La CISA et le NCSC mènent les efforts visant à élever les normes de sécurité de l'IA

La CISA et le NCSC mènent les efforts visant à élever les normes de sécurité de l'IA

Horodatage: 27 novembre 2023, 11 h 15
CISA et NCSC mènent les efforts visant à élever les normes de sécurité de l'IA PlatoBlockchain Data Intelligence. Recherche verticale. Aï.

La National Cyber ​​Security Agency (NCSC) du Royaume-Uni et la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis ont publié des directives officielles pour sécuriser les applications d'IA – un document qui, espèrent les agences, garantira que la sécurité est inhérente au développement de l'IA.

L'agence de renseignement britannique affirme que document d'orientation est le premier du genre et est soutenu par 17 autres pays.

Conduire le publication C'est la crainte de longue date que la sécurité ne soit une réflexion secondaire alors que les fournisseurs de systèmes d'IA s'efforcent de suivre le rythme du développement de l'IA.

Lindy Cameron, PDG du NCSC, a déclaré plus tôt cette année que l'industrie technologique avait l'habitude de laisser la sécurité au second plan lorsque le rythme du développement technologique est élevé.

Aujourd’hui, les lignes directrices pour le développement de systèmes d’IA sécurisés ont de nouveau attiré l’attention sur ce problème, ajoutant que l’IA sera également invariablement exposée à de nouvelles vulnérabilités.

« Nous savons que l’IA se développe à un rythme phénoménal et qu’une action internationale concertée, entre les gouvernements et l’industrie, est nécessaire pour suivre ce rythme », a déclaré Cameron.

« Ces lignes directrices marquent une étape importante dans l’élaboration d’une compréhension commune véritablement mondiale des cyber-risques et des stratégies d’atténuation autour de l’IA afin de garantir que la sécurité n’est pas un post-scriptum du développement mais une exigence fondamentale tout au long. 

« Je suis fier que le NCSC mène des efforts cruciaux pour relever la barre de la cybersécurité de l'IA : un cyberespace mondial plus sécurisé nous aidera tous à exploiter en toute sécurité et en toute confiance les merveilleuses opportunités de cette technologie.

Les lignes directrices adoptent une sécurisé par conception approche, aidant idéalement les développeurs d’IA à prendre les décisions les plus cyber-sécurisées à toutes les étapes du processus de développement. Ils s'appliqueront aux applications créées à partir de zéro et à celles construites sur des ressources existantes.

La liste complète des pays qui approuvent les lignes directrices, ainsi que leurs agences de cybersécurité respectives, se trouve ci-dessous :

  • Australie – Centre australien de cybersécurité (ACSC) de la Direction australienne des signaux 
  • Canada – Centre canadien pour la cybersécurité (CCCS) 
  • Chili – CSIRT du gouvernement chilien
  • Tchéquie – Agence nationale tchèque de cybersécurité et de sécurité de l'information (NUKIB)
  • Estonie – Autorité du système d’information d’Estonie (RIA) et Centre national de cybersécurité d’Estonie (NCSC-EE)
  • France – Agence française de cybersécurité (ANSSI)
  • Allemagne – Office fédéral allemand pour la sécurité de l'information (BSI)
  • Israël – Direction nationale israélienne de la cybersécurité (INCD)
  • Italie – Agence nationale italienne de cybersécurité (ACN)
  • Japon – Centre national japonais de préparation aux incidents et de stratégie pour la cybersécurité (NISC ; Secrétariat japonais à la politique de la science, de la technologie et de l'innovation, Cabinet Office
  • Nouvelle-Zélande – Centre national de cybersécurité de la Nouvelle-Zélande
  • Nigéria – Agence nationale de développement des technologies de l'information du Nigéria (NITDA)
  • Norvège – Centre national norvégien de cybersécurité (NCSC-NO)
  • Pologne – Institut national de recherche polonais NASK (NASK)
  • République de Corée – Service national de renseignement de la République de Corée (NIS)
  • Singapour – Agence de cybersécurité de Singapour (CSA)
  • Royaume-Uni de Grande-Bretagne et d’Irlande du Nord – Centre national de cybersécurité (NCSC)
  • États-Unis d'Amérique – Agence de cybersécurité et d'infrastructure (CISA) ; Agence de sécurité nationale (NSA ; Bureau fédéral des enquêtes (FBI)

Les lignes directrices sont divisées en quatre domaines d’intervention clés, chacun comportant des suggestions spécifiques pour améliorer chaque étape du cycle de développement de l’IA.

