Du particulier dans le général. De plus en plus de pays mettent en place des contraintes réglementaires sur l’IA et sa déclinaison générative, mais dans certains domaines comme la cybersécurité, le flou est présent. Dans un rapport de l’Institut Aspen (think tank de dirigeants), l’apport de ces technologies à la protection IT est indéniable, mais dans le même temps les cybercriminels s’en servent aussi de plus en plus.

Selon les auteurs, il incombe aux régulateurs et aux groupes industriels de veiller à ce que les avantages de l'IA générative ne soient pas ruinés par son utilisation abusive potentielle. « Les mesures prises aujourd'hui par les gouvernements, les entreprises et les administrations détermineront demain qui, des attaquants ou des défenseurs, bénéficiera le plus de cette capacité émergente », indique le rapport.

Une réponse variable sur l'encadrement de l'IA générative

L'approche réglementaire adoptée par les grandes nations comme les États-Unis, le Royaume-Uni et le Japon a été différente, tout comme celle des Nations unies et de l'Union européenne. Selon l'Aspen Institute, l’ONU a mis l'accent sur la sécurité, la responsabilité et la transparence, par l'intermédiaire de divers sous-groupes comme l'Unesco, un groupe de travail inter-institutions sur l'IA et un organe consultatif de haut niveau placé sous l'autorité du secrétaire général. L'Union européenne s'est montrée particulièrement agressive dans ses efforts pour protéger la vie privée et répondre aux menaces de sécurité posées par l'IA générative, avec l’IA Act, adoptée en décembre 2023. Il contient de nombreuses dispositions relatives à la transparence, à la protection des données et aux règles concernant les données d'entraînement des modèles.

L'inaction législative aux États-Unis n'a pas empêché l'administration Biden de publier un décret sur l'IA, qui fournit « des orientations et des repères pour évaluer les capacités de l'IA », en mettant particulièrement l'accent sur les fonctionnalités de l'IA susceptibles de causer des dommages. « La CISA a également publié des orientations non contraignantes, en collaboration avec les régulateurs britanniques », indiquent aussi les auteurs. « Le Japon, en revanche, fournit l’exemple d'une approche plus souple de la réglementation de l'IA du point de vue de la cybersécurité, car elle se concentre davantage sur les canaux de divulgation et les boucles de rétroaction des développeurs que sur des règles strictes ou des évaluations des risques », a fait remarquer l'Aspen Institute.

Eviter de perdre confiance en l'IA

Le rapport souligne aussi que le temps presse. Les atteintes à la sécurité commises par l'IA générative ont un effet érosif sur la confiance du public et cette IA acquiert de nouvelles capacités qui pourraient être utilisées à des fins néfastes pratiquement chaque jour. « À mesure que cette confiance s'érode, nous risquons de perdre la possibilité qui nous est offerte d'avoir des débats proactifs sur les utilisations autorisées de l'IA générative dans la détection des menaces et d'examiner les dilemmes éthiques entourant les cyberdéfenses autonomes alors que le marché va de l'avant », indique le rapport.