En matière de cybersécurité, l’IA est une arme à double tranchant. Si elle sert aux défenseurs pour accroitre leurs capacités pour anticiper les attaques informatiques, elle constitue en même temps une arme redoutable dans les mains des pirates. Consciente de la situation et pour tenter de faire face au scénario du pire - à savoir l’utilisation de modèles avancés servant à des cyberattaques d’ampleur inédite - la Commission européenne a présenté un dernier plan d’action. Celui-ci s’appuie sur différents réglements existants de l’UE, notamment celui sur l’IA, la cyberrésilience (applicable d’ici fin 2027), la cybersolidarité, ainsi que la directive sur les réseaux et les systèmes d’information (SRI 2). « Les nouveaux modèles IA avancés redéfinissent la cybersécurité. L'IA peut être utilisée à mauvais escient pour détecter des vulnérabilités, automatiser des attaques et accroître l'ampleur ainsi que la rapidité des cyberincidents à un niveau sans précédent », alerte la Commission.

S'appuyant sur un cadre juridique commun en matière d'IA et de cybersécurité partagé entre les Etats membres, entreprises et organismes publics, ce plan s’articule autour de trois enjeux clés : préparer le terrain vers une IA avancée et sûre, renforcer la préparation de l’UE en matière de cybersécurité et monter à l’échelle ses capacités dans ce domaine. Cela passe en particulier par évaluer les modèles IA avancés et définir leurs risques associés, accéder aux capacités avancées d’IA en matière de cybersécurité, créer une plateforme sécurisée pour tester l’IA dans le cadre de simulations, et renforcer la cybersécurité de l’UE en matière de vulnérabilités et dans le cyberespace.

Axes et jalons du plan d’action cybersécurité des modèles avancés de l'UE

L'UE se fixe plusieurs éléments :

- Faciliter l'accès aux AI factories à mesure qu'elles deviennent progressivement opérationnelles pour tester, entraîner et déployer des modèles IA avancés pour la cyber-résilience (2026) ;

- Publication par l’Enisa des lignes directrices, des bonnes pratiques et des avis visant à assurer la protection contre les menaces de cybersécurité liées à l’IA (T3 2026) ; 

- Travail entre la Commission, l'Enisa, les États membres et le secteur privé pour adapter les pratiques et les outils existants de gestion des vulnérabilités à l'ère de l'IA (T3 2026) ; 

- Lancer un « Grand Défi » de l'UE pour contribuer à la généralisation des solutions européennes de cybersécurité basées sur l'IA (T4 2026) ;  

- Initier des formations destinées aux professionnels sur l'utilisation de l'IA dans le domaine de la cybersécurité, dans le cadre de la Cybersecurity Skills Academy (T4 2026)  ; 

- Lancement d’initiatives conjointes pour accélérer l'application des correctifs aux logiciels libres les plus critiques, dans le cadre d'un projet pilote de campagne pour la résilience des logiciels libres critiques (T4 2026) ; 

- Définir une feuille de route visant à faciliter l'accès des acteurs européens aux capacités cybernétiques les plus avancées fondées sur l'IA (T4 2026) ; 

- Développer des environnements de test sécurisés pour les modèles d'IA destinés à des cas d'utilisation en matière de cybersécurité (T4 2026) ; 

- Favoriser l'essor d'une expertise locale en lançant un appel à projets visant à mettre en place une capacité d'évaluation européenne des modèles d'IA (2027). 

« L’intelligence artificielle transforme profondément la cybersécurité. Nous devons évoluer au même rythme [...] et devons mobiliser et mettre à profit les capacités, les réseaux et le cadre juridique existants afin de renforcer la cybersécurité qui protège notre environnement numérique », assure Henna Virkkunen, vice-présidente exécutive à la Commission européenne chargée de la souveraineté technologique, de la sécurité et de la démocratie. Reste maintenant à savoir si au-delà de l’intention, la démarche de la Commission parviendra à déboucher sur des actions et résultats concrets ou si la montagne administrative accouchera ou non d’une souris. Et une chose est sûre : les Etats-Unis comme la Chine n’attendrons pas la réponse de l’Europe sur ce sujet pour avancer leurs pions.