Intelligence Artificielle : les travaux de l’ANSSI
L’ANSSI accompagne le développement de l’IA et promeut une approche par les risques afin de favoriser l’usage de systèmes d’IA de confiance et de rendre plus sûre leur chaine de valeur.
L'Agence travaille sur l’IA tant à des fins de sécurisation des systèmes d’IA que d’identification des opportunités et des menaces représentées par ces derniers pour la cybersécurité. Le développement de l’IA soulève des enjeux cyber déclinés en trois catégories :
- La cybersécurité de l’IA : les systèmes d’IA présentent des vulnérabilités comme tout système d’information et peuvent faire l’objet d’attaques, appelant à leur sécurisation. Si nombre de mesures de sécurité s’appliquent, ces systèmes présentent des vulnérabilités spécifiques visant à définir des doctrines de sécurisation qui leur sont adaptées ;
- La cybersécurité par l’IA : l’utilisation de l’IA est particulièrement prometteuse pour la cybersécurité, tant pour améliorer l’efficacité des dispositifs de sécurité que pour automatiser certaines fonctions ;
- La cybersécurité face à l’IA : les systèmes d’IA représentent des opportunités pour les cyber-attaquants en termes d’automatisation des attaques, de personnalisation et de mutation de la menace, rendant toujours plus complexe la mise en œuvre d’une cybersécurité efficace.
L’ANSSI intègre ces différents enjeux de cybersécurité dans son plan d’actions et souhaite s’inscrire dans la continuité de la stratégie nationale en Intelligence Artificielle (IA) dont la nouvelle étape a été annoncée en février 2025 (IA : une nouvelle impulsion pour la stratégie nationale). L’objectif : tirer le meilleur parti de l’IA sur le plan cyber en accompagnant le développement en France d’une IA de confiance, sécurisée et responsable qui bénéficie davantage à la cyberdéfense qu’aux cyberattaquants. Pour ce faire, l’ANSSI promeut une approche par les risques, la valorisation des règles cyber existantes et l’élaboration de nouvelles règles adaptées aux spécificités des systèmes d’IA.
Les travaux de l’ANSSI en matière d’IA s’articulent autour des axes prioritaires suivants :
Le RIA a été publié au Journal officiel de l’Union européenne le 12 juillet 2024. Ce règlement vise à encadrer le développement et l'utilisation de l'IA pour garantir la sécurité, les droits fondamentaux et la protection des données. Il s’agit d’un règlement orienté vers la surveillance de marché, et non spécifiquement cyber.
La cybersécurité des systèmes d’IA est évoquée dans le règlement (art. 15), mais la définition des spécificités techniques cyber est renvoyée aux instances de normalisation européennes (CEN/CENELEC). L’AFNOR contribue à ces travaux au travers d’un groupe de travail dédié, dont l’ANSSI est membre.
Si l’ANSSI n’a pas vocation à assumer un rôle d’autorité de surveillance de marché des systèmes d’IA au sens du RIA, elle jouera toutefois un rôle en matière d’assistance technique sur les questions de cybersécurité dont la définition des modalités exactes est actuellement en cours.
Le déploiement de l’IA dans les administrations, à des fins d’outillage ou d’expérimentation, est une priorité pour l’Agence qui assure la cybersécurité de ces dernières. Dans ce contexte, l’ANSSI accompagne les déploiements de systèmes d’IA au sein des administrations afin de s’assurer de la bonne prise en compte des enjeux de cybersécurité. A titre d’exemple, l’ANSSI contribue au déploiement d’Albert, l’outil d’intelligence artificielle générative développé par la DINUM.
Les solutions de cybersécurité intégrant de l’IA se multiplient sur le marché. Dans le cadre de ses missions vis-à-vis de l’écosystème cyber, l’Agence accompagne les industriels dans l’intégration sécurisée de l’IA au sein des solutions de sécurité. De plus, l’ANSSI veille à ce que la cybersécurité soit prise en compte dans les projets d’IA financés par France 2030, dès leur conception.
