NIST : Sécurité de l'IA simplifiée, sans réinventer la roue

L’Institut National des Normes et de la Technologie (NIST) guide stratégiquement la communauté de la cybersécurité à travers le paysage complexe de l’intelligence artificielle, visant à fournir des cadres de sécurité essentiels sans submerger les professionnels avec des directives entièrement nouvelles. Cette approche mesurée cherche à éviter de “réinventer la roue”, en intégrant plutôt les considérations de sécurité de l’IA dans les pratiques établies et les directives existantes.

La prolifération rapide des technologies d’IA présente un double défi : l’IA peut améliorer considérablement les défenses cybernétiques, mais elle introduit également de nouveaux vecteurs d’attaque que les mesures de sécurité traditionnelles ont souvent du mal à gérer. Avec plus de 90 % des professionnels de la cybersécurité exprimant des préoccupations concernant les menaces habilitées par l’IA, le besoin de conseils clairs et exploitables est plus pressant que jamais. Reconnaissant cela, le NIST se concentre sur le renforcement de la sécurité et de la fiabilité des systèmes d’IA en s’appuyant sur ses travaux fondamentaux.

Une pierre angulaire de la stratégie du NIST est le Cadre de Gestion des Risques liés à l’IA (AI RMF), publié en janvier 2023. Ce cadre volontaire offre une approche structurée pour gérer les risques associés à l’IA, en mettant l’accent sur la fiabilité, la responsabilité, la transparence et le comportement éthique tout au long du cycle de vie d’un système d’IA. L’AI RMF est conçu pour être flexible et adaptable, s’appuyant sur des cadres existants tels que le Cadre de Cybersécurité (CSF) du NIST et le Cadre de Confidentialité du NIST. Dans un raffinement supplémentaire, le NIST a également publié un Profil d’IA Générative pour l’AI RMF en juillet 2024, abordant spécifiquement les risques uniques posés par ces modèles avancés.

Au-delà de l’AI RMF, le NIST développe activement un “Profil Cyber IA” sous l’égide de son Cadre de Cybersécurité (CSF) 2.0. Ce profil vise à aider les organisations à mieux se préparer et à gérer les risques cybernétiques liés à l’IA, y compris ceux posés par les attaquants qui exploitent les outils d’IA pour des cyberattaques améliorées comme les deepfakes et le phishing avancé. Un projet de ce profil crucial est attendu dans les neuf mois à un an, le NIST recherchant activement les commentaires du public par le biais d’ateliers et de demandes d’informations pour garantir son utilité pratique. Début août 2025, une session virtuelle prévue pour recueillir des commentaires sur le Profil Cyber IA a rencontré des difficultés techniques, soulignant la nature dynamique et évolutive de ces efforts collaboratifs.

De plus, le NIST prévoit de publier une nouvelle superposition de contrôle pour sa série de Publications Spéciales 800-53, ciblant spécifiquement les risques uniques inhérents aux systèmes d’IA, attendue dans les six à douze prochains mois. L’agence travaille également à intégrer les considérations d’IA dans le Cadre de Main-d’œuvre NICE pour la Cybersécurité, en introduisant un Domaine de Compétence en Sécurité de l’IA et en mettant à jour les rôles professionnels pour refléter l’impact évolutif de l’IA sur la main-d’œuvre de la cybersécurité. Cette approche holistique garantit que non seulement les technologies sont sécurisées, mais que l’élément humain responsable de leur défense est également doté des connaissances et compétences nécessaires.

L’engagement du NIST à éviter les efforts redondants est évident dans son initiative “brouillons zéro”, qui accélère l’établissement des normes d’IA et élargit la participation en sollicitant des commentaires précoces sur les lignes directrices pour les tests, l’évaluation, la vérification et la validation de l’IA. En tirant parti des pratiques de développement sécurisé éprouvées d’agences comme la CISA et en les adaptant au contexte de l’IA, le NIST vise à fournir des conseils à la fois efficaces et facilement intégrables dans les processus organisationnels existants. Cette orientation stratégique permet aux professionnels de la cybersécurité de gérer l’impact multifacette de l’IA sur leur travail sans être submergés, favorisant ainsi un avenir numérique plus sûr et plus résilient.