Cybersécurité, éthique et cadre réglementaire : Quels enjeux pour les intelligences artificielles ?

De l'automatisation des tâches à l'assistance à la prise de décision, l'intelligence artificielle (IA) représente une opportunité précieuse pour les organisations. Son intégration, sa maitrise et son utilisation au sein de celles-ci se révèlent être un avantage concurrentiel pour qui en tire parti. Si l’IA pose de nombreux défis, il est indispensable de se pencher sur les risques et les limites de son utilisation tout en abordant les futures perspectives éthiques et réglementaires qui cadreront bientôt son emploi.

Une technologie en évolution continue 

Suscitant fascination et appréhension, il est souvent délicat d’évaluer pleinement les limites de développement des intelligences artificielles. L’apparition et démocratisation soudaine des modèles génératifs comme ChatGPT ont permis de mettre en lumière les nombreuses opportunités que ces derniers offrent, pour le grand public mais aussi pour les entreprises. Prenant de court les régulateurs mais aussi les géants du Net, les futures avancées dans ce domaine technologique sont et seront très certainement difficiles à prévoir.  

En matière d’innovation technologique, il est difficilement possible d’évoquer les avantages sans évoquer les inconvénients, les intelligences artificielles n’échappent pas à cette logique. Avant de nous concentrer sur les risques et menaces pouvant mettre en péril leur intégrité, force est de constater que leur utilisation comporte certaines limites et risques qu’il est important de garder à l’esprit. 

Un des principaux risques inhérents au fonctionnement des intelligences artificielles est le biais, ou biais algorithmique ! Celui-ci survient lorsque les machines apprennent à partir de données subjectives, pouvant possiblement reproduire les inégalités issues de la réalité. En 2015, l’intelligence artificielle utilisée par Amazon pour traiter les CV a conclu que les meilleurs profils étaient ceux des hommes. Cela s’expliquant par le fait de la prédominance du sexe masculin dans le domaine des sciences technologiques, discriminant ainsi les profils féminins et perpétuant les inégalités dit du « monde réel ». Il est donc important pour les entreprises de pleinement intégrer la notion d’équité algorithmique – principe selon lequel aucun favoritisme ni aucune discrimination ne doivent être présents à l’égard d’un individu ou d’un groupe en raison de leurs caractéristiques innées ou acquises – au cœur de l’élaboration des intelligences artificielles.  

De manière plus générale, les biais illustrent la nécessité de porter un œil attentif aux données qui sont utilisées par les intelligences artificielles notamment lors de la phase de « machine learning ». C’est durant cette phase, précédant la mise en production qu’elles apprennent à créer des schémas de réponses cohérentes au vu des données qui leur sont confiées. 

Considération éthique et réglementaire 

La démocratisation rapide au cours des dernières années des IA a pris de court les entreprises leaders du secteur numérique mais aussi les législateurs. C’est dans ce contexte que nous observons certaines limites des cadres réglementaires actuellement en vigueur dans l’encadrement des intelligences artificielles. Prenons l’exemple du RGPD (Règlement Général sur la Protection des Données) en application depuis 2018, qui s’assure de la protection des données à caractère personnel des utilisateurs en ligne. L’un de ses principes est le droit pour les utilisateurs de demander le retrait de leurs données personnelles de la sphère numérique. Cependant, bon nombre d’intelligences artificielles utilisant des données disponibles sur internet ne répondent pas toujours à cette exigence du RGPD. Cette limite réside donc dans l’utilisation par les intelligences artificielles de données – clients et confidentialité – qui auraient dû être retirées d’internet. 

Une autre considération pertinente serait celle du respect de la propriété intellectuelle. En effet, les œuvres générées par les intelligences artificielles se confondent parfois avec la réalité. L’un des cas les plus marquants est celui du titre « Hearth On My Sleeves » généré par une IA en 2023. Fausse collaboration musicale entre les artistes The Weeknd et Drake, ce titre a obtenu des millions d’écoutes en un week-end. 

