Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

02/02/2023

Cybersecurity Insights

La prise de conscience internationale de l’importance de la question éthique

La notion d’éthique a toujours été beaucoup questionnée et définie. Souvent appréciée dans un prisme plutôt philosophique, on observe que chaque grande avancée qu’elle soit médicale ou industrielle est accompagnée de son questionnement éthique. La définition du dictionnaire aujourd’hui, pour le mot éthique, est la suivante : « Ensemble des principes moraux qui sont à la base de la conduite de quelqu’un » [1].

Ainsi, on comprend que l’éthique est un cadre moral composé de règles qui guident les comportements. Un cadre éthique est donc observable à l’échelle individuelle, on parle alors des valeurs personnelles d’un individu. À l’échelle d’un pays, l’établissement de lois a pour vocation d’encadrer les comportements, néanmoins, elles peuvent être remises en question au nom de la morale. Comme il est difficile de convenir d’une universalité de la morale, le cadre à cette échelle est un compromis.

Ce même besoin d’encadrement s’observe en parallèle de l’avancement et de l’innovation dans un domaine. Il est par exemple nécessaire de se poser des questions sur les finalités et les conséquences sur l’Homme d’un projet scientifique. Si cela peut sembler évident quand la recherche concerne la santé, il n’en est pas moins important concernant les avancées technologiques. Ce premier état des lieux autour de la question éthique, nous offre de nombreuses pistes d’approfondissement que nous verrons dans des analyses dédiées.

Les débuts du questionnement

Les législateurs en ont pris conscience au cours des dernières années, faisant naître de nombreux projets de loi concernant l’éthique numérique, et plus particulièrement concernant les projets en lien avec l’Intelligence Artificielle (IA). Ces nouveaux enjeux sont aujourd’hui compris et le risque de dérive incite aux réflexions sur la nécessité de proposer un cadre éthique.

Les projets liés à l’intelligence artificielle sont particulièrement concernés car ils ont déjà un impact direct sur nos vies et celui-ci ne va faire qu’augmenter au fil du temps. La réglementation commence donc là mais il est pertinent de penser que les recommandations seront élargies à l’ensemble des projets technologiques. Ces impacts peuvent être positifs et révolutionner la vie de nombreuses personnes dans le bon sens mais il a rapidement été mis en avant que le risque d’impacts négatifs, souvent non anticipés par les initiateurs du projet, sont loin d’être négligeables.

Les conséquences pouvant être observées à large échelle, il est apparu nécessaire que les discussions sur la régulation soient faites sur la scène internationale. En novembre 2021, l’UNESCO a publié une recommandation sur l’éthique de l’intelligence artificielle, même si ce n’est pas la première initiative en ce sens, c’est la première regroupant autant de pays.[2] Elle met en avant les valeurs suivantes : « le respect, la protection et la promotion des droits de l’homme, des libertés fondamentales et de la dignité humaine », « la prospérité de l’environnement et des écosystèmes », « l’assurance de la diversité et de l’inclusion » et « l’édification de sociétés pacifiques, justes et interdépendantes ». Elle propose ensuite des pistes sur la manière de garantir la protection de ces valeurs au travers du respect de différents principes et l’identification de différents domaines d’actions stratégiques.

Des initiatives de réglementation régionales sont également en cours, prés existants ou non à la publication de cette recommandation, elles seront nécessairement influencées par son contenu.

On peut parmi elles citer :

  • Le projet de règlement européen sur l’intelligence artificielle (IA ACT)[3] : dernière proposition de texte en date de novembre 2022[4].
  • Le dossier « Spécifications éthiques de l’intelligence artificielle de nouvelle génération » publié par la Chine [5] en septembre 2021.
  • Le National Defense Authorisation Act[6] (NDAA) des Etats-Unis pour l’année 2021/2022 propose également plusieurs mesures concernant la stratégie américaine en intelligence artificielle et le AI Risk management framework[7] publié par le NIST en janvier 2023. Les états américains individuellement se positionnent également sur la question[8].