La France est l’un des principaux acteurs européens dans le domaine de la certification de cybersécurité. A la lumière de l’utilisation croissante des systèmes d’IA, l’écosystème français et européen doit travailler à la création de schémas de certifications dédiés. Ces derniers sont nécessaires pour favoriser le développement et l’usage des systèmes d’IA de confiance sur le marché.
L’ANSSI s’implique, avec l’écosystème français et les partenaires étrangers, à l’élaboration de méthodes d’évaluation et de certification adaptées aux systèmes d’IA. Par ailleurs, l’Agence œuvre pour l’harmonisation des différents contextes réglementaires dans lesquels il pourrait être fait appel à la certification.
Alors que le sujet de l’IA ne cesse de prendre de l’ampleur, l’ANSSI sensibilise l’écosystème aux enjeux de cybersécurité liés à ces systèmes.
Publications de l’ANSSI sur l’IA :
- Développer la confiance dans l’IA par une approche par les risques cyber (février 2025)
- Recommandations de sécurité concernant les assistants de programmation basés sur l’IA (conjointement avec son homologue allemand le BSI, octobre 2024)
- Recommandations de sécurité pour un système d’IA générative (avril 2024)
- Guidelines for secure AI system development (2023)
L’Agence participe à des événements d’ampleur sur l’IA. En février 2025, elle a contribué à la deuxième édition du sommet international pour l’action sur l’IA (« AI Action Summit ») à Paris. L’ANSSI a piloté les travaux sur la cybersécurité et a notamment organisé un exercice de crise cyber mobilisant près de 200 participants experts cyber et industriels IA (Sommet pour l'action sur l'intelligence artificielle - février 2025).
L’Agence participe aux travaux de l’Institut national d’évaluation et de sécurité de l’intelligence artificielle (INESIA ou AI Safety Institute français) en lien avec l'Institut national de recherche en informatique et en automatique (INRIA), le Laboratoire national de métrologie et d’essais (LNE) et le Pôle d'expertise de la régulation numérique (PEReN).
Cet institut s’inscrit dans une démarche internationale en lien avec les autres AI Safety Institutes. Il permettra à la France de jouer pleinement son rôle au sein du réseau international des AI Safety Institutes. Aux côtés du Canada, de la Corée du Sud, des Etats-Unis d’Amérique, du Japon, du Kenya, de Singapour, du Royaume-Uni ou encore de l’AI Office de la Commission européenne, l’INESIA travaillera à promouvoir la sécurité, l’inclusivité et la confiance dans l’IA.
Les travaux de l’INESIA français porteront sur l'analyse des risques systémiques dans le champ de la sécurité nationale, le soutien à la mise en œuvre de la régulation de l'IA, et l'évaluation de la performance et de la fiabilité des modèles d'IA. (communiqué de presse).
|
Définition de la cybersécurité des systèmes d’IA selon l’ANSSI |
Développer la confiance dans l’IA par une approche par les risques cyber (ANSSI) |
|
Recommandations de sécurité pour un système d’IA générative (ANSSI) |
Recommandations de sécurité concernant les assistants de programmation basés sur l’IA (ANSSI et BSI) |
|
La Commission nationale de l'informatique et des libertés (CNIL) mène des travaux sur les questions posées par le développement de l’IA sur la protection des données et de la vie privée |
Le Pôle d’Expertise de la Régulation Numérique (PEReN) apporte son expertise technique sur différents travaux en matière d’IA |
|
Le lancement de l’institut national de l’évaluation et de la sécurité de l’IA (INESIA) devrait favoriser le développement d’un IA de confiance. |
Stratégie nationale pour l’IA dans le cadre de France 2030 qui [A1] a pour objectif de positionner la France comme un des leadeurs européens et mondiaux de l’IA. |
