La CISA publie un avis sur la cybersécurité liée à l'IA

La CISA (Cybersecurity and Infrastructure Security Agency) a publié un avis pour rappeler aux entreprises qui créent des modèles d'intelligence artificielle (IA) qu'ils sont tout aussi susceptibles de présenter des vulnérabilités que n'importe quel autre logiciel.

Plus précisément, la CISA demande aux développeurs de systèmes d'intelligence artificielle de considérer la sécurité des clients comme une exigence commerciale essentielle, et non comme une simple caractéristique technique, et d'accorder la priorité à la sécurité tout au long du cycle de vie du produit. Les modèles d'IA doivent être sécurisés dès leur conception, avec peu ou pas de modifications de configuration ou de coûts supplémentaires, souligne l'avis de la CISA.

Il s'avère que les modèles d'IA sont affectés par les mêmes problèmes de chaîne d'approvisionnement que les logiciels classiques. Les composants utilisés pour élaborer des modèles d'IA sont généralement téléchargés à partir de référentiels par des équipes spécialisées dans la science des données qui sont généralement encore moins sensibilisées aux questions de cybersécurité que le développeur d'applications lambda. Par conséquent, de nombreux composants utilisés ne sont pas analysés pour détecter les vulnérabilités qui pourraient être exploitées ou les malwares qui pourraient y être intégrés.

La CISA fait remarquer que les données conflictuelles qui, par exemple, imposent une classification erronée, peuvent entraîner un dysfonctionnement des voitures sur les routes ou la dissimulation d'objets dans les logiciels des caméras de sécurité. En fait, une méthode d'attaque PoisonGPT a récemment prouvé la vulnérabilité des grands modèles de langage (LLM) utilisés pour élaborer des modèles d'intelligence artificielle génératives.

Les professionnels de la cybersécurité se retrouveront alors à nouveau dans la position peu enviable de devoir supprimer les malwares et d'identifier les vulnérabilités qui doivent être corrigées, avec un peu de chance avant que l'un de ces modèles d'IA ne soit victime d'une attaque.

Comment améliorer la sécurité des modèles d'IA

Naturellement, la seule façon de minimiser les risques pour les modèles d'IA est de s'assurer que les meilleures pratiques en matière de cybersécurité sont intégrées aux processus d'opérations d'apprentissage automatique (MLOps) utilisés pour développer les modèles d'IA. De la même manière que les pratiques DevSecOps ont contribué à renforcer la sécurité des applications en encourageant les développeurs à adopter les meilleures pratiques en matière de cybersécurité, la même conversation doit maintenant être engagée avec les experts en données, en commençant par mettre l'accent sur l'utilisation d'images sécurisées de composants logiciels pour développer des modèles d'IA qui ont été testés face à des vulnérabilités connues.

Remédier aux vulnérabilités d'un modèle d'IA après qu'il ait été déployé dans un environnement de production est beaucoup plus risqué. Bien sûr, il n'est pas garanti qu'à un moment donné, il ne faille pas appliquer un correctif, quel que soit le degré de sécurisation des images utilisées, mais le nombre de cas où un correctif pourrait se révéler nécessaire devrait être réduit au maximum. Comme toujours, il s'agira de réduire autant que possible la portée d'une faille impliquant un modèle d'IA, car le niveau de risque potentiel pour l'entreprise sera beaucoup plus élevé compte tenu de la nature des processus susceptibles d'être impliqués.

Il est à espérer que les équipes de cybersécurité seront en mesure d'anticiper ce problème avant qu'une faille majeure ne se produise, mais, si l'on se fie à l'histoire, il se pourrait que la sécurisation des modèles d'IA ne reçoive pas l'attention qu'elle mérite avant qu'une faille majeure ne se produise. En attendant, les équipes de cybersécurité pourraient commencer à réfléchir à la manière de réagir à un incident de sécurité impliquant un modèle d'IA, plutôt que de devoir à nouveau s'y prendre à la hâte pour faire face à une cyberattaque.