Les normes comme outil d’influence

L’établissement rapide d’un cadre normatif concernant l’Intelligence Artificielle est stratégiquement intéressant. Les normes sont des outils d’influence non-négligeable et l’état des lieux des projets réglementaires nous donne des indices sur les différents choix stratégiques de chacun.

Certains ont pour ambition de se positionner comme leader sur les questions d’éthique de l’IA et espèrent instaurer des « modèles à suivre ». D’autres ont un positionnement plus défensif et veillent à la protection de leurs intérêts économiques en premier lieu. D’autres encore, sont un peu plus en retrait, suive les tendances tout en cherchant comment faire leur place et se rendre indispensable.

On peut donc différencier plusieurs acteurs de la scène internationale jouant un rôle dans la construction d’un cadre éthique de l’IA :

  • À une échelle nationale de nombreux pays ont lancé une initiative de régulation comme : la France, l’Allemagne, le Brésil, la Chine, le Japon, la Corée du Sud, le Rwanda, le Ghana ou encore le Sénégal.
  • À une échelle supranationale l’Union Européenne, n’est pas la seule à avoir initiée des travaux, c’est également le cas de l’Union Africaine.

Des recommandations ont également été publiées par l’OCDE, basées sur les recommandations européennes du EU High Level Experts Group (2019)[9]. Les recommandations de l’UNESCO proposent la première approche globale prenant en compte les différences culturelles existantes entre les nations.

Des initiatives privées de standardisation ont également créé des comités pour réfléchir sur les questions d’éthiques liées à l’intelligence artificielle notamment. On retrouve par exemple le projet de norme ISO[10] : ISO/IEC JTC 1/SC 42 Intelligence artificielle et l’initiative d’IEEE sur l’éthique des systèmes autonome et intelligent[11].

Une adaptation inévitable du secteur privé : une anticipation nécessaire

Les entreprises du secteur privé ont tout à gagner à être des éléments moteurs de cette évolution. On observe de plus en plus d’initiative en ce sens comme :

Le financement de recherches à l’Institut pour l’éthique de l’intelligence artificielle à l’université technique de Munich (TUM IEAI) en Allemagne qui a pour objectif de « recherches indépendantes et scientifiques pour apporter des connaissances et des conseils à la société, l’industrie, les législateurs et les décisionnaires des secteurs privé et public »[12]. On retrouve parmi leurs partenaires Fujitsu ou encore META.

À plus petite échelle, il apparaît aujourd’hui indispensable pour les entreprises d’anticiper les conséquences de la mise en place de ce cadre éthique sur leurs activités et cela que l’intelligence artificielle soit ou non au cœur de leur métier.

Plusieurs actions peuvent être mises en place comme :

  • Une veille réglementaire ciblée
  • La mise en place d’un comité de réflexion sur le cadre éthique
  • Une analyse des risques et des conséquences ciblant les enjeux éthiques

L’actualité sur le sujet est riche mais il est nécessaire de la suivre pour ne pas se laisser dépasser et voir des projets prometteurs pénalisés par manque d’anticipation.

