L'essor de l’IA exige une cybersécurité renforcée pour minimiser les risques inhérents à cette technologie. Seuls les aspects novateurs et positifs devraient être préservés. Dans le domaine de la défense, l’IA permettra d’accroitre l’efficacité mais aussi de préserver les vies civiles et militaires.
L’Union européenne s’est dotée d’une réglementation sur l’intelligence artificielle (Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle, appelé aussi AI Act), entrée en vigueur le 1er août 2024. Les Etats-Unis ont lancé, sous l’égide du Président Donald Trump, une initiative « American Artificial Intelligence Initiative » dans l’optique de développer l’innovation dans le domaine de l’intelligence artificielle. Le Président Joe Biden a poursuivi cette initiative : l’Executive Order 14110 « Safe, Secure and Trustworthy Artificial Intelligence » adopté le 30 octobre 2023 a pour objectif d’intégrer la sûreté, la sécurité et la fiabilité dans le développement de l’intelligence artificielle. Au niveau fédéral, le National Institute of Standards and Technology développe des standards en mettant en place un écosystème avec de grands groupes américains et des centres de recherches et universités.
En tout état de cause, l’idée aux Etats-Unis et en Europe est de pouvoir combiner innovation et sécurité. Un des éléments centraux du débat est de placer le curseur entre ces deux notions qui idéalement peuvent se combiner mais peuvent aussi s’exclure : par exemple, des systèmes d’IA sur le score social pourraient être acceptés parce que porteurs d’innovation comme dans l’épisode de la série Black Mirror, « Chute libre », mais ne seraient pas considérés comme acceptables par la réglementation européenne.
Dans le règlement européen sont définis des risques. L’AI Act interdit une catégorie d’IA avec des pratiques contraires aux valeurs de l'Union européenne et aux droits fondamentaux telles que le score social.
Une deuxième catégorie est celle d'IA comme étant à haut risque lorsque ces techniques d’IA peuvent porter atteinte à la sécurité des personnes ou à leurs droits fondamentaux : dans cette hypothèse, elles doivent être encadrées (documentation technique, mécanismes de gestion des risques, évaluation de conformité). Les systèmes d’IA qui doivent être encadrés sont listés dans l’annexe I de l’AI Act pour les systèmes intégrés dans des produits qui font déjà l’objet d’une surveillance de marché (sûreté de l’aviation civile) et dans l’annexe III pour les systèmes utilisés dans huit domaines spécifiques (notamment les infrastructures critiques).
Une troisième catégorie d’IA comporte juste une obligation de transparence. Enfin, une quatrième catégorie regroupe tous les autres systèmes d’IA ne comportant pas d’obligation spécifique (exemple : l’IA qui traite des connaissances juridiques).
La cybersécurité est citée à de nombreuses reprises dans l’AI Act. Le considérant 76 précise que « La cybersécurité joue un rôle crucial pour ce qui est de garantir la résilience des systèmes d’IA face aux tentatives de détourner leur utilisation, leur comportement, leur performance ou de compromettre leurs propriétés de sûreté par des tiers malveillants exploitant les vulnérabilités du système. Les cyberattaques contre les systèmes d’IA peuvent passer par des ressources propres à l’IA, telles que les jeux de données d’entraînement (par exemple pour l’empoisonnement de données) ou l’entraînement des modèles (par exemple pour des attaques contradictoires ou des attaques par inférence d’appartenance), ou exploiter les vulnérabilités des ressources numériques du système d’IA ou de l’infrastructure TIC sous-jacente ».
Les systèmes d’IA à haut risque doivent respecter des exigences spécifiques en matière de cybersécurité. Cela inclut la protection contre les cyberattaques, la sécurisation des données et la prévention des vulnérabilités contre les risques d’intrusion des tiers non autorisés. L’article 9 de l’AI Act impose la mise en place, avant et tout au long de la vie du système d’IA, d’un processus de gestion des risques.
