Dans la newsletter d’aujourd’hui:

Pour les abonnés gratuits:

• L’édito : Trouver le juste équilibre entre gouvernance de l’IA, cyber et innovation

Pour les abonnés payants:

• La Tribune : Rançongiciels : fusion inquiétante entre cybercriminalité et espionnage d'État

• Études : 72 % des dirigeants doutent de leur capacité à protéger leurs données SaaS

• A ne pas manquer sur le web : Nous devons éliminer la complexité de nos systèmes gouvernementaux pour améliorer la sécurité, déclare Therese Payton

« L’IA en cybersécurité est une avancée, mais elle ne remplacera jamais les principes fondamentaux de sécurité. Il faut une approche pragmatique et mesurée, où la confiance reste essentielle », telle était la conclusion de Vincent Strubel, directeur général de l’Anssi lors de l’évènement Cyber-IA expo qui s’est tenu le 4 février, ouvrant la semaine dédiée à l’intelligence artificielle, conclue par le sommet pour l’action sur l’IA des 10 et 11 février.

Une rencontre qui a permis à Clara Chappaz d’annoncer la création de l’Inesia, l’Institut national pour l’évaluation de la sécurité de l’IA (ou devrait plutôt dire « des IA »).

Trouver le juste équilibre entre gouvernance de l’IA, cyber et innovation

Bonne nouvelle la cyber n’a pas été -trop- oubliée lors de ce sommet sur l’IA qui s’est tenu à Paris les 10 et 11 février. Alors certes, il faut aller fouiller dans les arcanes du programme pour dénicher quelques sessions dédiées comme la table ronde « Vie privée, cybersécurité et intégrité de l’information, tirer parti de l’IA pour protéger les démocraties », animée par Guillaume Poupard et à laquelle participait le président de Lettonie, la présidente de la Cnil ou encore la présidente de la messagerie Signal. J’ai aussi entraperçu une conférence sur « l’IA et la sécurité nationale ». Le thème est donc porté au plus haut niveau. Reste le mot fort de ce sommet : l’action (le sommet se nommait AI Action Summit).

Reste à voir ce qui peut justement résulter de ce sommet en termes d’action combinant IA et Cyber. On peut estimer que nous avons eu un premier élément de réponse avec la création de l’Inesia (Institut national pour l’évaluation de la sécurité de l’IA). Cet institut est entièrement dévoué à évaluer la sécurité des IA. Il s’inscrit dans la lignée des précédents sommets IA qui se sont déroulés au Royaume Uni en novembre 2023 et à Séoul en mai 2024 et qui ont vu la création du réseau international des AI Safety Institutes. Tous deux ont donné lieu à la création de comités sur l’AI Safety. En France, nous parlons dons de l’Inesia qui aura les capacités d’étudier scientifiquement l’ensemble des effets de l’IA et notamment en ce qui concerne la cybersécurité. Piloté par le secrétariat général de la défense et de la sécurité nationale et par la Direction Générale des Entreprises, il devrait fédérer un certain nombre d’acteurs nationaux dont notamment quatre administrations existantes parmi lesquelles figurent l’Anssi, l’Inria, le LNE (Laboratoire national de métrologie et d’essais et le Peren (pôle d’expertise de la régulation numérique)… que vous découvrez peut être en même temps que moi.

Une vitrine du potentiel scientifique français

Les plus enthousiastes y verront une avancée avec la présence d’une expertise française spécialisée et centralisée au service de l’Europe, un allié de poids pour les startups françaises, un levier d’innovation pour démocratiser les meilleures pratiques, voire une vitrine du potentiel scientifique tricolore. Les plus régaliens pourront espérer que l’Inesia s’impose comme un outil clé -auprès notamment des entreprises- pour la mise en œuvre de l’AI Act européen et pour les accompagner dans leurs procédures de conformité règlementaire. Enfin les plus inquiets tenteront de se rassurer en imaginant que cet institut puisse jouer le rôle de gardien. Qu’il sera capable d’identifier les vulnérabilités et de promouvoir des IA plus transparentes. Qu’il apportera enfin une réponse forte face aux risques cyber (deepfakes, modèles génératifs et biais algorithmiques, dérives technologiques).

Une absence de pouvoir régulateur

A l’opposé, nous pouvons également relever quelques critiques concernant cet organisme et en premier lieu son absence de pouvoir régulateur. De ce que j’ai compris, il n’est en effet pas doté de telles aptitudes. Ce qui limite sa capacité à imposer des normes ou des sanctions. Son rôle se cantonne principalement à la recherche et à l'évaluation, sans autorité pour encadrer ou réguler les applications de l'IA.

Relevons aussi sa complexité organisationnelle. Il s’agit d’une fédération d'entités existantes. Il n’y pas de création d'une nouvelle structure juridique. Cette configuration pourrait entraîner des défis en matière de coordination et d'efficacité, en raison de la multiplicité des acteurs impliqués. D’autres voix s’inquiètent également du pilotage uniquement gouvernemental avec une possible centralisation de l’expertise d’évaluation et de surveillance de l’IA entre les mains de l’Etat.

A peser le pour et le contre et si je me mets du côté des entreprises, je pense que la création de l’Inesia peut être perçue plutôt favorablement. Mon caractère optimiste me laisse même entrevoir un certain rôle catalyseur pour une intelligence artificielle sûre et innovante en France.

...