Retour

Automatisation et IA en cybersécurité : révolution ou fausse promesse pour les RSSI ?

Contrairement à l’IT qui travaille sur les données issues de systèmes numériques, l’OT (Operational Technology) se concentre sur un ensemble de capteurs et actionneurs majoritairement industriels avec des objectifs opposés à la sécurité. En effet, le MTBF (mean time before failure) est le critère le plus important dans l’OT.

L’automatisation et l’intelligence artificielle pourront-elles un jour remplacer entièrement les interventions humaines en cybersécurité ? Comment s’assurer que les technologies mises en place sont utilisées de manière responsable et éthique, notamment d’un point de vue réglementaire lorsqu’elles ont recours à l’IA ? C’est une véritable feuille de route que l’organisation devrait mettre en place.

 

L’automatisation et l’intelligence artificielle pourront-elles un jour remplacer entièrement les interventions humaines en cybersécurité, ou y aura-t-il toujours un besoin d’expertise humaine ?

Bien que l’automatisation et l’IA transforment profondément le domaine de la cybersécurité, l’expertise humaine restera un élément central pour garantir une protection efficace.

L’automatisation et l’IA présentent dans ce domaine des avantages notables :

  • L’efficacité accrue de l’IA et l’automatisation permettent de traiter de vastes quantités de données et détecter des menaces bien plus rapidement que les humains,
  • Les systèmes automatisés réagissent en temps réel aux anomalies détectées, réduisant ainsi les temps de réponse et
  • Face à la pénurie de talents qualifiés en cybersécurité, l’automatisation permet d’optimiser les ressources humaines disponibles.

Néanmoins, l’automatisation et l’IA ont leurs limites et l’expertise humaine reste nécessaire tout d’abord en termes de jugement pour interpréter les résultats, comprendre le contexte plus large et prendre des décisions stratégiques. L’expertise humaine est aussi cruciale pour développer des solutions innovantes grâce à la créativité et l’adaptation face à de nouvelles menaces complexes.

Enfin, au regard des considérations éthiques et légales, les professionnels « humains » sont nécessaires pour s’assurer que l’utilisation de l’IA en cybersécurité respecte les cadres éthiques et juridiques.

Il sera crucial de former les professionnels à travailler efficacement avec ces nouvelles technologies, en développant des compétences complémentaires à l’IA.

L’utilisation éthique et responsable des technologies ayant recours à l’IA

Pour s’assurer que les technologies utilisant l’IA sont déployées de manière responsable et éthique, en particulier d’un point de vue réglementaire, plusieurs actions clés doivent être mises en place : l’ethics by design, transparence et explicabilité, protection des données, compliance et formation. Les recommandations de l’UNESCO sont à ce titre particulièrement utiles.

Conception éthique dès la conception

Il est crucial d’intégrer les considérations éthiques dès les premières phases de développement des systèmes d’IA. Cela implique d’évaluer les implications morales potentielles, d’identifier et d’éliminer les biais algorithmiques et  de réfléchir aux conséquences sociales de l’utilisation de l’IA.

Les équipes de développement doivent adopter une approche inclusive et diversifiée pour prendre en compte différentes perspectives éthiques.

Transparence et explicabilité

Les décisions prises par les systèmes d’IA doivent être compréhensibles et explicables. Cela permet de garantir que les utilisateurs comprennent le fonctionnement de l’IA, d’identifier et corriger les biais ou erreurs potentiels et de renforcer la confiance dans la technologie.

Protection des données et de la vie privée

Les entreprises doivent mettre en place avec leur Data Protection Officer des pratiques rigoureuses pour collecter et traiter les données de manière éthique, respecter la vie privée des individus, sécuriser les données personnelles et utiliser des techniques d’anonymisation et de pseudonymisation.

Concernant la conformité réglementaire, les lois et réglementations en vigueur pertinentes sont notamment : les lois sur la protection des données, le règlement européen sur les systèmes d’IA, les normes de cybersécurité et les recommandations éthiques. Les entreprises doivent aussi effectuer des audits réguliers pour vérifier leur conformité.

