theNet by CLOUDFLARE

Déploiement sécurisé de l'IA pour les administrations locales et nationales

Le lancement de ChatGPT a marqué le début d'une nouvelle ère pour l'intelligence artificielle (IA), en démocratisant l'accès à des outils puissants, tant pour les utilisateurs techniques que pour les utilisateurs débutants. Aujourd'hui, l'IA est en passe de révolutionner de nombreux aspects de nos vies, de la manière dont nous apprenons et travaillons à la manière dont nous créons de l'art et traitons les maladies.

Dans le secteur public, les agences gouvernementales et locales adoptent librement les outils IA. D'après une enquête récente réalisée auprès de professionnels de haut niveau issus d'agences nationales, locales et fédérales, 51 % des personnes interrogées utilisent une application d'IA plusieurs fois par semaine.

Au sein des agences locales et nationales, les équipes explorent plusieurs scénarios d'utilisation de l'IA. Elles automatisent les processus basés sur des formulaires afin d’accroître la productivité des collaborateurs ; mettent en oeuvre des chatbots assistés par IA générative (GenAI) dans le but d’améliorer les expériences numériques ; renforcent la détection des fraudes ; et plus encore.

Il ne fait aucun doute que l'IA a le pouvoir de transformer les opérations gouvernementales et la prestation de services auprès des citoyens. Toutefois, cette puissante technologie introduit également de nouveaux risques. La gestion de ces risques impose la mise en place d'une stratégie globale, capable de progresser au même rythme que l'utilisation croissante de l'IA par les agences. En plus d'améliorer la visibilité sur l'utilisation initiale de l'IA et de l'établissement de protections de base, chaque agence doit ensuite protéger l'intégration des fonctionnalités d'IA aux systèmes existants et déployer des défenses avancées, basées sur l'IA, afin de lutter contre des menaces toujours plus sophistiquées.

Trois préoccupations majeures pour les administrations locales et nationales

À mesure que les scénarios d'utilisation deviennent plus précis, les dirigeants des administrations locales et nationales commencent à prendre conscience de l'immense potentiel de l'IA. Parallèlement, beaucoup des dirigeants avec lesquels je parle de l'IA restent méfiants concernant sa maturité actuelle. Les DSI, en particulier, m'ont fait part de leurs préoccupations autour de trois problématiques essentielles :

  1. Précision : les DSI remettent en question la fiabilité et l'exactitude des résultats générés par l'IA, et ils ont raison de le faire. Ce résultat peut être faussé par des erreurs involontaires et des efforts intentionnels et malveillants visant à tromper.

    Si le modèle d'IA d'une agence gouvernementale est empoisonné par des acteurs malveillants, cette agence peut, par inadvertance, diffuser aux citoyens des informations erronées générées par l'IA. Imaginez que le chatbot d'un gouvernement d'État fournisse des informations incorrectes sur les prestations de chômage ou les services de santé.

    De la même façon, les DSI souhaitent éviter de s'appuyer sur des informations inexactes pour prendre des décisions. Si elles utilisent l'IA pour détecter les fraudes au sein des programmes gouvernementaux, par exemple, les erreurs liées à l'IA pourraient entraîner une perte de temps à examiner des déclarations légitimes ou manquer des opportunités de détection d'activités frauduleuses.

  2. Confidentialité : les DSI s'inquiètent légitimement de la divulgation d'informations sensibles concernant les citoyens, notamment si les collaborateurs saisissent involontairement des données ou des fichiers concernant des citoyens dans les systèmes collectant des données afin d'entraîner des modèles d'IA. L'utilisation d'un outil d'IA pour analyser les données médicales des citoyens afin d'établir un rapport, par exemple, pourrait permettre à son modèle IA de collecter des informations sensibles, puis d'exposer ces données dans d'autres contextes.

