Search
Close this search box.

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

14/04/2023

Cybersecurity Insights

Ethique & Intelligence Artificielle : Comment mettre en place une stratégie éthique durable ?

Les questionnements autour de l’Intelligence Artificielle sont de plus en plus présents au sein des entreprises qui peuvent être partagées entre l’envie d’exploiter au maximum le potentiel de ces nouveaux outils et la peur des risques qui y sont associés. Des projets réglementaires sont aujourd’hui à l’étude pour encadrer cette utilisation. Il est néanmoins nécessaire pour toutes les entreprises de se poser la question de leur stratégie d’éthique numérique : Pourquoi en avoir une ? Comment la mettre en place ? Quelles sont les obligations légales ? Enfin qui doit avoir la charge de la mise en place de la stratégie d’éthique numérique au sein de l’entreprise ?

Avant de pouvoir répondre à ces questions, il est important de bien comprendre la notion qui y est associée : l’éthique numérique.

Tout d’abord, le terme éthique comprend : l’« ensemble des principes moraux qui sont à la base de la conduite de quelqu’un »[1]. L’éthique numérique est donc l’ensemble des principes moraux qui sont à la base de la conduite à adopter dans l’environnement du numérique. A l’échelle d’une entreprise, c’est donc le cadre moral qu’elle s’impose et qui s’applique à l’ensemble de ses projets.

Le législateur européen ambitionne de proposer un cadre commun au travers d’initiatives réglementaires comme l’IA ACT[2] afin d’harmoniser les bonnes pratiques et rendre le marché européen plus compétitif sur la scène internationale.

Pour mettre en place une stratégie d’éthique numérique pérenne, il est important de commencer par mettre en place une veille pour suivre les évolutions réglementaires mais également les sujets d’actualités comme la promotion de la création d’un nouveau métier celui de : Digital Ethics Officer (DEO), Data Ethics Officer ou encore Délégué à l’Ethique Numérique en français.

Ce nouveau rôle n’est pour le moment pas directement imposé dans les propositions de texte de l’IA ACT mis à disposition par l’Union Européenne mais semble être la clef pour une stratégie éthique qui fonctionne.

De plus en plus d’entreprises créent ce nouveau poste aux responsabilités multiples : garant de la veille et de la conformité autour des sujets d’éthiques numériques mais également garant du respect des valeurs de l’entreprise, défini dans la stratégie éthique globale, pour chaque projet numérique.

Concrètement il doit savoir allier un savoir-faire juridique, éthique et technique pour optimiser les projets au maximum. Il apporte son expertise à un nouveau domaine celui de la gouvernance de l’Intelligence Artificielle. C’est un rôle transverse qui doit s’assurer que le cadre défini imprègne l’ensemble des services de l’entreprise.

Contrôler son cadre éthique, permet plus que d’éviter des sanctions juridiques et financières même si celles-ci seront inévitables sur le long terme sans une prise de conscience de l’importance du sujet. L’image de l’entreprise sera également inévitable impactée par une utilisation non raisonnée de l’Intelligence Artificielle : un abus pourra rapidement mener à une perte de confiance des clients. Un des exemples les plus concrets est celui du marketing digital, on observe de plus en plus de nouvelles applications de l’intelligence artificielle au service de la promotion d’un produit notamment pour le ciblage.

Une stratégie éthique durable devra prendre en compte l’ensemble des applications de l’intelligence artificielle au sein de l’entreprise, cela passera par une évaluation à 360 des outils utilisés, une analyse de risque spécifique axé sur les enjeux éthiques et la définition d’un corpus documentaire complet détaillant les pratiques autorisées et définissant des limites concrètes.

Une stratégie éthique est également un argument de communication non négligeable, elle permet de se positionner comme un acteur de confiance, conscient des risques liés aux outils qu’ils utilisent et prenant les mesures nécessaires à leur limitation.

Alia SAADI

Consultante Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

25 November 2024
Nouvelles menaces cyber, nouvelles solutions : téléchargez le Threat Landscape 2022-2023 Almond !
28 October 2024
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
2 October 2024
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
10 June 2024
Cet article vise à présenter l’état du droit actuel de l’encadrement de l’intelligence artificielle par l’IA ACT. Comment les droits […]
27 May 2024
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
22 May 2024
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
14 May 2024
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
13 May 2024
Cet article vise à présenter l’état du droit actuel de l’encadrement de l’intelligence artificielle par l’IA ACT. Comment les droits […]
29 April 2024
La Chine étant devenue un acteur incontournable du cyberespace, elle s’implique également dans l’élaboration d’un régime de protection des données.
17 April 2024
Nouvelles menaces cyber, nouvelles solutions : téléchargez le Threat Landscape 2022-2023 Almond !