Portant atteinte au droit à la propriété des deux artistes, cette chanson a par la suite été retirée de toutes les plateformes de streaming musical. Si ici, l’atteinte à la propriété intellectuelle est flagrante, les délimitations entre ce qui peut être considéré comme directement généré par l’IA et ce qui résulte d’une inspiration de contenus existants peuvent parfois sembler floues. Le droit français détermine tout de même qu’une œuvre est originale lorsqu’elle exprime « la personnalité de son auteur » résultant notamment de choix créatifs et personnels. Dans le contexte de l’IA, cela soulève deux interrogations essentielles : peut-on considérer l’IA comme un véritable auteur ? Les créations issues de l’IA peuvent-elles être certifiées originales ? 

Les dérives de l’utilisation de l’IA 

Les acteurs malveillants possèdent eux aussi un intérêt dans le ciblage et l’utilisation détournée des IA. Reposant sur l’utilisation de volumes de données importantes et permettant la génération de contenus de toutes sortes, l’IA est une technologie aussi sensible qu’attrayante. 

Outre les risques de vol de données, le « poisoning » ou l’empoisonnement des données utilisées par l’IA est un risque auquel font face les IA. Cette attaque implique l’introduction de données malveillantes ou incorrectes dans l’ensemble des données utilisées par l’IA. Cette manipulation vise à altérer le comportement du modèle en lui faisant apprendre des schémas erronés ou en introduisant des biais indésirables.  

Malheureusement et sans surprise, les IA peuvent être directement aux services des cybercriminels. Actuellement, un recours grandissant à l’utilisation d’IA est observé dans le cadre des attaques dites de « pishing », technique destinée à tromper l’utilisateur en l’incitant à confier ses données personnelles en se faisant passer pour un tiers de confiance. C’est dans ce contexte que les IA permettent aujourd’hui à la fois d’automatiser ces attaques mais aussi de les rendre plus fiables et plus crédibles.   

Les IA génératives possèdent elles aussi un grand intérêt pour des acteurs mal intentionnés. Les contenus créés par ces IA sont souvent difficilement distinguables de la réalité. Au cœur de la lutte informationnelle, le recours aux IA est de plus en plus fréquent. Dernier exemple notable, celui des élections législatives slovaques de 2023 où un enregistrement sonore a été partagé plusieurs milliers de fois sur les réseaux sociaux. On pouvait y entendre le candidat de l’opposition Michal Simecka en conversation avec un journaliste. Celui-ci évoquait la manipulation du vote de la communauté rom et la falsification des résultats électoraux. Bien évidemment, cet enregistrement était un faux généré par une IA et avait pour but de déstabiliser le candidat à quelques jours du scrutin.  

Comment pouvons-nous lutter contre ces actes ? Paradoxalement, via l’intelligence artificielle. Intel a récemment développé une intelligence artificielle capable de détecter les « deepfakes ». Les deepfakes sont des vidéos falsifiées créées à l’aide de l’intelligence artificielle. Ces IA peuvent superposer le visage et le corps d’une personne sur les actions exécutées par une autre personne. Cette avancée démontre comment l’intelligence artificielle peut à la fois être le problème mais aussi la solution. 

L’AI Act pour les nuls 

Bien qu’il soit difficile d’envisager l’ampleur de l’évolution des IA, il est intéressant de porter un œil attentif aux futures perspectives de cadrage réglementaire qui seront bientôt appliquées aux IA en Europe. 

L’AI Act est une législation proposée par l’Union Européenne visant à réguler l’utilisation des IA au sein du territoire européen. Ce projet vise à établir un cadre réglementaire pour encadrer le développement, le déploiement et l’utilisation des systèmes d’IA afin de garantir leur sécurité et leur fiabilité tout en protégeant les droits fondamentaux des citoyens européens. Concrètement, il propose une classification des différents types de systèmes d’IA. Et ce, en fonction de leur niveau de risque, allant des systèmes à risque élevé comme la reconnaissance faciale en temps réel, aux systèmes à faible risque tels que les chatbots. 

