Les mesures de sécurité recommandées par Cisco (analyse open source, tests de vulnérabilité, pare-feu d'application et prévention des pertes de données axée sur l'IA) traitent différents aspects de ce risque et constituent la base d'une stratégie globale de sécurité de l'IA.
Les mesures de sécurité recommandées par Cisco (analyse open source, tests de vulnérabilité, pare-feu d'application et prévention des pertes de données axée sur l'IA) traitent différents aspects de ce risque et constituent la base d'une stratégie globale de sécurité de l'IA.
Alors que l’adoption de l’IA continue de se développer au Moyen-Orient, dans des secteurs tels que le gouvernement, les services financiers, l’énergie et les infrastructures critiques, les organisations sont confrontées à une pression croissante pour sécuriser les applications d’IA tout au long de leur cycle de vie. Depuis les données utilisées pour former les modèles jusqu'au déploiement des modèles eux-mêmes, les RSSI et les responsables informatiques doivent gérer les risques émergents tout en préservant la confiance numérique. En réponse, Cisco a mis en évidence quatre domaines prioritaires que les organisations devraient prendre en compte pour sécuriser les applications d'IA à mesure qu'elles étendent leur adoption. Les directives décrivent comment les équipes de sécurité peuvent adapter les pratiques établies en matière de sécurité des applications à l'IA, aidant ainsi les organisations à réduire les risques sans ralentir l'innovation.
Le premier domaine d’intervention est l’analyse open source. Le développement d'applications d'IA repose souvent sur des composants tels que des modèles open source, des ensembles de données publics et des bibliothèques tierces. Bien que ces ressources accélèrent le développement, elles peuvent contenir des vulnérabilités ou des insertions malveillantes susceptibles de compromettre l'ensemble du système. L'analyse régulière de ces composants permet d'identifier et d'atténuer les risques dès le début du processus de développement.
Le deuxième domaine d’intervention concerne les tests de vulnérabilité. Les tests statiques impliquent la validation de tous les composants d'une application d'IA (y compris les binaires, les ensembles de données et les modèles) pour détecter les vulnérabilités potentielles, telles que les portes dérobées ou les données empoisonnées. Les tests dynamiques évaluent les performances des modèles dans divers scénarios de production. Cisco recommande également une équipe rouge algorithmique, qui simule un large éventail de techniques contradictoires sans nécessiter de tests manuels, pour renforcer la résilience du modèle.
Troisièmement, des pare-feu applicatifs émergent pour répondre aux risques uniques en matière de sûreté et de sécurité posés par l'IA générative, en particulier les grands modèles de langage (LLM). Ces pare-feu spécifiques à l'IA agissent comme des garde-fous indépendants du modèle, surveillant le trafic des applications d'IA en transit pour éviter les pannes et appliquer les politiques. Ils aident à atténuer les menaces telles que l'injection rapide, les attaques par déni de service (DoS) et la fuite d'informations personnellement identifiables (PII).
Enfin, la prévention des pertes de données (DLP) pour les applications d’IA est essentielle, compte tenu de la nature dynamique du contenu en langage naturel. Les approches DLP traditionnelles sont insuffisantes, c'est pourquoi la DLP axée sur l'IA examine à la fois les entrées et les sorties pour éviter les fuites de données sensibles. Input DLP peut restreindre les téléchargements de fichiers, bloquer les fonctionnalités de copier-coller ou limiter l'accès aux outils d'IA non approuvés. Output DLP exploite des filtres de garde-fou pour garantir que les réponses du modèle ne contiennent pas de données personnelles, de propriété intellectuelle ou d'autres informations sensibles.
« À mesure que l'adoption de l'IA s'accélère dans la région, les organisations passent rapidement des projets pilotes à la production, et ce changement modifie le profil de risque. Sécuriser les applications d'IA nécessite de regarder au-delà des contrôles d'application traditionnels pour protéger l'ensemble du cycle de vie de l'IA, depuis les données et les composants tiers qui alimentent les modèles jusqu'à la manière dont ces modèles se comportent dans le monde réel. En appliquant les principes de sécurité familiers de manière spécifique à l'IA, les organisations du Moyen-Orient peuvent faire évoluer l'innovation en toute confiance tout en réduisant les risques tels que l'injection rapide et la fuite de données sensibles. »
– Fady Younes, directeur général de la cybersécurité, Cisco Moyen-Orient, Afrique, Turquie, Roumanie et CEI
En résumé, le risque existe à pratiquement toutes les étapes du cycle de vie de l’IA, depuis l’approvisionnement en composants de la chaîne d’approvisionnement jusqu’au développement et au déploiement. Les mesures de sécurité recommandées par Cisco (analyse open source, tests de vulnérabilité, pare-feu d'application et prévention des pertes de données axée sur l'IA) traitent différents aspects de ce risque et constituent la base d'une stratégie globale de sécurité de l'IA. Ensemble, ils permettent aux organisations d’innover en toute sécurité tout en atténuant les menaces potentielles liées à l’adoption de l’IA.
