Blog Données personnelles
L’intelligence artificielle face au risque cyber : opportunité et enjeux
Face à la complexité et au volume croissants des attaques cyber (en raison notamment du développement exponentiel des objets connectés, drones et capteurs, du déploiement du réseau 5G, de l’accroissement de la mobilité, de l’interconnexion croissante des organisations, etc.), les organisations ne peuvent plus compter sur leurs seules ressources humaines pour lutter contre ce risque majeur et doivent repenser leur stratégie de défense.
Une des solutions avancées par les acteurs du secteur pour se préparer à une cyberattaque repose sur le recours aux techniques de l’intelligence artificielle dopées au machine learning, qui permettent de mettre à jour les bases de données de sécurité, identifier les tendances, détecter les activités inhabituelles, prédire les attaques, empêcher l’exploitation de failles, de les corriger le cas échéant, de lutter contre la fraude, etc. Les cas d’application sont nombreux. Cette technologie est d’autant plus incontournable que les hackers eux-mêmes y ont recours (y compris, par exemple, pour usurper des identités, en recréant avec réalisme des caractéristiques humaines telles que le visage ou même la voix, pratique plus connue sous le nom de « deepfake », et qui peut être utilisée dans le cadre d’arnaques au président ou encore pour manipuler la vie démocratique d’un pays – on attend par exemple une augmentation des risques d’ingérence à l’approche de l’élection présidentielle de novembre 2020 aux Etats-Unis).
Il est donc essentiel de se doter des outils adéquats pour se protéger « à armes égales ». A cet égard, l’ANSSI s’est engagée dans son Manifeste du 22 janvier 2020 à accompagner la structuration de l’écosystème de cybersécurité, notamment en partageant davantage son expertise, ses outils et ses données au profit des plus petits acteurs. La CNIL a également rappelé à l’occasion de sa participation au Forum International de la Cybersécurité qu’en 2020, son action consistera notamment à (i) accentuer son accompagnement des entreprises, en tirant les enseignements des violations de données personnelles reçues, (ii) accroître la visibilité et la lisibilité de la politique répressive en matière de sécurité, étant rappelé que depuis 2017, deux-tiers des sanctions concernent l’obligation de sécurité posée par le RGPD (souvent en lien avec des défaillances observées chez les prestataires, ce qui démontre encore une fois la tendance de l’exploitation des relations de confiance), et (iii) renforcer les liens avec l’écosystème de la cybersécurité et traiter la conformité RGPD de certaines pratiques de sécurité informatique. Et pour aider les organisations à évaluer les risques présentés par leurs traitements, l’ENISA vient de mettre à disposition un outil en ligne accessible ici (en anglais uniquement).
Si l’intelligence artificielle (évidemment couplée à d’autres mesures techniques et organisationnelles appropriées) est un outil qui permet de répondre aux exigences de sécurité posées par le RGPD afin de garantir la protection des données à caractère personnel traitées par les organisations, elle peut également être utilisée comme moyen de traitement et de gestion des données, que ce soit dans le cadre d’un programme de mise en conformité, pour réaliser la cartographie des traitements, ou bien dans celui des activités métier de l’organisme, pour prédire et analyser le comportement de clients ou des citoyens par exemple. La règlementation applicable au traitement des données à caractère personnel a ainsi vocation à s’appliquer à l’intelligence artificielle (notamment l’article 22 du RGPD relatif à la prise de décision individuelle automatisée, y compris le profilage), qui soulève également des questions d’ordre éthique et moral.
Nous aurons l’occasion de revenir sur ces problématiques à l’occasion d’une matinale que le Département Donnée Personnelles du Cabinet Delsol Avocats organisera en mars prochain sur ce sujet important de l’année 2020 qu’est la cybersécurité.