis de la cybersécurité

Ghazi Ben Amor
By
Ghazi Ben Amor
Ghazi Ben Amor VP, Corporate Development, Zama

More about Ghazi
QUICK SUMMARY

Face à la montée des cybermenaces, les nouvelles réglementations britanniques sur l’IA visent à protéger les données sensibles, mais les responsables technologiques s’inquiètent toujours de devancer des risques en constante évolution. Découvrez comment exploiter les technologies de préservation de la vie privée (PET) et bâtir des cadres réglementaires adaptatifs pour sécuriser votre IA tout en stimulant l’innovation.

TABLE OF CONTENTS Comment concevoir des cadres réglementaires adaptatifs et efficaces Élaboration collaborative des politiques
passion-post-future-proofing cybersecurity regulatory frameworks featured image

Le mois dernier, le gouvernement britannique a introduit de nouvelles avancées réglementaires visant à renforcer la cybersécurité dans les modèles d’IA et les logiciels. Conçues pour fortifier les systèmes numériques contre le piratage et le sabotage, ces mesures ont pour objectif de renforcer la confiance dans l’utilisation de l’IA à travers divers secteurs – une confiance qui s’avère aujourd’hui indispensable. 

Étant donné que le coût de la cybercriminalité devrait déjà atteindre 13,82 trillions de dollars d’ici 2028 – et pourrait croître à un rythme encore plus élevé à mesure que la nouvelle génération de cybercriminels accède à des IA de plus en plus sophistiquées – la confiance envers ces technologies commence logiquement à s’affaiblir.

Bien que ces nouvelles mesures représentent des avancées significatives pour faire face aux défis actuels de cybersécurité, des questions et des préoccupations subsistent quant à l’adaptabilité future et à l’efficacité des cadres réglementaires, en particulier parmi la communauté des développeurs

Dans une étude récente menée auprès de développeurs du Royaume-Uni et des États-Unis, 72 % ont déclaré que les réglementations visant à protéger la vie privée ne sont pas conçues pour l’avenir, tandis que 56 % estiment que des structures réglementaires dynamiques – censées être adaptées aux évolutions technologiques – pourraient représenter une menace réelle. Un aspect particulièrement préoccupant concerne le risque de sécurité associé aux systèmes d’IA qui nécessitent d’immenses jeux de données pour s’entraîner, intégrant souvent des informations personnelles sensibles.

Dans ce contexte, des réglementations changeantes ou incohérentes pourraient créer des vulnérabilités ou des lacunes dans la protection de ces données sensibles, augmentant ainsi le risque de violations ou de mauvais usages de ces dernières. 

Au fur et à mesure de l’évolution de la réglementation, garantir la sécurité et la confidentialité des informations personnelles utilisées pour entraîner l’IA s’annonce de plus en plus complexe, ce qui pourrait avoir de graves conséquences pour les individus comme pour les organisations.

La même enquête a révélé que 30 % des développeurs estiment qu’il existe un manque général de compréhension de la part des régulateurs qui ne disposent pas de l’expertise adéquate pour bien saisir la technologie qu’ils sont censés encadrer.

Comment concevoir des cadres réglementaires adaptables et efficaces ?

Face à la question des compétences et connaissances nécessaires, mais aussi à l’évolution rapide de l’IA et des menaces en cybersécurité, que doivent effectivement garder à l’esprit les instances de régulation lors de la création de cadres réglementaires à la fois adaptables et efficaces ?

À mon sens, il est essentiel que les régulateurs connaissent toutes les options existantes en matière de technologies de renforcement de la confidentialité (PETs). Alors que certaines PETs sont déjà utilisées pour minimiser les risques de violation de données, d’autres évoluent encore à l’heure actuelle, avec un potentiel considérable en termes de sécurisation des données sensibles et de protection de la vie privée. Comprendre les avantages et les limites de chaque option permet une approche flexible dans leur adoption, plutôt que de tenter d’élaborer une politique unique couvrant tous les aspects à la fois. Par exemple :

