Le 22 mai 2025, la CISA et plusieurs partenaires en sécurité ont dévoilé une fiche d’information conjointe intitulée « Sécurité des données en IA : Pratiques exemplaires pour sécuriser les données servant à l’entraînement et à l’exploitation des systèmes d’IA », marquant ainsi une étape importante dans la réponse aux préoccupations croissantes concernant les vulnérabilités de sécurité liées à l’IA.
Ce guide, rédigé conjointement avec le Centre de sécurité de l’intelligence artificielle de la National Security Agency (AISC), le Federal Bureau of Investigation (FBI) et des partenaires internationaux tels que l’ACSC d’Australie, le NCSC-NZ de Nouvelle-Zélande et le NCSC du Royaume-Uni, souligne que la sécurité des données est fondamentale pour garantir la fiabilité des systèmes d’IA.
La fiche d’information décrit les principaux risques pouvant découler de problèmes de sécurité et d’intégrité des données à toutes les étapes du cycle de vie de l’IA, de la conception et des tests jusqu’au déploiement et à l’exploitation. Elle fournit des recommandations détaillées pour protéger les données qui alimentent les systèmes d’IA, notamment la mise en place de mesures robustes telles que le chiffrement, les signatures numériques et le suivi de la provenance des données.
Le guide aborde spécifiquement trois domaines majeurs de risques liés à la sécurité des données dans les systèmes d’IA : les vulnérabilités de la chaîne d’approvisionnement des données, les données modifiées de façon malveillante (« données empoisonnées ») et la dérive des données. Pour chacun de ces risques, le document propose des stratégies d’atténuation et des pratiques exemplaires détaillées.
« À mesure que les systèmes d’IA s’intègrent davantage aux opérations essentielles, les organisations doivent demeurer vigilantes et prendre des mesures délibérées pour sécuriser les données qui les alimentent », indique l’alerte de la CISA. L’agence recommande aux organisations d’adopter des mesures robustes de protection des données, de gérer les risques de façon proactive et de renforcer les capacités de surveillance, de détection des menaces et de défense des réseaux.
Cette orientation s’avère particulièrement pertinente pour les bases industrielles de la défense, les propriétaires de systèmes de sécurité nationale, les agences fédérales et les opérateurs d’infrastructures essentielles qui déploient de plus en plus de systèmes d’IA dans des environnements sensibles. En appliquant les pratiques de sécurité recommandées, les organisations pourront mieux protéger leurs systèmes d’IA contre les menaces potentielles tout en maintenant l’exactitude et l’intégrité des résultats générés par l’IA.