L’Agence nationale de la sécurité des systèmes d’information (ANSSI), vient de publier un nouveau guide sur la sécurité des systèmes d’intelligence artificielle (IA). Très attendu par les spécialistes de la cybersécurité et de l’IA, ce document propose une sensibilisation, des recommandations ainsi que des bonnes pratiques pour les structures qui souhaitent développer en toute sécurité des intelligences artificielles génératives. En voici quelques pistes.
C’est quoi une IA générative ?
Selon l’ANSSI, une IA générative est “un sous-ensemble de l’intelligence artificielle, axé sur la création de modèles qui sont entraînés à générer du contenu (texte, images, vidéos, etc.) à partir d’un corpus spécifique de données d’entraînement“. Plus simplement, il s’agit d’une intelligence artificielle qui peut créer de nouvelles données, images, textes, sons de manière autonome. Ceci en s’inspirant des modèles qu’elle a appris à partir de données existantes. Elle est destinée à divers cas d’usage tels que les chatbots, la génération de code informatique ou l’analyse et la synthèse de documents.
Que recommande l’ANSSI ?
Véritable poule aux oeufs d’or pour les entreprises, l’intelligence artificielle générative est également source de questionnement au niveau de la sécurité des données. C’est pour cela que l’ANSSI propose 35 recommandations à mettre en œuvre pour sécuriser l’intégralité d’u système d’intelligence artificielle générative. En voici quelques unes qui concernent la phase d’entraînement, de déploiement et de production d’une IA générative qui parleront aux professionnels de ce domaine.
Evaluer le niveau de confiance des bibliothèques et modules externes utilisés
Cartographier l’ensemble des bibliothèques et modules externes utilisés dans le cadre d’un projet et évaluer leur niveau de confiance font partie des recommandations de l’ANSSI. Il est également conseillé d’évaluer les sources de données non maîtrisées par l’entité. Ces sources peuvent être des jeux de données d’entraînement récupérés sur Internet. Et aussi des jeux de validation de la performance d’un modèle ou encore des jeux de données additionnelles utilisés lors de la phase de production.
Utiliser des formats de modèles d’IA sécurisés
Selon le guide de l’ANSSI, “il est recommandé d’utiliser des formats à l’état de l’art du point de vue de la sécurité, comme le format safetensor par exemple. Certains formats peu sécurisés, comme le format pickle, sont à proscrire“.
Prendre en compte les enjeux de confidentialité des données dès la conception du système d’IA
A l’image du RGPD, la notion du concept de la sécurisation des données “dès la conception” (Privacy by design) concerne également la mise en place d’une intelligence artificielle générative. Ainsi, “l’étude du projet doit cartographier l’ensemble des jeux de données utilisés à chaque phase du système d’IA : entraînement (jeux de données d’entraînement), déploiement (jeux de tests) et production (données additionnelles, base de données vectorielles, etc.)“.
Cloisonner chaque phase du système d’IA dans un environnement dédié
L’ANSSI recommande également de cloisonner les trois environnements techniques qui correspondent à chacune des phases du cycle de vie du système d’IA. Ce cloisonnement peut porter sur :
- Un cloisonnement réseau. Chaque environnement est intégré dans un réseau physiquement ou logiquement dédié.
- Un cloisonnement système. Chaque environnement dispose de ses propres serveurs physiques ou hyperviseurs dédiés.
- Un cloisonnement du stockage. Chaque environnement dispose de son propre matériel de stockage ou de disques dédiés. Au minimum, un cloisonnement logique est appliqué.
- Un cloisonnement des comptes et des secrets. Chaque environnement dispose de ses propres comptes utilisateurs et administrateurs et de secrets distincts.
Journaliser l’ensemble des traitements réalisés au sein du système d’IA
Les structures souhaitant développer un intelligence artificielle générative sont également invités à journaliser au bon niveau de granularité l’ensemble des traitements réalisés sur le système d’IA, notamment :
- Les requêtes des utilisateurs (en prenant garde à leur protection si ces requêtes contiennent des données sensibles).
- Les traitements réalisés en entrée sur cette requête avant l’envoi au modèle.
- Les appels à des plugins.
- Les appels à des données additionnelles.
- Les traitements réalisés en par les filtres en sortie.
- Les réponses aux utilisateurs.
Selon l’ANSSI, “la journalisation des données des utilisateurs doit respecter les exigences de la CNIL concernant la protection des données personnelles (comme prévu par le RGPD) et notamment pour la durée de conservation de ces données sur le système d’IA“.
Pour en savoir plus sur ces recommandations de l’ANSSI concernant la sécurité des systèmes d’intelligences génératives, c’est par ici.
Besoin de conseils pour tirer parti des avantages sur ce que peut vous apporter l’intégration d’un chatbot sur votre site E-commerce ? Notre équipe qualifiée composée de passionnés de l’IA et des Data Sciences pourront vous aider à mettre en place cette nouvelle technologie souvent complexe au premier abord et définir les objectifs de votre chatbot et l’adapter à votre business E-commerce.
N’hésitez pas à nous contacter pour mettre en œuvre le projet digital que vous avez en tête !