L’intelligence artificielle, un danger à l’encontre de la cybersécurité ?

Depuis de nombreuses années se sont développés les systèmes d’intelligence artificielle (connus le sous le sigle, SIA) qui peuvent présenter des menaces, notamment à l’encontre des données recueillies. Se pose immédiatement la question de savoir comment définir la cybersécurité. Ce terme renvoie à la nécessité de garantir la sécurité des outils numériques et informatiques, aussi bien des particuliers que des organisations nationales ou internationales, contre des dangers résidant principalement dans des attaques malintentionnées. Les menaces sont grandes et peuvent impacter aussi bien la propriété intellectuelle que les données à caractère personnel.

Les systèmes d’intelligence artificielle peuvent, eux aussi, être impactés. Des menaces leur sont par ailleurs tout à fait spécifiques, à l’image de l’inférence qui consiste à obtenir des informations inaccessibles, par recoupement. Ces systèmes peuvent être utilisés conformément au sens exact du terme (par un filtrage anti-spam) ou peuvent l’être en étant incorporés à d’autres systèmes d’information à l’image de la gestion de la relation client. Les menaces étant grandissantes, il existe actuellement des solutions qui sont mises en œuvre ; elles peuvent revêtir diverses natures : ce sont principalement des solutions ou bien organisationnelles ou bien technologiques (par exemple, mise en place de contrôles ou d’instauration de solutions juridiques). Ces solutions juridiques s’illustrent majoritairement par l’instauration d’un système de responsabilité : les organisations sont contraintes de répondre de possibles dommages qui auraient été causés à l’encontre de données de leurs clients ou encore de leurs salariés. Elles devront donc instaurer une sécurisation de leur système d’information qui passent précisément par des instruments organisationnels ou techniques (cf. Loi Informatique et Libertés mais aussi et surtout le RGPD).

Il existe actuellement une proposition de réglementation en droit de l’Union européenne et qui intéresse directement l’intelligence artificielle. Celle-ci a été adoptée par le Parlement européen en date du 14 juin 2023 : il s’agit du AI Act (Artificial Intelligence Act). Ce règlement a pour ambition d’harmoniser les règles inhérentes à l’intelligence artificielle dans les Etats membres de l’Union européenne, principalement les acteurs de l’intelligence artificielle, mais aussi et surtout de permettre une évaluation et un contrôle des systèmes d’intelligence artificielle. Ce règlement serait appliqué à compter de 2025.

L’intelligence artificielle constitue-t-elle un nouveau danger ?

L’intelligence artificielle peut être employée à l’effet de procéder à des cyberattaques de plus en plus poussées d’un point de vue technique et technologique. Ces SIA sont en mesure de générer tout un ensemble de contenus pouvant être utilisés de manière malveillante (par exemple la propagation de « deep fakes » qui utilisent non seulement les visages mais aussi les voix d’individus dans une vidéo et qui n’est en rien véridique mais purement inventée). Aussi, le pilotage de certains logiciels malveillants par l’intelligence artificielle peut entrainer la mise en action de techniques et procédures dites d’apprentissage qui permettent à ces mêmes logiciels de mener des attaques encore plus ciblées et surtout plus dommageables encore que celles précédemment mises en œuvre.

Les infractions commises dans ce cas revêtent la nature de délit. Il revient donc au droit pénal de les sanctionner. Il existe en vérité d’autres infractions qui sont beaucoup plus spécifiques et directement applicables en cas d’atteintes aux différents systèmes de traitement automatisé de données. S’il est indéniable que sur le plan strictement théorique ces différents délits permettent de sanctionner de tels agissements, il n’en demeure pas moins que la pratique est tout autre, les forces de l’ordre se heurtant principalement au caractère international de ces infractions et à une faible proportion de plaintes effectivement déposées par les victimes.

L’intelligence artificielle peut-elle renforcer la cybersécurité ?

Si l’utilisation de l’intelligence artificielle peut avoir pour effet de permettre des attaques, il n’en demeure pas moins que celle-ci peut, en parallèle, permettre un renforcement de la cybersécurité. En effet, il suffira de relever le fait que des applications de l’intelligence artificielle à l’intérieur de logiciels anti-virus par exemple ont été intégrées dans les procédures de protection des systèmes d’information par les acteurs privées, à l’image des entreprises.

L’intelligence artificielle permet de détecter des menaces en ce qu’elle permet l’analyse d’un ensemble de données importantes. Celle-ci peut non seulement déceler les attaques mais aussi et surtout les autres menaces afin d’en arrêter la progression et, de la sorte, permettre de contenir leur propagation dans les systèmes d’information. S’il est indéniable que l’intelligence artificielle permet une analyse rapide d’une situation donnée, elle permet en vérité d’apporter une ou des réponses de protection face aux attaques. Elle peut aussi être employée au sein de logiciels de sécurité lors de leur développement. En effet, l’intelligence artificielle peut permettre un feedback instantané sur la solidité ou non des codes utilisés dans ces logiciels en cours de développement. Cela permet, in fine, de modifier tout leur contenu à l’effet de renforcer la résistance finale des logiciels concernés.

Il est en fin de compte intéressant de noter qu’il revient aux organisations de procéder à la sélection mais surtout au financement des mesures prises en matière de sécurité ; ce choix final opéré par les organisations publiques ou privées est effectué après une étude des risques qui sont effectivement encourus mais surtout des enjeux qui se présentent à elles. Il est opportun de noter que l’Union européenne émet le souhait de renforcer le niveau de sécurité en permettant un renforcement de l’imbrication entre les normes juridiques et les normes techniques au sein des domaines de l’intelligence artificielle et de la cybersécurité.

Il conviendra de retenir, pour clore notre développement, que l’intelligence artificielle aussi intéressante soit-elle sur plan technologique emporte un certain nombre de questions. Il est en vérité attendu que de nouvelles règles de nature juridique, nationales et européennes, puissent être prises et en effet applicables afin qu’elle soit utilisée dans un but strictement bien veillant et pour que son impact soit positif pour les organisations et les particuliers.