00:00On termine cette édition avec Arnaud Tanguy. Bonjour Arnaud. Bonjour Delphine. Je rappelle
00:10que vous êtes le président du Cercle de la Donnée, expert en cybersécurité. Aujourd'hui
00:13justement on va faire un focus sur cette sécurité autour des IA génératives. Alors certains
00:18considèrent qu'ils ne peuvent déjà plus se passer de Chajipiti, Claude ou Mistral dans leur quotidien.
00:23Pourtant l'adoption de ces technologies elle pose quand même d'importantes questions notamment en
00:29matière de protection des informations. Alors quels sont les principaux risques Arnaud ? Alors
00:33oui Delphine, depuis l'adoption massive de ces nouvelles technologies, comme toute technologie,
00:39elle a attiré l'attention de Pirates. Pourquoi ? Parce qu'on manipule de grands volumes de données
00:43d'une part et puis les entreprises, les particuliers ont une tendance à accroître la sensibilité des
00:49données qui sont confiées, voire des données confidentielles voire même des données intimes.
00:53Alors on peut catégoriser ces risques en trois grandes familles. Le premier c'est le risque de
00:58manipulation. Un peu à l'image d'un chef d'orchestre auquel vous fournissez une partition qui
01:03serait erronée, et bien vous aboutiriez à une cacophonie ou quelque chose qui n'était pas attendu.
01:08C'est un peu ce que font les Pirates. Dans le fameux prompt, ils vont saisir des fausses commandes pour
01:13rendre le comportement dangereux de l'IA. Le deuxième type d'attaque est celle par
01:19infection. C'est-à-dire lors de la phase d'entraînement de l'IA, on va injecter des données qui paraissent
01:25saines d'extérieur, un peu à l'image du cheval de Troyes de l'Iliade, et lors de l'exécution de
01:31celle-ci, elles vont avoir un comportement dangereux pour l'IA, voire même à l'image d'Ulysse sortant
01:36du cheval, créer des portes dérobées. La troisième famille, certainement la résultante des deux
01:42premières, est l'exfiltration des données. C'est la finalité, c'est ce que les Pirates cherchent à
01:47avoir, c'est-à-dire accéder au contenu des données, données d'entraînement fort volume, données saisies
01:53par les collaborateurs ou par les utilisateurs, et le contenu de l'IA elle-même, parfois pour
01:59l'utiliser contre l'IA à des fins de sécurité. C'est un peu effrayant, j'espère que vous allez nous donner
02:06quand même quelques conseils pour sécuriser l'usage de ces IA génératifs de tout un chacun.
02:11Alors oui, déjà en tant qu'individu, une grande vigilance sur le choix du modèle. Là ce matin je
02:18regardais encore l'Apple Store et le Google Play, il y a une multitude d'applications copiant des fois
02:24éhontément le logo de Saatchi Petit ou de Gemini. Donc première recommandation, ne sélectionnez
02:30que des IA, donc des modèles et des fournisseurs de confiance. Le deuxième, soyez vigilant sur les
02:35données que vous fournissez. On ne fournit des données d'une nature confidentielle que s'il en a
02:41confiance, soit d'un point de vue contractuel ou de sécurité, de l'IA à laquelle vous vous
02:45adressez. C'est particulièrement vrai dans des usages un peu mixtes, perso, pro. Je pense à des
02:50catégories de type les médecins, les notaires et un certain nombre de professions qui peuvent
02:55s'exposer à des risques réglementaires ou contractuels vis-à-vis de leurs propres clients.
02:59Et enfin, une vigilance d'usage. On est habitué aux hallucinations de l'IA qui va générer un texte faux.
03:06Et bien des fois cette cause-là est une cause de sécurité, de manipulation. Donc une grande
03:10vigilance sur ce que fournit l'IA. Alors vigilance, mais comment très concrètement les organisations
03:16peuvent se protéger, vérifier finalement qu'elles ont un usage éthique et sécurisé de ces IA ?
03:21Alors il y a déjà une dimension technique et là je ne vais pas l'aborder aujourd'hui. Il y a des guides
03:24très bien qui existent. Je fais un peu la promotion de l'ANSI, de l'Agence nationale de sécurité des
03:30systèmes d'information, qui a fourni un guide technique extrêmement bien fait à destination
03:36de vos équipes techniques informatiques et sécurité. Non, je vous propose plutôt une méthodologie.
03:41Une méthodologie en quatre étapes. Éduquer, anticiper, agir et contrôler. Éduquer l'ensemble de
03:51la population de vos utilisateurs à l'usage, aux bons usages. Donc l'usage pour en tirer le meilleur
03:56mais aussi pour l'utiliser de manière sécurisée. C'est valable aussi pour vos équipes IT et
04:00sécurité qui découvrent parfois un nouveau monde. Deuxième, c'est l'anticipation. Je parlais de la
04:05sélection des fournisseurs, ça c'est clé aussi en entreprise. Mais lorsque vous développez vous-même
04:11vos modèles, appliquer des mesures techniques, c'est important. Troisième, c'est agir. Tout au
04:16long du cycle de vie, soyez vigilant. Les utilisateurs vont vous dire s'il y a des
04:21erreurs. De la même manière, vous mettez en place des mesures de sécurité pour accéder aux données.
04:26Et enfin, c'est contrôler. On ne peut pas maîtriser quelque chose que l'on ne mesure pas. Donc mettez
04:32en place des mesures de sécurité. On a l'habitude de voir des tests d'intrusion faits par des hackers
04:38éthiques. Ça existe maintenant pour l'IA tester. Donc aucune fatalité, il y a des risques, mais vous
04:44pouvez y aller, éduquer, anticiper, agir et contrôler. Super, merci pour tous ces outils et ces conseils.
04:50Merci beaucoup Arnaud Tanguy. Je rappelle que vous êtes le président du Cercle de la Donnée, un expert
04:55en cybersécurité. Merci à tous de nous avoir suivis. C'était Smartech. Merci d'être très fidèle devant
05:01votre téléviseur sur la chaîne Bsmart4Change et puis aussi de nous suivre en podcast et sur les
05:06réseaux sociaux. Je vous dis à très bientôt pour de nouvelles histoires sur la tech.
Commentaires