  • Technologies d’authentification : L’authentification multi-facteurs (MFA) – couramment intégrée par les développeurs dans les systèmes d’authentification afin de renforcer la sécurité – est utilisée dans des applications allant de la banque en ligne aux logiciels d’entreprise. L’authentification biométrique constitue une autre méthode avancée et sécurisée déjà adoptée aujourd’hui, qui exploite des caractéristiques physiques uniques telles que les empreintes digitales ou la reconnaissance faciale. Par ailleurs, en se projetant dans l’avenir, l’adoption de mécanismes d’identité fédérée, comme FIDO (Fast Identity Online) ou OpenID Connect, est prometteuse. Ils renforcent la sécurité tout en simplifiant les processus d’authentification utilisateur sur diverses plateformes, offrant ainsi une gestion de l’identité à la fois unifiée et sécurisée.
  • Chiffrement de bout en bout (E2EE) : Cette technologie apporte un haut niveau de sécurité en assurant que les données sont chiffrées de l’expéditeur au destinataire, empêchant tout accès non autorisé, même de la part des fournisseurs de services. Toutefois, la mise en œuvre de l’E2EE peut s’avérer complexe et gourmande en ressources, nécessitant souvent une puissance de calcul significative et une gestion des clés sophistiquée. Parce que l’E2EE empêche les prestataires de services d’accéder aux données, ils sont également limités dans leur capacité à aider à la récupération de données ou à satisfaire les demandes légales d’informations : une situation qui peut se révéler problématique dans le cadre d’enquêtes criminelles ou de récupération de données.
  • Chiffrement complètement homomorphe (FHE) : Bien que le FHE soit encore considéré comme à ses débuts, il a beaucoup progressé ces dernières années. Il s’agit d’un type de chiffrement permettant le traitement des données sans déchiffrement préalable ; il représente l’alliance idéale entre IA et sécurité des données, car il permet aux organisations de profiter de la puissance de la technologie sans compromettre les attentes des utilisateurs en matière de confidentialité. Par exemple, le FHE peut être utilisé par des institutions financières pour entraîner de façon confidentielle des modèles d’IA de détection des fraudes entre banques sans exposer de données personnelles ; et les professionnels de santé peuvent réaliser des diagnostics prédictifs sans divulguer d’informations privées sur leurs patients.
  • Calcul multipartite sécurisé (MPC) : Cette technologie complète le chiffrement homomorphe complet (FHE) en offrant à un utilisateur la capacité de déchiffrer des données chiffrées après vérification qu’il ou elle possède le droit d’y accéder. MPC permet à un quorum d’entités désignées de s’engager dans un protocole collaboratif qui aboutira à un consensus sur le contrôle d’accès avant de ré-encrypter les données de la clé publique du protocole vers la clé publique de l’utilisateur final, accordant ainsi à ce dernier l’accès aux données en clair. Chaque entité du quorum ne détient qu’un fragment de la clé privée de déchiffrement du protocole et ne peut donc pas déchiffrer les données seule. De plus, les données en clair ne sont jamais mises à disposition de quiconque, à l’exception de l’utilisateur final lui-même. , 

Élaboration collaborative des politiques

Une fois que les régulateurs disposent d’une compréhension approfondie et à jour des PETs – dont il existe bien d’autres – l’étape suivante consiste pour les décideurs à garantir que la réglementation ne freine pas l’innovation technologique tout en continuant de protéger contre les cybermenaces. 

Pour élaborer des politiques de confidentialité nuancées et efficaces, évoluant au rythme des avancées technologiques, il est essentiel de se rappeler qu’elles ne fonctionnent pas en vase clos. On n’attend pas d’eux qu’ils soient les seuls responsables de ces démarches. Au contraire, les décideurs doivent collaborer avec les créateurs de technologies – lesquels, de leur côté, devraient commencer à concevoir leurs innovations en tenant compte des cadres existants, au lieu d’attendre que ceux-ci s’adaptent aux nouveautés. 

L’intégration de l’apprentissage continu au sein de l’organisation est également cruciale, tout comme la participation des employés à des événements et conférences du secteur afin de suivre les dernières évolutions et de rencontrer des experts. Lorsque cela est possible, nous devrions collaborer avec l’industrie, par exemple en invitant des représentants d’entreprises technologiques à animer des séminaires ou des démonstrations internes.

Je suis fermement convaincu que tous ces éléments doivent être pris en compte alors que nous intégrons dans notre quotidien des systèmes toujours plus complexes comme l’IA, l’IoT et l’analyse avancée de données, tandis que les risques de cybermenaces augmentent. 

En anticipant l’avenir de la réglementation, nous pouvons éviter d’être constamment à la traîne face aux cybercriminels et assurer de manière proactive la protection de notre infrastructure numérique. En adoptant un cadre réglementaire dynamique et adaptatif, nous pouvons mieux protéger les données sensibles, garantir la confidentialité des utilisateurs et maintenir la confiance du public dans les technologies numériques. 

Abonnez-vous à notre newsletter pour obtenir les dernières analyses, tendances et stratégies afin de protéger votre technologie et stimuler l’innovation.

You may also like