La course à l'innovation de l'IA générative met en lumière des lacunes de sécurité, selon un rapport d'IBM et d'AWS.

Qu'est-ce qu'il faudra pour sécuriser l'IA générative ?

Une récente étude d'IBM et d'Amazon Web Services (AWS) révèle qu'il n'existe pas de solution simple pour sécuriser l'IA générative (IA générative). D'après une enquête menée par l'IBM Institute for Business Value auprès de dirigeants américains, le rapport souligne l'importance cruciale de la sécurité dans les initiatives d'IA. Notamment, 82 % des dirigeants C-suite s'accordent à dire qu'une IA sécurisée et digne de confiance est essentielle à la réussite des affaires.

Cependant, il existe un fossé entre les intentions et les actions : les organisations sécurisent actuellement seulement 24 % de leurs projets d'IA générative. Cette préoccupation pour la sécurité est corroborée par un rapport de PwC, qui note que 77 % des PDG s'inquiètent des risques de cybersécurité liés à l'IA.

Pour relever ces défis, IBM s'associe à AWS afin d'améliorer la sécurité de l'IA générative. Aujourd'hui, ils ont annoncé le Service de Test IBM X-Force Red pour l'IA, visant à renforcer les mesures de sécurité dans ce domaine.

Naviguer entre Innovation et Sécurité

Bien que sécuriser la technologie semble fondamental, de nombreuses organisations privilégient l'innovation au détriment de la sécurité. Le rapport met en lumière que 69 % d'entre elles mettent l'innovation en premier, négligeant souvent les mesures de sécurité complètes. Dimple Ahluwalia, partenaire senior mondial pour les services de cybersécurité chez IBM Consulting, constate que les dirigeants sont soumis à la pression d'innover avec l'IA générative, entraînant souvent une négligence des considérations de sécurité.

« Comme dans les débuts du cloud computing », note Ahluwalia, « beaucoup se précipitent dans l'IA générative sans planification de sécurité adéquate, compromettant ainsi la sécurité. »

Établir des Cadres de Sécurité Efficaces

Pour renforcer la confiance dans l'IA générative, les organisations doivent mettre en place une gouvernance solide. Cela implique la création de politiques, de processus et de contrôles alignés sur les objectifs commerciaux : 81 % des dirigeants estiment que de nouveaux modèles de gouvernance sont nécessaires pour sécuriser l'IA générative.

Une fois les cadres de gouvernance établis, les organisations peuvent développer des stratégies pour sécuriser l'ensemble du pipeline de l'IA. Cela nécessite une collaboration entre équipes de sécurité, technologiques et commerciales, ainsi que l'exploitation de l'expertise des partenaires technologiques pour le développement de stratégies, la formation, la justification des coûts et la navigation dans la conformité.

Service de Test IBM X-Force Red pour l'IA

En plus de la gouvernance, la validation et les tests sont essentiels pour garantir la sécurité. Le Service de Test IBM X-Force Red pour l'IA marque le premier service de test d'IBM spécifiquement conçu pour l'IA. Ce service regroupe une équipe diversifiée d'experts en tests d'intrusion, en systèmes d'IA et en science des données, s'appuyant sur les recherches d'IBM et sur l'Adversarial Robustness Toolbox (ART).

Le terme « red teaming » fait référence à une approche proactive de la sécurité où des tactiques adversariales sont appliquées pour identifier des vulnérabilités. Chris Thompson, responsable mondial de X-Force Red chez IBM, explique que l'accent a été mis sur les tests de sécurité et de sûreté des modèles d'IA, bien que les tactiques de red team traditionnelles sur la furtivité et l'évasion aient été sous-explorées.

« La nature des attaques sur les applications d'IA générative ressemble aux menaces de sécurité applicative traditionnelles, mais avec des spécificités uniques et des surfaces d'attaque élargies », souligne Thompson.

À mesure que nous avançons en 2024, IBM observe une convergence de stratégies qui ressemblent à un véritable red teaming. Leur approche englobe quatre domaines clés : les plateformes d'IA, le pipeline de ML pour le réglage et l'entraînement des modèles, l'environnement de production pour les applications d'IA générative et les applications elles-mêmes.

« En phase avec nos efforts traditionnels de red teaming, nous visons à découvrir des opportunités de détection manquées et à améliorer la rapidité de détection des menaces potentielles ciblant ces solutions innovantes d'IA », conclut Thompson.