L’IA ACT impacte la cybersécurité à plusieurs niveaux

D’abord, le règlement impose que les IA dites à haut risque soient conçus et développés de manière à garantir un niveau approprié d’"exactitude", de robustesse et de cybersécurité. Au-delà du simple fonctionnement de l’IA, il s’agit de s’assurer qu’ils résistent à des attaques, des manipulations ou des usages détournés. 

Le texte mentionne explicitement de se couvrir face à différents risques :

• Adversarial attacks : entrée malveillante pour tromper le modèle.

• Data poisoning : corruption des données d’entraînement.

• Model extraction : vol du modèle ou de ses paramètres.

Ces techniques peuvent être utilisées pour compromettre des IA, en altérer les résultats et en détourner leur usage.

Notons également que l’IA Act intervient dans un cadre normatif général comme le Cybersecurity Act ou encore le futur Cyber Resilience Act. Par exemple, si une IA obtient une certification en cybersécurité, cela peut présumer sa conformité pour certains aspects du IA Act. Cela pousse donc les acteurs à aligner leurs activités IA et cybersécurité de façon plus intégrée.

Le règlement prévoit aussi des exigences de documentation, journalisation, suivi post-commercialisation des IA, ce qui permet de mieux auditer, détecter et répondre aux incidents. On renforce ainsi la posture de cybersécurité autour : pas seulement sécuriser le développement, mais aussi surveiller le run.

Pour les organisations cela représente un certain nombre de défis et de complexités qu'il va valoir prendre en compte :

• Mise en œuvre technique complexe : Traduire robustesse, résilience et cybersécurité dans un contexte IA parait difficile sans modèles / référentiels. D'autre part qui pourra le garantir ? Ces référentiels sont encore à définir et peut être un modèle de certification. Cela représentera un coût et des compétences supplémentaires pour les entreprises.
• Évolution rapide des menaces et de l’IA : Les attaques sur les IA sont de plus en plus nombreuses et leur typologie également. Nous devons pariez sur le fait que nous n'imaginons pas encore les prochaines. Le cadre réglementaire doit rester suffisamment flexible pour s’adapter.  Il y a donc un équilibre à trouver entre la stabilité règlementaire et une certaine agilité face aux menaces.
• Champ d’application global et effets extra-territoriaux : L’IA Act s’applique non seulement aux acteurs européens mais aussi à ceux hors UE qui ciblent le marché européen ou dont les systèmes sont utilisés dans l’UE. Même des fournisseurs globalisés doivent intégrer ces obligations, ce qui complexifie la chaîne d’approvisionnement, les partenariats, etc.
• Surcharge réglementaire = innovation bridée : Certains commentateurs font état de risques liés à un cadre réglementaire trop lourd qui pourrait freiner l’innovation ou imposer une charge disproportionnée aux acteurs plus petits. Il faudra donc un équilibre entre sécurité, conformité et compétitivité.

Dès maintenant les organisations doivent intégrer les nouveaux enjeux et mettre en place les mesures adéquates :

• Pour les fournisseurs de systèmes IA (et cybersécurité) : ils devront intégrer dès la conception des mesures de cybersécurité (ex : protection contre altération du modèle, monitoring, logs, résilience).

• Pour les organisations utilisatrices : lors de la sélection de solutions IA, il faudra vérifier la conformité au AI Act, la documentation, la traçabilité, les garanties de sécurité, tout en évaluant les risques liés à l’IA.

• Pour les équipes cybersécurité : il devient essentiel de comprendre non seulement les vulnérabilités classiques (réseaux, serveurs) mais aussi celles spécifiques aux systèmes IA (poisoning, evasion, manipulation de données d’entraînement).

• Pour le secteur de la conformité / audit : de nouvelles compétences sont requises : audit IA, certification IA, gestion de la robustesse IA, etc.