Logo - Les Affaires
Logo - Les Affaires
Martin Berthiaume

Cybersécurité revue et expliquée

Martin Berthiaume

Expert(e) invité(e)

L’Intelligence artificielle: les deux côtés de la médaille

Martin Berthiaume|Mis à jour le 18 juin 2024

L’Intelligence artificielle: les deux côtés de la médaille

La qualité des résultats de l’IA est directement liée à la qualité des données entrantes. (Photo: 123RF)

EXPERT INVITÉ. En 2024, les chefs d’entreprise, en particulier ceux des PME, se retrouvent confrontés à une multitude de produits innovants utilisant l’intelligence artificielle (IA). Certains de ces produits ne sont que de belles promesses, d’autres ont le potentiel de transformer radicalement votre entreprise en augmentant la productivité et la qualité des produits et services offerts. Toutefois, ces technologies transformationnelles comportent également leur part de risques. Il est essentiel pour tout dirigeant de bien comprendre ces risques avant de se lancer dans l’adoption de solutions d’IA.

 

Comprendre l’IA dans le contexte des PME

L’intelligence artificielle n’est pas un domaine réservé aux grandes corporations dotées de ressources abondantes. Plusieurs cas d’utilisation pourraient apporter rapidement des bénéfices à des entreprises avec des moyens plus modestes. Par exemple :

Gestion de l’Inventaire: optimiser les opérations via des systèmes intelligents qui peuvent prévoir les besoins en stock basés sur des tendances historiques et actuelles, aidant ainsi à optimiser les niveaux de stock et à réduire les coûts de détention.

Tableaux de Bord et Rapports: fournir un support aux décisions par des outils d’IA pouvant générer des analyses et des rapports en temps réel, offrant aux décideurs des informations précieuses sans nécessiter une expertise approfondie en analyse de données.

Et bien d’autres cas, sans oublier le support aux équipes de cybersécurité avec des plateformes permettant d’accélérer le travail des équipes de détection et de réponses aux incidents.

 

Risques associés à l’utilisation de l’IA

Intégrer l’IA peut s’avérer être une initiative payante qui propulse votre organisation vers une croissance intéressante. Cependant, il est essentiel de rester vigilant quant aux risques associés afin de prévenir que ces derniers compromettent vos gains et ne transforment ce qui pourrait être un profit en une perte désastreuse.

Je vous propose donc un aperçu des risques à surveiller attentivement pour optimiser vos chances de succès.

Inexactitudes: l’IA dépend largement des données pour ses processus d’apprentissage automatique. Le principe de «Garbage in, Garbage out» est particulièrement pertinent ici : la qualité des résultats de l’IA est directement liée à la qualité des données entrantes. Si les données contiennent des erreurs, des biais ou ne représentent pas fidèlement la réalité, les modèles d’IA vont intégrer ces défauts dans leurs prédictions ou décisions.

Biais systémiques: l’IA n’est pas à l’abri des préjugés humains, car elle apprend à partir de données qui peuvent être biaisées. Par exemple, si un algorithme de recrutement apprend à partir de données historiques discriminatoires, il peut continuer à perpétuer ces discriminations. Récemment, un cas de biais systémique a attiré l’attention des médias : un système de préapprobation de crédit rejetait de manière disproportionnée les demandes soumises par des femmes. Cette situation résultait du fait que le système avait été principalement entraîné avec des données provenant de profils d’emprunteurs masculins.

Protection des données personnelles: à mesure que la collecte de données augmente, il devient essentiel de gérer ces informations de manière sécurisée. Les entreprises doivent veiller à se conformer à des réglementations strictes telles que le RGPD en Europe ou la Loi 25 au Québec. Il y a eu des cas où certains systèmes ont accidentellement exposé des données d’entraînement, y compris des informations confidentielles et des données personnelles. Dans ce contexte, le principe d’alignement du modèle est crucial. Il fait référence à la nécessité de garantir que le système agit de manière conforme aux intentions des opérateurs humains.

Conformité réglementaire: Les lois entourant l’IA évoluent rapidement. Il est important pour les organisations de rester informées des dernières législations. Le Canada avance activement dans la mise en œuvre de législations complètes pour réguler l’utilisation de l’IA et renforcer la protection des données personnelles par le biais du projet de loi C-27. Ce projet de loi propose d’établir des exigences à l’échelle du Canada pour la conception, le développement, l’utilisation et la fourniture de systèmes d’IA.