S’agissant toujours des systèmes d’IA à haut risque, une documentation technique, détaillée à l'article 11 de l’AI Act, est exigée avant que le système ne soit mis sur le marché ou mis en service. Cette documentation doit contenir à la fois une information générale sur l’IA détaillant notamment, conformément à l’annexe 4 de l’AI Act, la destination, la version et le processus de développement du système ainsi que les mesures de cybersécurité qui ont été prises contre les risques liés à la sécurité informatique (mesures de contrôle humain et mesures de contrôle technique). Cette documentation doit démontrer que le système d’IA satisfait aux exigences de la loi et doit fournir aux autorités compétentes les informations nécessaires à l’évaluation de sa conformité. Le respect de la loi impliquera par exemple le respect du RGPD en cas de traitement des données, les obligations de transparence imposées aux plateformes entre professionnels (Règlement (UE) 2019/1150, 20 juin 2019), et des mesures de la future loi de transposition de NIS 2. Quant à la conformité, les systèmes d’IA à haut risque devront être soumis à une évaluation de la conformité par un tiers ou se mettront d’emblée en conformité avec la norme type ISO/IEC 42001.
Le domaine de la défense est un domaine à part : l’IA trouve des applications spécifiques, échappant à de nombreuses restrictions réglementaires qui permettront l’innovation mais aussi la préservation des vies civiles et militaires. Le Département de la défense américain (DoD) développe des compétences particulières dans le domaine de la cybersécurité, de la surveillance grâce à des drones ou des caméras.
La défense est hors domaine de l’AI Act. Ainsi, le considérant 24 précise : si « des systèmes d’IA sont mis sur le marché, mis en service ou utilisés avec ou sans modification de ces systèmes à des fins militaires, de défense ou de sécurité nationale, ces systèmes devraient être exclus du champ d’application du présent règlement, indépendamment du type d’entité exerçant ces activités, par exemple qu’il s’agisse d’une entité publique ou privée. En ce qui concerne l’usage à des fins militaires et de défense, une telle exclusion est justifiée tant par l’article 4, paragraphe 2, du traité sur l’Union européenne que par les spécificités de la politique de défense des États membres et de la politique de défense commune de l’Union relevant du titre V, chapitre 2, du traité sur l’Union européenne ».
En France, la Direction générale de l’armement (DGA) et l’Agence de l’innovation de défense (AID) ont publié un guide pour l’intégration de l’IA dans les systèmes opérationnels de défense. Ce guide propose des orientations pour l’intégration de briques d’IA dans les systèmes – de la spécification à la qualification –, ainsi que tout au long de la vie du système déployé.
Des entreprises leaders de la sécurité et de la défense ont, dans la même ligne, établi des guidelines du développement de l’IA dans leurs services et leurs produits. Thales a élaboré quatre piliers sur l’IA. Le premier pilier a trait à sa validité (validity) : l’IA doit faire uniquement ce qu’elle doit faire et pas au-delà. Le deuxième pilier est lié à la sécurité (security) : le système doit être résilient aux cyberattaques. Le troisième pilier est l’explicabilité de l’IA (explainability). Le quatrième pilier enfin est basé sur la responsabilité de l’IA (responsability).
La Stratégie OTAN de l’IA vise à accélérer l’adoption de l’IA afin de renforcer l’avantage technologique de l’OTAN, tout en se protégeant contre les menaces liées à l’IA. L’OTAN s’engage à la collaboration et à la coopération entre les Alliés sur les questions liées à l’IA pour la défense et la sécurité transatlantiques. Les points importants de la stratégie de l’OTAN sont les suivants :
- un développement et une utilisation responsables : encourager le développement et l’utilisation responsables de l’IA à des fins de défense et de sécurité
- une adoption accélérée : accélérer et simplifier l’adoption de l’IA dans le développement des capacités (avec le secteur privé), l’interopérabilité et les nouveaux programmes
- une protection et une surveillance : protéger et suivre les technologies IA et la capacité d’innovation, gérer les risques
- une neutralisation des menaces : identifier et contrer les menaces liées à l’utilisation malveillante de l’IA par des acteurs étatiques et non étatiques.
On peut donc s’attendre à des investissements dans le domaine de la défense car il existe moins de limitations que celles posées par l’AI Act pour les applications purement civiles. Par ailleurs, le développement de l’IA dans le domaine de la défense apportera des innovations pour les applications civiles à l’instar d’Internet, initialement un programme militaire qui a ensuite connu un engouement dans ses applications civiles.
Article paru dans Option Finance le 11/09/2024
En savoir plus sur notre cabinet d'avocats :
Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Notre enracinement local, notre positionnement unique et notre expertise reconnue nous permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.
|
|
|