  3. Sécurité : les DSI s'inquiètent à juste titre des multiples façons dont les données et les modèles pourraient être compromis tandis que leurs agences adoptent de plus en plus l'IA. Par exemple, les acteurs malveillants peuvent manipuler les invites des chatbots destinés aux citoyens afin d’inciter les modèles à générer de la mésinformation ou d’accéder aux systèmes back-end. Les DSI doivent trouver le moyen de faire face à un large éventail de menaces visant leur écosystème IA, afin de protéger non seulement les données des citoyens, mais également les systèmes des agences.

Malgré ces inquiétudes, l'immense majorité des entreprises du secteur public ne disposent d'aucun plan solide pour gérer les implications liées à l'utilisation de l'IA. Néanmoins, certaines ont progressé dans le déploiement de l'IA, se trouvant exposées à des violations qui font la une de l'actualité et à la diffusion de mésinformation.

Définir le parcours

De nombreuses agences gouvernementales et locales ont déjà commencé leur parcours d'adoption de l'IA avec des programmes pilotes ou des déploiements limités d'outils d'IA. Même au sein des entreprises qui ne déploient pas activement l'IA, il peut arriver que des collaborateurs individuels ou des équipes utilisent des outils d'IA facilement disponibles ; il s'agit là d'un phénomène connu sous le nom d'« IA fantôme » (Shadow AI). Que son utilisation soit ou non officiellement autorisée, l'IA est présente dans la plupart des agences. Il s'avère donc crucial de développer et de mettre en œuvre une stratégie de sécurité de l'IA.

Cette stratégie doit présenter des facettes correspondant à chaque étape du parcours vers l'IA. Dans le cadre de mes activités auprès des organisations du secteur public, je les ai généralement vues progresser suivant trois étapes essentielles dans leur utilisation de l'IA :

  1. Consommation : dans un premier temps, les agences consomment de l'IA. Elles expérimentent les modèles, les applications et les outils, notamment les services d'IA générative. Cette phase implique souvent à la fois une utilisation approuvée de l'IA et une utilisation de l'IA fantôme.

  2. Intégration : les agences peuvent ensuite commencer à intégrer l'IA avec leurs données et systèmes existants. C'est au moment de cette intégration que commence à se dégager la véritable valeur de l'IA en matière d'augmentation de la productivité et d'amélioration des expériences numériques.

  3. Défense avancée : les agences mettent souvent en œuvre certaines fonctionnalités de sécurité lors des deux premières étapes de leur parcours. Mais à mesure qu'elles progressent dans l'adoption de l'IA, elles doivent renforcer leur stratégie de sécurité. Pour se défendre contre des menaces toujours plus sophistiquées et soutenues par IA, les agences doivent déployer des fonctionnalités de sécurité et des outils IA.

Les entreprises doivent élaborer une stratégie qui correspond à chacune des phases de leur utilisation de l'IA. La première étape consiste à mettre en œuvre une défense de référence pour protéger les données pendant la phase de consommation de l'IA.

Sécurisez la base de référence de l'IA

Cette base de référence se concentre sur l'établissement d'une visibilité totale sur l'utilisation de l'IA à l'échelle de l'entreprise, en même temps que sont élaborés des cadres solides pour l'éducation et les politiques. Une composante essentielle de cette base de référence repose sur la réponse aux cybermenaces liées à l'acquisition de données dans le cadre des grands modèles linguistiques (Large Language Models, LLM). Les LLM ingèrent continuellement des données pour améliorer leurs modèles, et les agences doivent accorder une attention particulière à deux principaux vecteurs d'acquisition de données.

  • Extraction web : de nombreux LLM collectent et traitent automatiquement des informations issues de sites web publics. Les entreprises commerciales peuvent être plus préoccupées par l'extraction web que les organisations du secteur public, car l'extraction peut donner lieu à l'utilisation de la propriété intellectuelle d'une entreprise pour entraîner des modèles. Les agences gouvernementales doivent encore être conscientes que tout ce qu'elles publient sur leurs sites web peut être collecté comme données pour les modèles d'IA.