Responsabilité et reddition de comptes (accountability)

Les développeurs et organisations déployant des systèmes d’IA doivent être tenus responsables de l’utilisation de l’IA et assumer les conséquences positives et négatives de leur mise en œuvre. Il s’agira aussi de mettre en place des mécanismes de surveillance et de correction.

Engagement des parties prenantes

Il est important d’impliquer diverses parties prenantes dans le développement et l’évaluation de l’IA en travaillant avec des experts en éthique, des chercheurs issus de champs disciplinaires différents, des utilisateurs et des décideurs politiques.

C’est la diversité de leurs opinions qui contribue à identifier les problèmes éthiques potentiels.

Formation et sensibilisation

Les entreprises doivent d’ores-et-déjà former leurs collaborateurs aux enjeux éthiques de l’IA, encourager une culture d’éthique et de responsabilité par exemple en organiser des conférences et ateliers pour sensibiliser les professionnels.

Cadre réglementaire adapté

Enfin, les gouvernements et organismes de régulation européens et internationaux jouent un rôle capital en établissant des cadres éthiques et des lignes directrices flexibles et en adaptant la réglementation à l’évolution rapide de la technologie.

C’est le cas notamment avec l’adoption du règlement européen sur l’IA en juillet dernier , mais aussi aux Etats-Unis (p.ex. la Californie : Senate Bill (SB) 1047) ou encore des multiples recommandations sur l’utilisation éthique de l’IA (p.ex. en Australie).

En combinant ces différentes approches, les organisations s’assureront que leurs technologies d’IA sont développées et utilisées de manière responsable et éthique, tout en respectant le cadre réglementaire en vigueur.

Comment l’OT est-il intégré dans les cadres de conformité réglementaires européens?

Étant donné l’importance de ces systèmes, ils sont soumis à diverses exigences réglementaires pour garantir leur sécurité et leur conformité, qu’il s’agisse de protection des données ou de cybersécurité. L’intégration de l’Operational Technology dans les cadres de conformité réglementaire est un enjeu majeur pour de nombreuses industries. Voici comment l’OT est pris en compte dans les principales réglementations.

 

Règlement Général sur la Protection des Données

Bien que le RGPD se concentre principalement sur les données à caractère personnel, il a des implications pour l’OT tout d’abord en termes de sécurité des données. Les systèmes OT qui traitent des données personnelles (par exemple, les systèmes de contrôle d’accès) doivent mettre en place des mesures de sécurité appropriées. Les principes de protection des données dès la conception (privacy by design) doivent être intégrés dans le développement des systèmes OT. Enfin, Les violations de données impliquant des systèmes OT doivent être signalées conformément aux exigences du RGPD au titre de la gestion des incidents.

Règlement européen sur l’intelligence artificielle

Connu sous le nom d’IA Act, ce texte est pertinent pour l’Operational Technology en raison de plusieurs aspects clés qui concernent la sécurité et la conformité des systèmes utilisant l’IA dans des environnements industriels.

L’IA Act classe les applications d’IA en fonction de leur niveau de risque, ce qui inclut les systèmes à haut risque qui pourraient être utilisés dans des environnements OT. Les systèmes à haut risque sont soumis à des exigences strictes en matière de sécurité, de robustesse et de cybersécurité, ce qui est crucial pour les systèmes OT où la sécurité est primordiale.

Le règlement prévoit l’élaboration de normes harmonisées (*) pour les systèmes d’IA, qui incluent des aspects de cybersécurité. Ces normes sont essentielles pour garantir que les systèmes OT intégrant l’IA respectent des standards de sécurité élevés, réduisant ainsi les risques d’incidents de cybersécurité.

Les systèmes d’IA utilisés dans l’OT devront faire l’objet d’évaluations de conformité pour s’assurer qu’ils respectent les exigences du règlement. Cela inclut des évaluations par des organismes notifiés, garantissant que les systèmes sont sûrs et fiables avant leur déploiement.

L’IA Act impose des obligations de transparence et de gouvernance aux fournisseurs et utilisateurs de systèmes d’IA. Pour les systèmes OT, cela signifie que les processus décisionnels automatisés doivent être explicables et les organisations doivent être en mesure de démontrer la conformité de leurs systèmes avec les exigences légales.

