Au regard de l'impact des nouvelles menaces engendrées par le déploiement d'outils d'IA générative (IAG), et notamment sur la confidentialité des données ou sur l'intégrité des systèmes d'information, l’Anssi publie un guide de recommandations de sécurité pour les systèmes d'IAG reposant sur des LLM. Destiné aux développeurs, aux DSI, aux RSSI, et aux administrateurs travaillant dans le secteur public et privé, ce guide a pour objectif de les sensibiliser aux risques liés à l’IAG et de promouvoir de bonnes pratiques.
Les 35 recommandations de l'Anssi
Au total, l’Anssi propose 35 recommandations à mettre en œuvre pour sécuriser l'intégralité de la mise en œuvre d'un système d’IAG, depuis la phase d'entraînement à celle de l'utilisation et de la production, en passant par les phases d'intégration et de déploiement. Pour chacune des ces phases, des “mesures de sécurisations spécifiques” sont nécessaires, notamment en prenant en compte “la sensibilité des données utilisées à chaque étape et de la criticité du système d’IA dans sa finalité”. À noter : Les problématiques de sécurité liées à la qualité des données et à la performance d’un modèle d’IA ne sont pas abordées dans ce guide.
Garantir une utilisation sûre et sécurisée de l’IAG
Certaines des recommandations proposées par l'Anssi sont considérées comme primordiales, notamment la proscription de l'usage automatisé de systèmes d'IA pour des actions critiques sur le système d’information, le cloisonnement de chaque phase du système d'IA dans un environnement dédié (réseau, système, stockage, comptes utilisateurs...) ou encore l'hébergement des systèmes d’IA dans des environnements de confiance cohérents avec les besoins de sécurité. De plus, l'Anssi recommande de choisir un prestataire qualifié SecNumCloud pour le déploiement d'un service en cloud public.