«Opt-out» dans l’entraînement des modèles: il est crucial que les clients aient la possibilité de choisir de ne pas utiliser leurs propres données pour l’entraînement des modèles d’IA d’un produit. Cela permet de minimiser les risques de divulgation publique de leurs données si jamais les données d’entraînement étaient compromises par une entité malveillante.

Coûts de mise en place: bien que de moins en moins coûteuse à mettre en place, il ne faut pas sous-estimer les efforts pour bien paramétrer l’IA afin de s’assurer que les résultats qu’elle vous procure soient suffisamment exacts ou précis pour générer des bénéfices. Les erreurs peuvent avoir des impacts significatifs.

Compétences du personnel: sans nécessairement se constituer une équipe d’experts en IA, il est essentiel d’avoir du personnel qui comprend les risques, les avantages, et les concepts clés de l’IA, afin de pouvoir interagir et superviser efficacement les fournisseurs.

Considérations éthiques: il est essentiel que les décisions prises par les systèmes d’IA soient justes, transparentes et compréhensibles, surtout lorsqu’elles touchent des aspects vitaux de la vie quotidienne. Dans ce contexte, l’importance du principe d’alignement et de son paramétrage approprié devient critique.

 

Les cyberattaques contre votre IA

Les cyberattaques ciblant les systèmes d’IA et les menaces internes représentent des défis de sécurité complexes. Ces attaques peuvent être difficiles à détecter, car elles impliquent souvent des manipulations subtiles des données d’entraînement ou des algorithmes qui ne sont pas immédiatement évidentes. Les menaces internes, en particulier, proviennent de personnes ayant un accès légitime au système, ce qui les rend particulièrement insidieuses. Elles peuvent manipuler ou saboter l’IA de manière discrète, ce qui peut corrompre les résultats de l’IA et passer inaperçu pendant de longues périodes, potentiellement causant des dommages significatifs avant d’être découvertes.

Attaques de Poisoning: une attaque de poisoning sur de l’IA est une technique par laquelle les attaquants injectent sciemment de fausses données dans l’ensemble de données d’entraînement. L’objectif est de corrompre le modèle en le formant avec des informations erronées, ce qui peut amener l’IA à prendre des décisions incorrectes.

Attaques d’Évasion: ces attaques impliquent l’utilisation de données habilement modifiées qui semblent normales, mais sont conçues pour induire en erreur le modèle d’IA. Par exemple, en altérant légèrement l’image d’un panneau de signalisation, un modèle pourrait être trompé, ce qui pourrait amener un véhicule autonome à faire une erreur grave de navigation.

Attaques de Model Inversion: dans ce type d’attaque, l’attaquant utilise les sorties du modèle d’IA pour en apprendre davantage sur les données qu’il a apprises durant l’entraînement. Cela peut être utilisé pour extraire des informations sensibles ou confidentielles à partir du modèle, par exemple, reconstruire des images utilisées lors de l’entraînement à partir des prédictions de l’IA.

Il existe bien d’autres types d’attaques. Des référentiels sont disponibles en ligne. Celui d’IBM et celui de MITRE ATLAS proposent une documentation exhaustive.

 

Les ententes contractuelles se complexifient

Compte tenu de la complexité des technologies d’IA et des implications légales, il est conseillé de solliciter l’aide d’experts juridiques pour réviser ou rédiger vos contrats. Les contrats avec les fournisseurs d’IA sont cruciaux pour protéger les intérêts de votre entreprise. Voici quelques recommandations :

Clarifier la propriété des données et des modèles d’IA: déterminez qui possède les données utilisées et les modèles développés pendant la collaboration. Assurez-vous de pouvoir «opt out» de l’entrainement du modèle avec vos données.

La responsabilité: intégrez des clauses qui attribuent la responsabilité en cas de défaillance du système ou de problèmes de conformité.

Inclure des clauses de performance: assurez-vous que les engagements sur la performance des solutions d’IA sont clairement définis et mesurables.

 

En conclusion, adopter l’intelligence artificielle peut offrir des avantages transformationnels pour votre entreprise, permettant non seulement de rester compétitive, mais aussi d’accélérer et de faciliter les innovations. Cependant, il est crucial d’aborder cette technologie avec une compréhension claire des risques associés. En prenant des mesures pour atténuer ces risques et en s’engageant de manière informée, les entreprises peuvent maximiser les bénéfices tout en minimisant les inconvénients.