En établissant des normes communes, cette législation vise à créer un marché numérique unique vecteur d’innovation. Tout en promouvant la transparence, la responsabilité et la sécurité, elle cherche à favoriser une adoption confiante et éthique de l’IA. Notamment, en assurant un équilibre entre innovation et protection des droits individuels. 

L’AI Act pose entre autres 6 interdictions. Tout d’abord, l’interdiction catégorique de l’utilisation de systèmes de catégorisation biométrique basés sur des critères tels que les opinions politiques, religieuses, philosophiques, l’orientation sexuelle ou l’ethnie. Ces catégorisations biométriques sont jugées incompatibles avec les valeurs européennes. De plus, l’AI Act proscrit les systèmes de notation citoyenne, la surveillance de masse et la collecte non ciblée d’images faciales en vue de créer des bases de données de reconnaissance faciale. Enfin, cette législation interdit la reconnaissance des émotions dans la sphère professionnelle et scolaire ainsi que l’exploitation des vulnérabilités des individus à l’aide de systèmes d’IA. 

Quel avenir pour les intelligences artificielles en entreprise ? 

Les entreprises se doivent d’être d’ores et déjà proactives dans l’encadrement de l’utilisation des IA par leurs salariés. Ceci est observable chez nos clients car l’utilisation des IA n’est souvent soumise à aucune règle explicite, contrainte ou accompagnement. Dans cette optique et au grès de sa popularisation auprès des salariés, l’encadrement des IA en entreprise doit constituer un sujet primordial.  

En effet, selon une étude IFOP réalisée pour LearnThings du 21 décembre 2023 au 3 janvier 2024, «22% des employés ont déjà eu recours à un outil d’intelligence artificielle dans le cadre de leur travail, tandis que 55% l’ont fait sans en aviser leur supérieur hiérarchique. ». 

Prenons l’exemple d’une IA de type générative, accessible du grand public et sur laquelle une entreprise ne possède aucun droit de regard. La problématique ici réside dans le traitement des données à caractère sensible (économique, stratégique) et personnel. Ces données sont cruciales pour toutes entreprises. Malheureusement, les intelligences artificielles ne nous donnent que très peu de garantie sur le respect de leurs traitements. Samsung en a d’ailleurs récemment fait les frais. Des ingénieurs ont décidé d’utiliser ChatGPT pour corriger leur code source. Ces données techniques n’étaient pas censées être divulguées et font maintenant partie intégrante de ChatGPT.  Retenons qu’en l’absence de règle, mieux vaut donc jouer la vigilance.  

Nous estimons que la multiplication de nouvelles IA ainsi que la hausse de leur recours façonneront inéluctablement les pratiques de travail des salariés. Dans ce contexte, vers quel cadre peuvent s’orienter les entreprises pour accompagner au mieux leurs collaborateurs ? À ce sujet, ITEC préconise de se tourner vers le guide publié par l’ANSSI sur l’utilisation des intelligences artificielles génératives « Recommandations de sécurité pour un système d’IA générative ». En résumé, l’ANSSI revient sur les problématiques que nous avons précédemment exposées et sur les bonnes pratiques à adopter lors de l’intégration d’une IA au sein d’une entreprise. Il est très probable qu’à l’avenir de nouvelles recommandations voient le jour. En attendant ITEC conseille la mise en place de règles et principes d’utilisation des IA au sein des entreprises.   

En conclusion, l’intégration croissante de l’IA dans les organisations offre indéniablement des opportunités. Cependant, cette avancée technologique n’est pas sans défi ni risque. Les préoccupations éthiques et réglementaires ainsi que les dérives potentielles de l’utilisation de l’IA soulignent la nécessité d’une approche équilibrée et réfléchie. Les entreprises doivent s’engager à intégrer des principes leur permettant le respect et la confidentialité des données. En définitive, il est primordial d’envisager le véritable succès de l’implémentation d’une IA dans l’association harmonieuse entre l’IA et l’intelligence humaine. 


Par Julien-Aymard Deligny, consultant cybersécurité ITEC

Partager