Cybersécurité: l’IA peut causer des situations préjudiciables
Martin Berthiaume|Publié le 12 Décembre 2022On retrouve de l'intelligence artificielle tellement partout qu’on en oublie parfois sa présence ainsi que les risques liés à son utilisation. (Photo: 123RF)
BLOGUE INVITÉ. Commençons par l’éléphant dans la pièce: l’intelligence artificielle (IA). À l’heure actuelle, l’intelligence artificielle est utilisée dans à peu près toutes les sphères de nos vies que ce soit dans les banques quand vous demandez un prêt sans avoir à parler à qui que ce soit, dans les centres d’appels, dans le milieu publicitaire où l’on vous envoie de la publicité ciblée lorsque vous naviguez sur le web, dans les outils d’aide au diagnostic médical, dans certaines solutions de sécurité informatique et j’en passe.
Le recours à l’IA est de plus en plus répandu et aide énormément à l’efficacité de plusieurs entreprises. On en retrouve tellement partout qu’on en oublie parfois sa présence ainsi que les risques liés à son utilisation.
Il s’agit là d’un phénomène habituel du cerveau et c’est d’ailleurs en partie pour cette raison que les attaques par hameçonnage fonctionnent. Nous sommes tellement habitués à recevoir des centaines de courriels que nous oublions parfois les risques découlant de l’ouverture des pièces jointes qu’ils contiennent.
Qu’est-ce que l’intelligence artificielle?
L’intelligence artificielle est un domaine en pleine expansion au niveau mondial. Elle permet de simuler l’intelligence humaine, en ayant recours aux technologies. Pour ceux qui aimeraient voir un exemple intéressant, je vous encourage à aller consulter le robot de chat d’OpenAI. J’ai été fortement impressionné.
Un algorithme utilisant l’IA peut être en mesure de faire le tri dans les candidatures reçues par une entreprise afin de pourvoir un poste, par exemple. L’avantage d’avoir recours à un tel algorithme est de minimiser la quantité de travail de la personne qui analyse les candidatures, puisque seulement celles qui contiennent tous les critères exigés seront acheminées. Un temps immense vient donc d’être sauvé.
D’ailleurs, selon le «Global AI Index», qui compare les pays en fonction de leur niveau d’investissement, d’innovation et de mise en œuvre de l’intelligence artificielle, le Canada est actuellement en 4e position.
Pour ce qui est du Québec, l’intelligence artificielle est également en pleine croissance. En effet, le «Portrait de l’IA dans la grande région de Québec» fait état de près de soixante entreprises qui offrent actuellement une solution d’intelligence artificielle.
Montréal est même considéré comme «centre mondial de l’intelligence artificielle» en raison de sa grande concentration d’organisations, d’experts, de chercheurs et d’étudiants dans le domaine. C’est notamment pour cette raison que de grandes entreprises comme Google, Meta et Microsoft, qui développent de l’intelligence artificielle, y ont ouvert des bureaux.
Évidemment, l’évolution rapide des technologies va de pair avec l’avènement de nouveaux risques et c’est pourquoi le gouvernement fédéral se penche actuellement sur la question de l’intelligence artificielle avec son projet de loi C-27.
Le projet de loi fédéral C-27
À la mi-juin, le projet de loi C-27, aussi appelé la Loi de 2022 sur la mise en œuvre de la Charte du numérique, a été déposé à la Chambre des communes et enclenchant du même coup sa première lecture. Plus récemment en novembre, la deuxième lecture du projet de loi a débuté.
Le projet de loi C-27 se veut une réforme des lois fédérales en matière de protection des renseignements personnels. L’objectif de cette réforme est d’adapter les lois actuelles à l’évolution des technologies. Il est divisé en trois nouvelles lois, dont la Loi sur l’intelligence artificielle et les données qui se trouve à être la première loi au pays qui viendra encadrer l’IA.