Enfin, le règlement intègre des considérations de cybersécurité spécifiques aux systèmes d’IA, ce qui est particulièrement pertinent pour l’OT où l’intégrité et la disponibilité des systèmes sont critiques. L’IA Act encourage une articulation renforcée entre les normes juridiques et techniques pour améliorer la sécurité des systèmes.

Directive NIS 2 (Network and Information Systems)

Cette directive vise spécifiquement à renforcer la cybersécurité des infrastructures critiques, y compris les systèmes OT. Les organisations doivent évaluer régulièrement les risques liés à leurs systèmes OT. Des mesures de contrôle de sécurité techniques et organisationnels doivent être mis en place pour protéger les systèmes OT et les incidents de cybersécurité affectant les systèmes OT doivent être signalés aux autorités compétentes (procédure de notification des incidents). Enfin, les autorités nationales doivent superviser la conformité des opérateurs de services essentiels, y compris pour leurs systèmes OT.

Cyber Resilience Act

Ce nouveau règlement européen est encore en cours d’élaboration. Adopté au Conseil en décembre 2023, puis approuvé par la commission ITRE du Parlement dans son ensemble le 12 mars 2024 avec 517 voix pour, 12 contre et 78 abstentions. Le texte doit encore être formellement adopté par le Conseil avant de pouvoir entrer en vigueur.

Le règlement sur la résilience numérique aura un impact significatif sur l’OT car les fabricants de produits OT devront intégrer des fonctionnalités de sécurité dès la phase de conception (sécurité dès la conception) et ils devront fournir des mises à jour de sécurité pour leurs produits OT tout au long de leur cycle de vie. Les produits OT devront passer des évaluations de conformité avant leur mise sur le marché (art.24) et être accompagnés d’une déclaration de conformité attestant du respect des exigences de cybersécurité.

Quelle feuille de route pour accompagner la conformité de l’intégration de l’IA dans ce domaine ?

Pour intégrer efficacement l’OT dans ces cadres réglementaires, les organisations devraient :

  1. Cartographier leurs systèmes OT : identifier tous les systèmes OT et comprendre leur rôle dans les processus métier,
  2. Réaliser des évaluations de risques spécifiques aux systèmes OT,
  3. Mettre en place des mesures de sécurité adaptées aux environnements OT, comme la segmentation réseau et le contrôle d’accès,
  4. Former les équipes aux enjeux de sécurité spécifiques à l’OT,
  5. Établir des procédures de gestion des incidents avec des plans de réponse aux incidents adaptés aux systèmes OT et
  6. Assurer une veille réglementaire pour adapter les pratiques en conséquence.

En adoptant une approche proactive et en intégrant les considérations de conformité dès la conception des systèmes OT, les organisations peuvent non seulement se conformer aux exigences réglementaires, mais aussi renforcer significativement leur posture de sécurité globale.

 

(*) Normes harmonisées : elles sont élaborées par le CEN, Cenelec et l’ETSI. D’après l’IA Act, les systèmes d’IA à haut risques ou les modèles d’IA à usage général conformes à des normes harmonisées sont présumées conformes à l’IA Act (art.40).

 

Ressources

IA éthique : un défi pour le futur de nos entreprises (hyfen.fr), 26/06/2024

Recommandation Éthique de l’intelligence artificielle | UNESCO

Règlement européen sur l’IA Regulation – EU – 2024/1689 – EN – EUR-Lex (europa.eu)

Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL | CNIL, 12/07/2024

Explorateur: Loi sur l’intelligence artificielle de l’UE – Développements et analyses actualisés de la loi sur l’intelligence artificielle de l’UE (artificialintelligenceact.eu)

 

Étiquette:, , , ,

Dr Nathalie DEVILLIER
Dr Nathalie DEVILLIER

Nathalie DEVILLIER est la fondatrice d’Influence Cyber.

Docteur en droit international économique, son expertise est recherchée par les institutions européennes et internationales.

Vous pourriez aussi aimer

copyright law.2
IA et droits d’auteur : pourquoi les Legaltechs sont-elles le nouveau champ de bataille ?
11 novembre, 2024
IA_confiance_responsable
4 étapes pour mettre en œuvre une IA responsable dans l’entreprise
12 février, 2024
robot2
Les géants de l’intelligence artificielle s’allient pour garder le contrôle du secteur
8 août, 2023