CONTACT

IA Générative et Sécurité : les recommandations de l’ANSSI

28 juin 2024 | Sophie DUPERRAY |

Ce guide de l’ANSSI sur la sécurité contient une série de recommandations pratiques, qui seront autant de bases utiles pour les professionnels de l’IA générative et les entreprises utilisatrices.

Indépendamment des 35 recommandations en matière de sécurité formulées par l’ANSSI dans son guide « Recommandations de sécurité pour un système d’IA Générative » du 29 avril 2024, revenons sur quatre points clés particulièrement utiles.

Adopter des mesures de sécurité adéquates, propres à chaque phase de mise en œuvre de l’IA Générative.

L’IA présente en effet des vulnérabilités en sus des risques habituels de sécurité propre à tout système informatique. L’ANSSI recense les différentes configurations d’un système d’IA générative, les scénarios d’attaque et les recommandations propres à chaque phase de mise en œuvre (i.e. 1/ entrainement du modèle, 2/ intégration et déploiement au sein de l’entreprise, puis 3/ passage en production et mise à disposition aux utilisateurs).

Alimenter ses réflexions sur le partage de responsabilité entre les différents acteurs concernant la sécurité des IA génératives.

Qui fait quoi ? Le guide contient un schéma utile de répartition des rôles entre entreprise utilisatrice, éditeur ou prestataire ( en charge notamment de l’intégration ou de la personnalisation du modèle d’IA générative au sein d’une entreprise ).

Etablir des actions de sensibilisation des salariés à l’usage des IA génératives et mettre à jour ses chartes informatiques.

A consulter en priorité dans ce guide, les recommandations à destination des DSI et développeurs qui utilisent l’IA générative pour générer du code source, ou encore celles concernant l’utilisation d’outils d’IA générative édités par des tiers.

Affiner ses processus de contrôle interne de sécurité en cas de recours à l’IA générative.

Autant de recommandations à mettre en perspective avec les actions à initier de mise en conformité avec le règlement européen sur l’IA, comme à articuler avec ses dispositifs existants de protection des données à caractère personnel (compliance RGPD) : audit de sécurité, analyse de risque à mener avant tout déploiement, etc.