You are currently viewing Sécurité de l’IA générative : le guide de l’ANSSI

Sécurité de l’IA générative : le guide de l’ANSSI

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) vient de publier un guide très attendu sur la sécurité des systèmes d’intelligence artificielle (IA) générative. Ce document incontournable devrait être consulté par toutes les entreprises et administrations qui envisagent d’utiliser ou de concevoir une IA générative.

Qu’est-ce que l’IA générative ?

Selon la définition de l’ANSSI, l’IA générative est un sous-ensemble de l’IA axé sur la création de modèles entraînés à générer du contenu (texte, images, vidéos, etc.) à partir d’un corpus spécifique de données d’entraînement. Elle est destinée à divers cas d’usage tels que les chatbots, la génération de code informatique ou l’analyse et la synthèse de documents.

Les trois phases d’un système d’IA générative

La mise en œuvre d’un tel système se décompose en trois phases principales :

  • La phase d’entraînement, à partir d’ensembles de données sélectionnés.
  • La phase d’intégration et de déploiement.
  • La phase de production où l’IA est mise à disposition des utilisateurs.

Chacune de ces phases nécessite des mesures de sécurisation spécifiques, en fonction de la sensibilité des données utilisées et de la criticité du système d’IA.

Les 35 recommandations de l’ANSSI

Au total, le guide de l’ANSSI introduit 35 recommandations à mettre en œuvre pour sécuriser l’intégralité du système d’IA générative. Voici les principales :

Recommandations générales

  • Cloisonner le système d’IA pour l’isoler du reste du système d’information.
  • Journaliser et filtrer les accès, en particulier pour les plugins externes qui représentent un risque majeur.
  • Dédier les composants GPU au système d’IA et ne pas mutualiser le matériel.

Phase d’entraînement

  • Protéger la confidentialité des données d’entraînement qui peuvent contenir des informations sensibles.
  • Mettre en place des contrôles d’accès stricts sur l’environnement d’entraînement.
  • Vérifier l’intégrité des données d’entraînement pour détecter d’éventuelles corruptions.

Phase d’intégration et de déploiement

  • Sécuriser la chaîne d’approvisionnement des composants tiers (modèles pré-entraînés, bibliothèques, etc.).
  • Documenter le système d’IA et ses dépendances de manière exhaustive.
  • Gérer la dette technique pour maintenir la sécurité du système dans la durée.

Phase de production

  • Mettre en place des processus de gestion des incidents et de réponse aux cyberattaques.
  • Surveiller en continu le système pour détecter les comportements anormaux.
  • Partager les informations sur les menaces et vulnérabilités avec la communauté.

Le guide détaille également des scénarios d’attaques potentielles comme la manipulation, l’infection ou l’exfiltration de données par un acteur malveillant.

En suivant ces recommandations, les organisations pourront développer et exploiter des systèmes d’IA générative de manière sûre et responsable.

Source : ANSSI – Recommandations de sécurité pour l’IA générative

Étiquettes : ,