Références

Alia SAADI

Consultante Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

13 novembre 2023
Version révisée (Edition 4) de la norme ISO/CEI 27005 : Almond vous propose un top 3 des changements normatifs et des précisions sur leurs implications directes dans les travaux des Risk Managers au sein des organisations.
19 octobre 2023
C’est ce que tente d’éclairer cet article en explorant les avantages d’une approche ISO 27001 pour structurer les réponses attendues par vos clients dans les questionnaires SSI qu’ils vous transmettent.
16 octobre 2023
L'authentification multi-facteurs, un sujet toujours d'actualité à ne pas négliger !
11 octobre 2023
Chez Almond, nous préconisons de parachever les pratiques de contrôle par une approche par les risques pour améliorer la qualité du portefeuille des fonds d’investissement.
5 octobre 2023
Did you ever imagine that you or your colleagues could be a serious threat to your company? Discover our study: Insider Threat !
29 septembre 2023
Découvrez la solution SASE de Zscaler avec Benoit Vérove, Partner et Lead Security Integration chez Almond et Reda Nedjar, Principal Sales Engineer chez Zscaler au travers d'une démonstration technique au cœur de l'outil Zscaler Zero Trust Exchange™!
16 juin 2023
Le SASE en 7 min chrono : décrypter le SASE, sa fonction et ses usages. Pour y voir plus clair, nous vous proposons d’entrer en immersion dans les plateformes SASE des experts du secteur. Découvrons ensemble, la solution SASE proposée par Cato Networks. Joseph Fernando, SE Manager South EMEA, chez Cato Networks réalise une démonstration technique de la solution Cato SASE Cloud, au côté de Benoit Vérove, Partner et Lead Security Integration chez Almond.
12 juin 2023
Comme chaque année, SWIFT met à jour son standard CSCF et apporte son lot de nouveautés. Nous vous proposons ici quelques clés de lecture associées aux changements fondamentaux apportés par le CSCF v2023
5 juin 2023
Depuis 2021, tous les clients SWIFT se trouvent dans l’obligation de réaliser une évaluation de conformité dans le cadre du Customer Security Program (CSP) de SWIFT.
2 juin 2023
Décryptez la technologie SASE, au travers d'une démonstration technique de la solution Harmony Connect proposée par Check Point.

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Laïus explicatif : L’ISO 27001 est une norme internationale, dont les entreprises peuvent se prévaloir en se faisant certifier par un organisme indépendant ; elle contient un ensemble d’exigences que chaque entreprise, quels que soient sa taille et son domaine d’activité, doit impérativement appliquer pour obtenir sa certification ; ses exigences constituent donc le référentiel des audits de certification. A ne pas confondre avec la norme ISO 27002 qui est constituée de recommandations, basées sur les bonnes pratiques internationales, permettant d’aider une entreprise à appliquer les exigences de la norme ISO 27001 (donc norme qui ne donne pas lieu à une certification).

Les exigences de la norme ISO 27001 portent sur les informations nécessaires à une entreprise, recueillies et/ou traitées, quel que soit son support, électronique, papier et oral.

Les trois critères de sécurité retenus par la norme ISO 27001 sont la confidentialité, l’intégrité et la disponibilité des informations. Tout événement, qu’il soit d’origine environnementale ou humaine, intentionnelle ou involontaire, impactant un de ces trois critères, relève de cette norme.

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Laïus explicatif : Une attaque DDoS ou « Distributed Denial of Service » est une attaque visant à rendre indisponible un site en le submergeant de requêtes provenant de multiples sources. Dans le cas où toutes les requêtes proviennent de la même source, on parle simplement d’attaque DoS (« Denial of Service »), ou « par déni de service ».

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Laïus explicatif : DORA ou Digital Operational Resilience Act est un règlement européen publié en 2022 et en vigueur depuis janvier 2023. Le règlement traite de la résilience opérationnelle numérique du secteur financier. Il est applicable aux entités financières comme les banques, assurances, entreprises d’investissement, les établissements de paiement, etc. mais également aux tiers prestataires de services informatiques. Les entreprises concernées ont deux ans pour se mettre en conformité. Ils devront donc l’être en 2025 !

Le pilier relatif à la gestion des risques liés aux prestataires tiers de services TIC apparait comme l’un des plus difficile à mettre en place et à maintenir dans le temps pour les entreprises concernées. En quelques mots, les entreprises devront considérer ces risques comme faisant partie intégrante du risque lié aux technologies de l’information et de la communication (TIC) et notamment le risque de concentration, au niveau de l’entreprise mais également au niveau de l’ensemble du secteur financier européen. En effet, les autorités devront analyser ce risque en analysant les registres tenus et communiqués par les entreprises concernées par DORA et qui recense notamment la liste des tiers prestataires de services TIC avec lesquelles les entités financières conclues des contrats.

Pour plus d’informations, consultez notre avis d’expert sur le sujet : https://almond.eu/cybersecurity-insights/explorons-dora/