Retour d’expérience sur l’exercice de crise cyber du Sommet de l’IA

Cet exercice est une réponse à un constat : les communautés d’experts de l’IA et ceux de la cybersécurité ne coopèrent pas suffisamment, appelant au renforcement du dialogue entre ces dernières. En réunissant les acteurs français et internationaux des domaines de l’IA et de la cybersécurité (fabricants, concepteurs de systèmes d’IA, experts en cybersécurité), l’exercice a favorisé des échanges actifs et constructifs autour de la gestion d’une crise d’origine cyber spécifique aux enjeux de l’IA.

L’exercice avait comme objectifs de :

• Diffuser les meilleures pratiques en cas de cyberattaque ciblant un système d’IA ;
• Renforcer les échanges entre les communautés de professionnels de l’IA et d’experts de la cybersécurité, afin d’identifier les mesures de gouvernance, de défense, de protection et de résilience nécessaires pour accroître la sécurité des systèmes d’IA ;
• Explorer les capacités, les besoins et les opportunités de partage d’informations en cas d’incidents ayant un impact significatif.

L’exercice s’est appuyé sur l’analyse des risques de haut niveau réalisée sous l’égide de l’ANSSI « Développer la confiance dans l’IA par une approche par les risques cyber » en coopération avec des experts institutionnels français du domaine (CNIL, INRIA, LNE, PEReN, AMIAD) et cosignée par 19 pays.

Ce retour d’expérience est une capitalisation et synthèse des expertises croisées. Il met également à disposition en annexe des éléments relatifs au scénario et à l’ingénierie de l’exercice. Ces documents constituent le « kit d’exercice du Sommet de l’IA » mis à la disposition de tous en anglais.

L’ANSSI encourage les organisations à se saisir de ce retour d’expérience et du kit prêt à l’emploi pour le déployer. Les exercices de crise sont un outil efficace pour disposer d’une compréhension partagée des enjeux par des équipes pluridisciplinaires travaillant sur l’IA et pour renforcer la confiance dans les systèmes d’IA.