Expliqué brièvement, l’objectif est de réglementer les systèmes d’intelligence artificielle qui sont utilisés dans le commerce et dans les échanges internationaux ainsi qu’entre les provinces. Elle exige également que des mesures soient prises pour limiter les risques de préjudices et les résultats biaisés qui peuvent être liés aux fonctionnements des systèmes.
Ce point est important, car bien que le recours à l’intelligence artificielle compte beaucoup d’avantages, il peut également causer des situations non désirées et préjudiciables.
Pensons par exemple à un algorithme qui rend des décisions automatisées, mais que ces décisions pénalisent automatiquement certaines personnes, pour des raisons non prévues, causant ainsi de la discrimination. Cela peut arriver lorsque l’algorithme est mal entraîné et il peut malheureusement s’écouler beaucoup de temps avant qu’on s’en rende compte.
Il en est de même avec l’empoisonnement de données ou «Data Poisoning», qui est un type de cyberattaque en vogue. Cette attaque consiste à modifier les données d’entraînement d’un algorithme afin que ce dernier prenne de mauvaises décisions.
Ce type d’attaque est souvent effectué contre les filtres qui détectent les courriels malveillants. Si l’attaquant réussi à identifier suffisamment de courriels légitimes comme étant malveillants, les critères de décisions de l’algorithme seront faussés et l’algorithme donnera moins de valeur aux indicateurs qui lui permettaient d’identifier un courriel comme malveillant.
En sabotant l’intégrité des données d’entraînement, l’attaquant modifie le comportement de l’algorithme de classement des courriels et peut espérer que ses courriels malveillants seront classés comme légitimes.
Un attaquant pourrait vouloir saboter des algorithmes d’aide à la décision pour nuire à un compétiteur, un groupe d’individus ou même une nation.
Malheureusement, une fois l’empoisonnement de données découvert, il est souvent trop tard. En effet, l’identification des données altérées est difficile. La mise en place rapide de mesures de sécurité suffisantes permettra la détection de comportements anormaux dans les données d’entraînement et aidera grandement la prévention de ce type de cyberattaque.
Le projet de loi C-27 prévoit également que les organisations pourront se voir ordonner de fournir certains documents liés à leurs systèmes d’intelligence artificielle. De plus, les organisations ne pourront pas utiliser des renseignements personnels qui ont été obtenus illégalement dans leur système d’intelligence artificielle si leur utilisation présente des risques de préjudice sérieux pour les individus.
L’innovation induit de nouveaux cyberrisques
Qu’on le veuille ou non, l’intelligence artificielle va probablement remplacer une partie de la main-d’œuvre dans un avenir plus rapproché qu’on ne l’aimerait. La pénurie de main-d’œuvre ainsi que la hausse des salaires ne font qu’accélérer l’adhésion aux technologies de remplacement comme l’IA.
Parallèlement à cela, les entreprises d’ici peinent encore à se doter de mesures de cybersécurité de base. Il m’arrive encore régulièrement de rencontrer des dirigeants d’entreprises qui catégorisent les problèmes de cybersécurité au même niveau que de simples problèmes techniques comme les problèmes d’imprimantes.
On l’a vu avec la Loi 25 et maintenant avec le projet de loi C-27, que les entreprises sont en rattrapage. Même les gouvernements ont un coup d’avance. Est-ce une bonne nouvelle?
L’innovation en cybersécurité est un facteur de succès important pour plusieurs raisons. Tout d’abord, les menaces en matière de cybersécurité sont en constante évolution, ce qui signifie que les entreprises doivent être en mesure de s’adapter et développer de nouvelles approches pour protéger leurs systèmes et leurs données. Deuxièmement, les consommateurs et les clients accordent de plus en plus d’importance à la sécurité de leurs données et attendent des entreprises qu’elles mettent en place des mesures de sécurité efficaces. Enfin, l’innovation en cybersécurité peut également permettre aux entreprises de se différencier de leurs concurrents et de se positionner comme des leaders dans leur domaine.
*Cet article a été rédigé en collaboration avec Me Ariane Ohl-Berthiaume, Responsable des affaires juridiques chez Mondata.