Sommet pour l’action sur l’intelligence artificielle : retour sur les travaux de l’ANSSI

Dans le cadre du Sommet pour l’action sur l'IA, organisé à Paris du 6 au 11 février 2025, l’ANSSI a piloté, au sein de l’axe « IA de confiance », les travaux menés ces derniers mois sur la cybersécurité. L’occasion de promouvoir son approche visant à privilégier une meilleure prise en compte des risques cyber pour développer la confiance dans l’IA.

L’expertise de l’ANSSI au service d’une meilleure appréhension des risques cyber de l’IA

En tant qu’autorité nationale en matière de cyberdéfense et de cybersécurité, l’ANSSI a travaillé à l’identification et la bonne compréhension des risques cyber des systèmes d’intelligence artificielle (SIA), en collaboration avec ses partenaires nationaux et internationaux, également réunis à Paris à l’occasion du Sommet pour l’action sur l’IA.

Des systèmes d’information qui posent de nouveaux défis à la cybersécurité

Dans les travaux qu’elle a menés, l’ANSSI souligne en premier lieu que les systèmes intégrant une IA (SIA) demeurent fondamentalement des systèmes logiciels, soumis en tout état de cause aux mêmes vulnérabilités que des systèmes plus classiques, comme le détournement de comptes utilisateurs ou administrateurs ou l’exploitation de vulnérabilités dans les composants logiciels intégrés dans le système. Les scénarios de cyberattaque classiques restent ainsi aujourd’hui les plus crédibles contre de tels SIA. Le respect des bonnes pratiques de cybersécurité applicables à tout système d’information, est ainsi un enjeu primordial pour la mise en œuvre d’une IA de confiance.

« Le temps fort qu’a constitué le Sommet pour l’action sur l’IA a démontré la nécessité de mieux faire travailler ensemble les experts de l’IA et ceux de la cybersécurité afin d’objectiver les risques et opportunités, loin des marchands de peur et des marchands de rêves.», précise Vincent Strubel, directeur général de l’ANSSI.

L’ANSSI s’implique dans le développement d’une IA de confiance qui bénéficie à tous

Afin d’accompagner le développement d’une IA de confiance qui bénéficie à tous et pour tous les usages, quelle que soit leur criticité, l’ANSSI promeut une approche par les risques.

Pour guider notamment les dirigeants et les producteurs de solutions d’IA, plusieurs livrables ont été dévoilés à l’occasion du Sommet :

• Le document de référence (Ouvre une nouvelle fenêtre) « Développer la confiance dans l’IA par une approche par les risques cyber » : co-signé par de 19 partenaires internationaux et 5 partenaires nationaux a été présenté le 7 février lors des journées scientifiques organisées par l’Institut Polytechnique de Paris. Il met en évidence les risques cyber auxquels sont exposés les systèmes d’IA et relaie les principales recommandations stratégiques afin de favoriser une meilleure prise en compte de la cybersécurité dans le développement et l’intégration de ces systèmes. Cette analyse de risque a été élaborée suite aux consultations de plusieurs entités publiques et privées matures sur le sujet de l’IA, afin de s’assurer de toujours conserver un ancrage des travaux dans le réel. (Ouvre une nouvelle fenêtre) Un document également disponible en français.
• L’exercice de crise cyber, organisé par l’ANSSI le 11 février au Campus Cyber, a mobilisé près de 200 participants experts cyber et experts IA dans l’objectif de développer une meilleure compréhension mutuelle de leurs attentes. Alors que le scénario proposé comprenait une cyberattaque affectant un SIA et sa chaine d’approvisionnement (supply chain), les participants ont pu échanger des bonnes pratiques tout en étant sensibilisés aux risques cyber. Des axes d’amélioration en matière de gestion de crise cyber ont notamment été identifiés lors de l’exercice et un retour d’expérience sera prochainement organisé.
• La rencontre des directeurs d’agences cyber partenaires s’est déroulée en parallèle du Sommet. L’ANSSI et ses partenaires internationaux ont pu contribuer activement aux débats en cours sur la sécurisation de l’IA. Tous sont pleinement engagés dans le traitement, à l’échelle internationale, de ces questions, tout en veillant à explorer les modalités d’articulation et de coopération internationale en la matière. 

L’ANSSI a également participé au Business Day de l'AI Action Summit, qui a réuni des acteurs économiques français et internationaux à Station F, afin de mettre en avant le rôle transformateur de l’IA pour le développement des entreprises. L’Agence est intervenue à la table ronde intitulée « La gouvernance du Règlement sur l’IA (RIA) en France : comment travailler avec les autorités compétentes ? » aux côtés de représentants de la CNIL, du ministère de l’économie (DGCCRF) et de la DGE. Le RIA vise à encadrer le développement et l'utilisation de l'IA pour garantir la sécurité, les droits fondamentaux et la protection des données. L’Agence  n’a pas vocation à assumer un rôle d’autorité de surveillance de marché des systèmes d’IA au sens du RIA, mais s’impliquera toutefois sur les aspects de cybersécurité pour :

• Accompagner les administrations dans le déploiement de leurs systèmes d’IA sur les aspects cybersécurité ;
• Contribuer à l’évaluation de la cybersécurité des modèles et systèmes d’IA avec les différentes parties impliquées ;
• Accompagner les offreurs et les acquéreurs de solutions de cybersécurité implémentant de l’IA dans leurs produits ;
• Sensibiliser l’ensemble de l’écosystème aux enjeux de cybersécurité liés à l’IA ;
• Participer aux instances de normalisation à l’échelle européenne qui régissent les exigences applicables en matière de cybersécurité aux systèmes d’IA.