IA et cybersécurité : optimiser les règles du jeu

« Si l’IA ouvre de nouvelles opportunités, elle introduit des vulnérabilités inédites dans les systèmes que nous utilisons chaque jour (logiciels, objets connectés, transports…). La cybersécurité est donc un des gros enjeux de sa régulation », explique Thomas Le Goff, maître de conférences au sein du département Sciences économiques et sociales de Télécom Paris. Le chercheur décortique les textes juridiques européens encadrant l’intelligence artificielle et la cybersécurité. « Il s’agit de bien les comprendre pour aider les entreprises à s’y conformer le plus simplement possible (mesures organisationnelles ou techniques) et à en tirer le meilleur parti technologique ».

Un pont entre l’entreprise et le régulateur

Thomas Le Goff contribue ainsi à la chaire Intelligent Cybersecurity for Mobility System de Télécom Paris (ICMS, en partenariat avec l’IRT SystemX, Renault, Solent, Thales, Valeo, ZF Group, BCG) où il co-dirige l’axe de recherche « Protection des données issues du véhicule connecté ». Là, il cartographie avec son équipe les réglementations générales et sectorielles en cybersécurité appliquées au véhicule connecté. « Nous souhaitons fournir des clefs de compréhension de ce dispositif réglementaire complexe aux partenaires de la chaire. Ce travail aboutira peut-être aussi à des propositions de simplification des textes au gouvernement français ou aux institutions européennes ».  

Parallèlement, le chercheur mène un travail d’évaluation des techniques de chiffrement en lien avec ses collègues cryptographes. En effet, la nouvelle réglementation (comme par exemple le « Data Act ») impose la circulation de beaucoup de flux de données entre les différents acteurs des véhicules connectés (utilisateurs, fabricant, réparateur, garage, etc). Or lorsqu’elles sont sensibles (propriété intellectuelle, informations personnelles…), ces datas doivent être protégées sans empêcher les constructeurs de respecter leurs obligations réglementaires, sous peine de sanction (jusqu’à 2 % du chiffre d’affaires pour non-respect de la RGPD). « Ils sont dans le flou et ne savent pas s’ils doivent partager les données ou pas, ni de quelle manière. Nous sommes là pour analyser ces tensions et les résoudre avec des solutions techniques. Ce travail est d’autant plus nécessaire que ce cadre juridique est très récent et particulièrement mouvant », souligne le chercheur.  

Le défi de l’équipe de Thomas Le Goff est d’anticiper cette dynamique réglementaire et les problématiques auxquelles les industriels finissent par être confrontés. « Dans ce cas, la recherche académique tend un pont entre l’entreprise et le régulateur. Elle offre un terrain propice à des échanges neutres et une avancée conjointe vers les bonnes solutions ».

IA, compétitivité et souveraineté

Le principe reste le même dans le domaine de la régulation de l’IA. Les textes encadrant l’intelligence artificielle sont très complexes et ont en outre un fort impact en termes de souveraineté, de compétitivité économique et d’indépendance technologique. « La régulation européenne peut freiner l’innovation et pénaliser le Vieux continent face aux États-Unis et à la Chine », indique Thomas Le Goff. L’Union européenne réfléchit ainsi à la simplification de sa réglementation sur l’IA via le Digital Omnibus. 

Paradoxalement, ce texte dont la vocation est de simplifier les règles, s’avère très complexe. Il appelle à des processus de standardisation au coût important pour les partenaires économiques, et ce d’autant plus qu’ils investissent dans la mise en conformité avec les normes actuelles (qui pourraient bien être atténuées). « Cela créée de grandes incertitudes pour les entreprises et notre rôle est d’anticiper leurs besoins opérationnels mais aussi de développer les solutions techniques de mises en conformité les moins onéreuses possibles ». Ces travaux de recherche sont essentiels car la tendance actuelle est à la création d’une culture cybersécurité dans l’IA qui s’applique à tout type de secteurs.

Un cadre spécifique pour la Défense

La Défense échappe toutefois à certains de ces dispositifs juridiques. Le secteur est en effet soumis à des processus de validation, des règlements et des traités internationaux encadrant l’utilisation des différentes technologies d’armement. « Le gros enjeu pour la Défense est donc de développer ses propres normes et sa propre éthique quant à l’usage de l’IA. Et au vu du contexte géopolitique actuel, il y urgence. Nous pouvons y contribuer en nous appuyant sur les bonnes pratiques émanant des projets que nous avons menés pour des secteurs déjà fortement régulés, comme l’énergie ou la finance, et pour d’autre en cours de régulation au niveau européen ».

À propos

Thomas Le Goff est maître de conférences en droit et régulation du numérique au laboratoire I³ de Télécom Paris où il enseigne et mène des recherches sur les règlementations relatives aux technologies numériques, aux données, à la cybersécurité et à l’intelligence artificielle. Ses recherches portent plus spécifiquement sur les liens entre l’IA et la soutenabilité (« sustainability ») et sur la façon dont la régulation peut contribuer au développement de technologies respectueuses de l’environnement. Avant d’entrer dans le monde académique, il a travaillé comme juriste d’entreprise chez Électricité de France (EDF), où il avait la charge de l’expertise en matière de protection des données et de régulation numérique.

>> Thomas Le Goff sur Google Scholar

>> La page Télécom Paris de Thomas Le Goff