ISO/IEC 27001 : Intégration de la Cybersécurité de l'IA
1. La Convergence de la Sécurité de l'Information et de l'IA
Un modèle d'IA est une cible privilégiée pour les attaques adverses. L'EU AI Act exige que les systèmes d'IA à Haut Risque soient robustes face aux erreurs, aux défaillances et aux manipulations malveillantes. Pour y répondre, un Système de Management de l'Intelligence Artificielle (ISO 42001) doit être intégré à un Système de Management de la Sécurité de l'Information (SMSI) défini par la norme ISO/IEC 27001.
2. Défense contre l'Empoisonnement des Données
Les modèles d'apprentissage automatique (machine learning) sont particulièrement vulnérables à « l'empoisonnement des données » — une cyberattaque où des acteurs altèrent subtilement les jeux de données d'entraînement pour corrompre le comportement futur du modèle. Une attaque par empoisonnement peut introduire des biais cachés ou des portes dérobées (backdoors) très complexes à détecter après l'entraînement.
La norme ISO/IEC 27001 établit les contrôles d'accès stricts, la vérification cryptographique et la segmentation réseau nécessaires pour sécuriser les pipelines de données brutes avant leur traitement.
3. Protection des Poids du Modèle & Attaques par Évasion
Au-delà de la phase d'entraînement, le modèle d'IA opérationnel doit être défendu. Les attaques par évasion se produisent lorsque les données d'entrée sont conçues pour tromper l'algorithme. De plus, les algorithmes propriétaires centraux (les poids du modèle) représentent une propriété intellectuelle hautement sensible.
- Sécurité des terminaux (Endpoint Security) : Sécurisation des API et des interfaces où les utilisateurs interagissent avec le modèle algorithmique.
- Protocoles de chiffrement : S'assurer que les données algorithmiques ne peuvent pas être interceptées ou faire l'objet de rétro-ingénierie (reverse-engineering) par des entités non autorisées, que ce soit en transit ou au repos.
4. Garantir la Souveraineté Totale des Données
La protection des consommateurs exige que les données personnelles demeurent souveraines. En combinant la norme ISO/IEC 27001 avec les pratiques modernes d'audit de l'IA, la vérification indépendante garantit que l'infrastructure protège physiquement et juridiquement les informations des consommateurs contre les excès de juridiction et les traitements non autorisés.