La norme ETSI EN 304 223 introduit des exigences de sécurité de base pour l’IA que les entreprises doivent intégrer dans les cadres de gouvernance.
Alors que les organisations intègrent l’apprentissage automatique dans leurs opérations principales, cette norme européenne (EN) établit des dispositions concrètes pour sécuriser les modèles et systèmes d’IA. Il s’agit de la première norme européenne applicable à l’échelle mondiale pour la cybersécurité de l’IA, ayant obtenu l’approbation formelle des organismes nationaux de normalisation pour renforcer son autorité sur les marchés internationaux.
La norme sert de référence nécessaire aux côtés de la loi européenne sur l’IA. Il répond à la réalité selon laquelle les systèmes d’IA présentent des risques spécifiques – tels que la susceptibilité à l’empoisonnement des données, à l’obscurcissement des modèles et à l’injection rapide indirecte – que les mesures de sécurité logicielles traditionnelles négligent souvent. La norme couvre les réseaux neuronaux profonds et l’IA générative jusqu’aux systèmes prédictifs de base, excluant explicitement uniquement ceux utilisés strictement pour la recherche universitaire.
La norme ETSI clarifie la chaîne de responsabilité pour la sécurité de l’IA
Un obstacle persistant à l’adoption de l’IA en entreprise consiste à déterminer à qui appartient le risque. La norme ETSI résout ce problème en définissant trois rôles techniques principaux : les développeurs, les opérateurs système et les dépositaires de données.
Pour de nombreuses entreprises, ces frontières sont floues. Une société de services financiers qui peaufine un modèle open source pour la détection des fraudes compte à la fois comme développeur et comme opérateur système. Ce double statut engendre des obligations strictes, imposant à l’entreprise de sécuriser l’infrastructure de déploiement tout en documentant la provenance des données de formation et l’audit de conception du modèle.
L’inclusion des « dépositaires de données » en tant que groupe de parties prenantes distinct a un impact direct sur les directeurs des données et de l’analyse (CDAO). Ces entités contrôlent les autorisations et l’intégrité des données, un rôle qui comporte désormais des responsabilités explicites en matière de sécurité. Les dépositaires doivent s’assurer que l’utilisation prévue d’un système correspond à la sensibilité des données de formation, plaçant ainsi un contrôleur de sécurité dans le flux de travail de gestion des données.
La norme d’IA de l’ETSI indique clairement que la sécurité ne peut pas être une réflexion secondaire ajoutée à la phase de déploiement. Au cours de la phase de conception, les organisations doivent effectuer une modélisation des menaces qui réponde aux attaques natives de l’IA, telles que l’inférence d’appartenance et l’obscurcissement du modèle.
Une disposition oblige les développeurs à restreindre les fonctionnalités afin de réduire la surface d’attaque. Par exemple, si un système utilise un modèle multimodal mais ne nécessite que du traitement de texte, les modalités inutilisées (comme le traitement d’images ou d’audio) représentent un risque qui doit être géré. Cette exigence oblige les responsables techniques à reconsidérer la pratique courante consistant à déployer des modèles de fondation massifs et à usage général là où un modèle plus petit et plus spécialisé suffirait.
Le document impose également une gestion stricte des actifs. Les développeurs et les opérateurs de système doivent maintenir un inventaire complet des actifs, y compris les interdépendances et la connectivité. Cela prend en charge la découverte de l’IA fantôme ; Les responsables informatiques ne peuvent pas sécuriser des modèles dont ils ignorent l’existence. La norme exige également la création de plans de reprise après sinistre spécifiques adaptés aux attaques d’IA, garantissant qu’un « bon état connu » peut être restauré si un modèle est compromis.
La sécurité de la chaîne d’approvisionnement constitue un point de friction immédiat pour les entreprises qui s’appuient sur des fournisseurs tiers ou des référentiels open source. La norme ETSI exige que si un opérateur système choisit d’utiliser des modèles ou des composants d’IA qui ne sont pas bien documentés, il doit justifier cette décision et documenter les risques de sécurité associés.
En pratique, les équipes achats ne peuvent plus accepter les solutions « boîte noire ». Les développeurs sont tenus de fournir des hachages cryptographiques pour les composants du modèle afin de vérifier l’authenticité. Lorsque les données de formation proviennent de sources publiques (une pratique courante pour les grands modèles linguistiques), les développeurs doivent documenter l’URL source et l’horodatage d’acquisition. Cette piste d’audit est nécessaire pour les enquêtes post-incident, notamment pour tenter d’identifier si un modèle a été soumis à un empoisonnement des données lors de sa phase de formation.
Si une entreprise propose une API à des clients externes, elle doit appliquer des contrôles conçus pour atténuer les attaques axées sur l’IA, telles que la limitation du débit pour empêcher les adversaires de procéder à une ingénierie inverse du modèle ou de neutraliser les défenses pour injecter des données empoisonnées.
L’approche du cycle de vie s’étend jusqu’à la phase de maintenance, où la norme traite les mises à jour majeures – telles que le recyclage sur de nouvelles données – comme le déploiement d’une nouvelle version. En vertu de la norme ETSI AI, cela déclenche l’exigence de nouveaux tests et évaluations de sécurité.
Un contrôle continu est également formalisé. Les opérateurs système doivent analyser les journaux non seulement pour vérifier la disponibilité, mais aussi pour détecter les « dérives de données » ou les changements progressifs de comportement qui pourraient indiquer une faille de sécurité. Cela fait passer la surveillance de l’IA d’une mesure de performance à une discipline de sécurité.
La norme aborde également la phase « Fin de vie ». Lorsqu’un modèle est mis hors service ou transféré, les organisations doivent impliquer des dépositaires de données pour garantir l’élimination sécurisée des données et des détails de configuration. Cette disposition empêche la fuite de données de propriété intellectuelle ou de formation sensibles via du matériel mis au rebut ou des instances cloud oubliées.
Surveillance exécutive et gouvernance
La conformité à la norme ETSI EN 304 223 nécessite une révision des programmes de formation existants en matière de cybersécurité. La norme exige que la formation soit adaptée à des rôles spécifiques, garantissant que les développeurs comprennent le codage sécurisé pour l’IA tandis que le personnel général reste conscient des menaces telles que l’ingénierie sociale via les résultats de l’IA.
« L’ETSI EN 304 223 représente une avancée importante dans l’établissement d’une base commune et rigoureuse pour la sécurisation des systèmes d’IA », a déclaré Scott Cadzow, président du comité technique de l’ETSI pour la sécurisation de l’intelligence artificielle.
« À l’heure où l’IA est de plus en plus intégrée aux services et infrastructures critiques, la disponibilité de conseils clairs et pratiques qui reflètent à la fois la complexité de ces technologies et les réalités de leur déploiement ne peut être sous-estimée. Le travail qui a permis de mettre en place ce cadre est le résultat d’une collaboration approfondie et signifie que les organisations peuvent avoir pleinement confiance dans des systèmes d’IA résilients, dignes de confiance et sécurisés dès leur conception. »
La mise en œuvre de ces lignes de base dans la norme de sécurité de l’IA de l’ETSI fournit une structure pour une innovation plus sûre. En appliquant des pistes d’audit documentées, des définitions claires des rôles et la transparence de la chaîne d’approvisionnement, les entreprises peuvent atténuer les risques associés à l’adoption de l’IA tout en établissant une position défendable pour les futurs audits réglementaires.
Un prochain rapport technique (ETSI TR 104 159) appliquera ces principes spécifiquement à l’IA générative, en ciblant des problèmes tels que les deepfakes et la désinformation.