1. Conception sécurisée

Comme le titre l’indique, les lignes directrices stipulent que la sécurité doit être prise en compte avant même le début du développement. La première étape consiste à sensibiliser le personnel aux risques de sécurité de l’IA et à leurs atténuations. 

Les développeurs doivent ensuite modéliser les menaces qui pèsent sur leur système, en tenant également compte de leur pérennité, par exemple en tenant compte du plus grand nombre de menaces de sécurité qui surviendront à mesure que la technologie attirera davantage d'utilisateurs et des développements technologiques futurs tels que les attaques automatisées.

Des décisions en matière de sécurité doivent également être prises avec chaque décision relative aux fonctionnalités. Si, lors de la phase de conception, un développeur est conscient que les composants de l’IA déclencheront certaines actions, il convient de se poser des questions sur la meilleure façon de sécuriser ce processus. Par exemple, si l'IA doit modifier des fichiers, les garanties nécessaires doivent être ajoutées pour limiter cette capacité aux seules limites des besoins spécifiques de l'application.

2. Développement sécurisé

Sécuriser la phase de développement comprend des conseils sur la sécurité de la chaîne d’approvisionnement, la tenue d’une documentation solide, la protection des actifs et la gestion de la dette technique.

La sécurité de la chaîne d'approvisionnement a été un point particulièrement important pour les défenseurs au cours des dernières années, avec une vague d'attaques très médiatisées conduisant à un grand nombre de victimes

Il est important de s'assurer que les fournisseurs utilisés par les développeurs d'IA sont vérifiés et fonctionnent selon des normes de sécurité élevées, tout comme d'avoir des plans en place lorsque les systèmes critiques rencontrent des problèmes.

3. Déploiement sécurisé

Le déploiement sécurisé implique la protection de l'infrastructure utilisée pour prendre en charge un système d'IA, y compris les contrôles d'accès aux API, aux modèles et aux données. Si un incident de sécurité devait se manifester, les développeurs doivent également mettre en place des plans de réponse et de remédiation qui supposent que des problèmes surgiront un jour.

Les fonctionnalités du modèle et les données sur lesquelles il a été formé doivent être protégées en permanence contre les attaques et doivent être publiées de manière responsable, uniquement lorsqu'elles ont été soumises à des évaluations de sécurité approfondies. 

Les systèmes d’IA devraient également permettre aux utilisateurs d’être en sécurité par défaut, en faisant, dans la mesure du possible, l’option ou la configuration la plus sécurisée comme valeur par défaut pour tous les utilisateurs. La transparence sur la manière dont les données des utilisateurs sont utilisées, stockées et consultées est également essentielle.

4. Exploitation et maintenance sécurisées

La dernière section explique comment sécuriser les systèmes d'IA après leur déploiement. 

La surveillance est au cœur d'une grande partie de tout cela, qu'il s'agisse du comportement du système pour suivre les changements susceptibles d'avoir un impact sur la sécurité ou des éléments entrés dans le système. Le respect des exigences en matière de confidentialité et de protection des données nécessitera une surveillance et enregistrement entrées pour détecter les signes d’une mauvaise utilisation. 

Les mises à jour doivent également être publiées automatiquement par défaut afin que les versions obsolètes ou vulnérables ne soient pas utilisées. Enfin, participer activement aux communautés de partage d’informations peut aider l’industrie à mieux comprendre les menaces de sécurité de l’IA, en donnant plus de temps aux défenseurs pour concevoir des mesures d’atténuation qui, à leur tour, pourraient limiter les exploits malveillants potentiels. ®

Horodatage:

Plus de Le registre