Forum InCyber 2024 : de l’IA jusqu’à la nausée !

Depuis l’irremplaçable général Watin Augouard, fondateur du FIC aujourd’hui rebaptisé Forum InCyber, jusqu’à Thierry Breton en passant par Vincent Strudel de l’Anssi, Marie Laure-Denis de la CNIL, et même Raphael Enthoven, tous y sont allés de leur discours sur l’IA générative.

2023 a clairement vu exploser les usages de l’IA générative et toutes les entreprises ont lancé des Task Force pour se mettre au pas. Dans la cybersécurité, cette vague est clairement à relativiser. Le discours des fournisseurs a d’ailleurs évolué. Alors qu’en 2023 beaucoup avaient rapidement monté des démos ChatGPT ou Copilot for Security, cette année, les éditeurs de solutions se montraient bien plus modestes vis-à-vis de leurs IA, s’excusant presque d’aborder le volet intelligence artificielle de leur argumentaire.

Le buzz médiatique semble agacer de nombreux RSSI et CISO à qui l’on vend les charmes de l’IA depuis des années, car l’IA dans la cyber, cela n’a rien de nouveau. Le comportemental a débarqué dans les antivirus il y a plus de vingt ans et on trouve du Machine Learning dans de nombreuses solutions. Quant à penser que l’IA générative apportera une solution au manque de bras chronique du secteur, les promesses n’engagent que ceux qui y croient. En outre, RSSI et CISO ont bien souvent campé le mauvais rôle en interdisant à leurs collaborateurs de livrer des documents sensibles à ChatGPT et consorts. 

« L’IA n’est pas un instrument nouveau. [Néanmoins] un nouveau palier a été franchi grâce à la combinaison de deux facteurs : l’accès à des volumes massifs de données et la puissance de calcul des ordinateurs ». 

Néanmoins, difficile de nier le phénomène de société qu’est devenue l’IA générative en quelques mois. Pour le général Watin Augouard, l’IA générative rapproche de la singularité chère à Ray Kurzweill dans les années 2000. Elle ne pourra se concevoir que comme responsable et encadrée, même s’il considère le terme comme inadapté : « l’IA ne pourra être responsable puisque ce sont les humains qui seront responsables de l’IA qu’ils auront conçue. L’IA devra être sûre et sécurisée tout au long de son cycle de vie », a-t-il souligné.

Et si l’IA représente un danger dans la cybersécurité, elle est aussi une alliée précieuse et peut apporter une réponse systématique à l’accroissement du risque cyber, tout en contribuant à améliorer la résilience des systèmes complexes : « l’IA rebat les cartes entre l’offensif et le défensif dans la plus pure tradition du duel entre le canon et la cuirasse. Néanmoins, il s’agit d’un combat asymétrique vis-à-vis des contraintes juridiques qui s’appliquent aux uns et pas aux autres ».  

Cette question du contrôle et de la régulation des IA fut omniprésente dans les conférences plénières. Marie Laure-Denis, présidente de la CNIL a évoqué l’arrivée prochaine de l’AI Act Européen qui va réglementer le développement et l’usage des IA sur le vieux continent : « en avril 2021, la commission européenne a fait une proposition de règlement qui précise de nouvelles règles pour veiller à ce que les systèmes d’intelligence artificielle utilisés dans l’union européenne soient les plus sûrs possible, transparents, éthiques, impartiaux et sous contrôle humain. A l’issue des travaux législatifs, les institutions européennes ont convergé sur une classification des systèmes d’IA en fonction de leur niveau de risque ». 

« Nous n’avons pas souhaité réguler la technologie, mais le Parlement a souhaité réguler les LLM, les modèles fondations. »

C’est Thierry Breton lui-même qui a livré quelques détails sur l’élaboration d’un texte européen dont l’accouchement fut quelque peu agité. Avec d’un côté ceux qui considèrent l’IA comme « le grand Satan et ont peur d’un scénario tel que le Social Scoring à la chinoise » et de l’autre, ceux qui militent pour le plus grand libéralisme pour « ne pas passer à côté de la révolution GenAI, comme ce fut déjà le cas avec le cloud ou encore l’Internet ».

Dans ce contexte, les échanges entre la commission et le Parlement furent… complexes, de l’aveu même de Thierry Breton : « cette réglementation européenne est basée sur les risques en matière d’usages et de services. Nous n’avons pas souhaité réguler la technologie, mais le Parlement a souhaité réguler les LLM, les modèles fondations. C’est la démocratie : la commission propose des textes de loi, le Parlement les amende, ensuite on se réunit dans un trilogue ».

Ce trilogue, explique-t-il, a duré 38 heures pour faire converger les deux parties : « ce fut le plus long trilogue de l’histoire de l’Union européenne ! Nous avons trouvé un très bon accord, remonté de façon extrêmement puissante les limitations sur les modèles génératifs ».

L’Europe deviendra-t-elle un géant de l’IA ou restera-t-elle à la traîne des Etats-Unis comme c’est le cas aujourd’hui ? Thierry Breton estime que le cadre est désormais en place pour que l’Europe refasse son retard. Selon lui, « cet accord permet de n’avoir aucune contrainte à l’innovation, aucune contrainte sur la recherche, de la puissance de calcul disponible pour l’entraînement des modèles et évidemment de la lisibilité. On sait où on investit et comment on doit le faire. Si on créée un modèle pour le secteur de la santé, on connaît les précautions à prendre sur les Datasets, si on veut faire des modèles de Social Scoring, c’est interdit, et si on veut faire des modèles pour faire de la biométrie, c’est faisable, mais il y a des précautions à prendre. Ce texte sera extrêmement utile pour toutes les start-up européennes et les entreprises qui viendront en Europe pour développer et entraîner des modèles ».