La Commission présente un plan d'action de l'UE sur les liens entre cybersécurité et intelligence artificielleLa Commission européenne vient de présenter un plan d'action visant à exploiter les possibilités offertes par les modèles avancés d'intelligence artificielle (IA) dans le domaine de la cybersécurité, et dans cette voie à apporter une réponse structurée aux risques à venir. Selon la commission, les nouveaux modèles avancés d'IA redéfinissent en effet le domaine de la cybersécurité, l’IA pouvant être utilisée à mauvais escient en vue de détecter des vulnérabilités, automatiser des attaques et accroître l'ampleur ainsi que la rapidité des “cyberincidents” à un niveau sans précédent. S'appuyant sur le cadre juridique de l’Union Européenne (UE) en matière d'IA et de cybersécurité, le plan d'action réunira les États membres, les entreprises et les organisations de l'UE afin de renforcer, selon la commission, la cybersécurité de l’environnement numérique de l’UE face aux vulnérabilités liées aux modèles avancés d'IA. Cette action va s’appuyer sur une compréhension approfondie de la manière dont les nouvelles technologies peuvent être utilisées, détournées ou exploitées. En vertu du règlement sur l'intelligence artificielle (règlement sur l'IA), les modèles avancés d'IA doivent donc être évalués et les mesures d'atténuation soigneusement examinées avant leur mise sur le marché de l’UE, indique la commission. Afin de développer une expertise européenne, la Commission va ainsi lancer un appel spécifique visant à mettre en place une capacité européenne d'évaluation, couvrant notamment la cybersécurité qui devrait être opérationnelle en 2027. Au-delà, la commission indique que l’Europe a également besoin de conditions claires et transparentes pour accéder aux systèmes d'IA les plus avancés. De fait, la Commission collaborera avec l’ENISA (Agence de l'Union européenne pour la cybersécurité) afin d'élaborer un cadre européen de référence pour un accès structuré aux capacités avancées d'IA destinées à la cybersécurité. Ces orientations ont pour ambition d’aider les organisations publiques et privées européennes concernées à accéder à ces modèles. Dans ce cadre, l'ENISA et le Centre commun de recherche (JRC) de la Commission créeront une plateforme sécurisée permettant de tester l'IA appliquée à la cybersécurité, notamment au moyen d'environnements simulés. Cette plateforme mettra à la disposition des opérateurs de secteurs critiques - la finance, l'énergie, la santé, les transports ou l'administration publique - les connaissances nécessaires à une utilisation sûre de l'IA. L’UE doit en même temps protéger ses infrastructures critiques contre les vulnérabilités résultant d'un usage malveillant potentiel de ces technologies. Comme le prévoient les règles de l'UE en matière de cybersécurité, les organisations doivent renforcer leurs pratiques de “cyberhygiène”, leurs mesures de gestion des risques ainsi que l'application du principe de sécurité dès la conception (le concept de “security by design”). L’UE indique que les organisations et les industriels devraient commencer à utiliser les capacités d'IA déjà disponibles, y compris les modèles en code source ouvert, afin de détecter et de corriger plus rapidement les vulnérabilités, ainsi que de prévenir les cyberattaques et d'y répondre.
Ce soutien prendra notamment la forme d'orientations, de recommandations et de bonnes pratiques, ainsi que d'une campagne visant à sécuriser les logiciels critiques en code source ouvert. Au-delà, afin de développer les capacités européennes en matière d'IA appliquée à la cybersécurité et stimuler le développement du marché européen, la Commission lancera le Grand défi de l'Union européenne sur l'IA pour la cybersécurité. Ce concours réunira entreprises, chercheurs et d'autres organisations afin de développer des solutions fondées sur l'IA dans le domaine de la cybersécurité. L'Union doit continuer d'investir dans le développement de ses propres capacités souveraines en matière de modèles avancés d'IA, en s'appuyant sur les infrastructures fournies par les fabriques d'IA (AI Factories) et les futures gigafabriques d'IA. Dans ce contexte, la future capacité européenne d'investissement en fonds propres dans les technologies pourrait attirer des investissements privés afin d'accélérer le développement de capacités européennes en matière d'IA. Dans ce cadre, l’UE estime disposer d'un cadre juridique adapté pour relever les défis de la cybersécurité à l'ère des technologies émergentes, telles que l'intelligence artificielle. Par exemple, le règlement sur l'IA impose l'évaluation et l'atténuation des risques liés aux modèles d'IA, tandis que le code de bonnes pratiques pour l'IA à usage général précise ces exigences et facilite leur respect par les fournisseurs de modèles avancés. Ces dispositions commenceront à être appliquées à partir du 2 août 2026. De son côté, le règlement sur la cyberrésilience, qui sera applicable d'ici à la fin de 2027, impose l'intégration de la sécurité dès la conception pour les produits matériels et logiciels. Par ailleurs, la directive sur la sécurité des réseaux et des systèmes d'information (NIS2) vise à renforcer la sécurité des secteurs critiques, tels que les transports et l'énergie, tandis que le règlement sur la résilience opérationnelle numérique s'applique au secteur financier. Enfin, le règlement sur la cybersolidarité renforce les capacités de l'Union à détecter, prévenir et gérer les menaces et attaques de cybersécurité de grande ampleur.
|