Jour 6 | Selon vous, en moyenne combien de ransomware ont eu lieu par jour en 2023 dans le monde ?

  • Réponse 1 : 1 par jour

  • Réponse 2 : 100 par jour

  • Réponse 3 : 30 par jour

  • Réponse 4 : 12 par jour

Jour 5 | Challenge de stéganographie

Jour 4 | Concernant les accompagnements de la nouvelle qualification PACS de l’ANSSI, sur la portée Sécurité des Architectures, quels sont les domaines qui font partie du périmètre possible d’un accompagnement ?

  • Réponse 1 : la sécurité réseau, l’authentification, et l’administration du SI

  • Réponse 2 : la sécurité réseau, la sécurité système, et les mécanismes de chiffrement

  • Réponse 3 : l’administration du SI, le cloisonnement, les sauvegardes, et la stratégie de détection/réponse

  • Réponse 4 : tous ces sujets et plus encore

  • Laïus explicatif : Le référentiel PACS, sur la portée Sécurité des Architectures, porte bien sur tous les sujets liés de près ou de loin aux infrastructures du SI. La liste n’est pas exhaustive et est à adapter à chaque prestation d’accompagnement suivant le périmètre d’intervention. Dans le référentiel, l’ANSSI propose une liste de sujets à adresser dans un rapport PACS page 28 et 29.

    https://cyber.gouv.fr/sites/default/files/document/PACS_referentiel-exigences_v1.0.pdf

Jour 3 | Quel référentiel permet la certification de produits de sécurité ?

  • Réponse 1 : NIS2

  • Réponse 2 : Critères Communs

  • Réponse 3 : PASSI

  • Réponse 4 : ISO27001

Laïus explicatif : Le schéma Critères Communs est un ensemble de normes et méthodologies permettant de cadrer les moyens utilisés pour évaluer, de manière impartiale, la sécurité d’un produit de sécurité (logiciel ou matériel). Ce schéma est reconnu internationalement au travers de plusieurs accords (SOG-IS, CCRA et prochainement EUCC).

Le référentiel PASSI permet la qualification, par l’ANSSI, des prestataires d’audit de la sécurité des SI. ISO27001 est la norme décrivant les bonnes pratiques à suivre dans la mise en place d’un SMSI. Enfin, NIS2 est une directive visant à harmoniser et à renforcer la cybersécurité du marché européen.

Jour 2 | Quel est l’artefact forensique qui permet de prouver une exécution d’un programme sous Windows ?

  • Réponse 1 : JumpList

  • Réponse 2 : ShimCache

  • Réponse 3 : $MFT

  • Réponse 4 : Prefetch

Laïus explicatif : Le Prefetch est un artefact spécifique à Windows qui optimise le chargement des programmes. Lorsqu’un programme est exécuté pour la première fois, Windows crée un fichier dans le dossier C:\Windows\Prefetch, qui contient des informations sur le programme et les ressources qu’il a utilisées. Ces fichiers incluent également des horodatages correspondant à la première et aux dernières exécutions. L’existence d’un fichier Prefetch (.pf) pour un programme est une preuve solide qu’il a été exécuté. C’est l’un des artefacts forensiques les plus fiables pour prouver l’exécution d’un programme.

Jour 1 | Quel texte européen permettra qu’à partir de fin 2027, tous les produits vendus dans l’UE et comprenant des composants numériques seront exempts de vulnérabilités et maintenus pendant tout leur cycle de vie ? #DigitalTrust

  • Réponse 1 : Le Cyber Security Act
  • Réponse 2 : Le Cyber Resilience Act
  • Réponse 3 : La Directive REC
  • Réponse 4 : La Directive NIS2 

Laïus explicatif : Le Cyber Resilience Act, qui a été publié ces derniers jours au Journal Officiel de l’Union Européenne est entré en vigueur le 10 décembre 2024. A compter de cette date, les fabricants et éditeurs doivent adapter leur processus pour pouvoir continuer à vendre des produits au sein de l’UE après le 10/12/2027.

EU Cyber Resilience Act | Shaping Europe’s digital future