  • Interactions avec les outils IA : lorsque les collaborateurs utilisent des outils IA, tels que les services d'IA générative, ils peuvent, par inadvertance, exposer des informations sensibles dans le cadre de leurs invites et de leurs requêtes. Même des actions apparemment anodines, par exemple le fait de demander à un outil IA d'analyser un ensemble de données ou de créer une visualisation, peuvent accidentellement transférer des données sensibles vers des systèmes LLM externes.

La réponse à ces risques nécessite la mise en place de protections de référence. Les agences doivent établir des politiques claires pour l'utilisation de l'IA, des contrôles de protection des données robustes et des mesures de sécurité approfondies pour protéger les données des citoyens. La stratégie de référence doit notamment s'intéresser en priorité aux les éléments suivants :

  • Visibilité et sensibilisation : les agences doivent voir quels LLM et outils IA sont utilisés, et par qui. Elles doivent également décider des bots IA qu'elles autorisent à extraire leurs sites web et elles doivent avoir recours à des outils de gestion des bots pour distinguer les bots légitimes des bots malveillants.

  • Éducation et politiques : il est impératif d'informer les collaborateurs sur le fonctionnement des outils IA et sur la marche à suivre pour éviter d'exposer des données sensibles. Par exemple, ils doivent apprendre à éviter de saisir des données sensibles dans l'invite d'un outil d'IA générative. Les agences doivent également mettre en place des politiques permettant de réduire le risque pour la sécurité et la confidentialité engendré par de potentielles erreurs de la part des collaborateurs. Et le panorama de l'IA étant dynamique, les agences devront continuellement actualiser la formation et affiner les politiques.

  • Confidentialité des données et prévention des pertes de données (DLP) : en plus de définir des politiques relatives à l'utilisation de l'IA, les agences doivent déployer des outils de prévention des pertes de données (DLP) permettant d'empêcher la fuite d'informations d'identification personnelle et d'autres données sensibles concernant les citoyens.

  • Zero Trust : la mise en œuvre d'une solution d'accès réseau Zero Trust peut contribuer au contrôle de l'IA fantôme, en même tant qu'elle permettra de veiller à ce que les utilisateurs n'accèdent qu'à des outils d'IA vérifiés et autorisés.

Intégration de la protection de l’IA

Au cours de la phase suivante du parcours d'adoption de l'IA, les entreprises commencent à intégrer les outils et les modèles d'IA dans leurs systèmes et processus existants. Les agences gouvernementales et locales peuvent connecter des outils IA aux systèmes qui traitent des formulaires, ou elles peuvent intégrer des chatbots aux portails des citoyens.

Le processus d'intégration peut comporter des difficultés techniques. Par exemple, les données existantes d'une entreprise peuvent être organisées et structurées d'une manière telle qu'elles ne peuvent pas être utilisées avec les outils d'IA. Parallèlement, l'intégration peut engendrer des risques pour la sécurité, car de nombreux outils IA opèrent en dehors du contrôle direct de l'entreprise.

Pour être en mesure de relever ces défis, il est nécessaire de se concentrer sur certains aspects déterminants, notamment la préparation des données et la confidentialité des données.

  • Préparation des données : pour préparer les données aux outils IA, les équipes doivent étiqueter et classer les données. Ce processus contribue également à protéger ces données, car les équipes peuvent mettre en œuvre des contrôles de sécurité basés sur les classifications.

  • Confidentialité des données : les agences doivent mettre en œuvre un cadre de confidentialité des données ainsi qu'une gamme de fonctionnalités de sécurité afin de protéger les données lorsqu'elles circulent entre les systèmes internes et les services d'IA externes. Outre les fonctionnalités DLP, les agences ont besoin de visibilité et de contrôle sur les APIs utilisées pour la connexion aux services d'IA externes. Elles ont besoin de fonctionnalités pour l'analyse et la surveillance du réseau. Elles ont également besoin d'outils, tels qu'un CASB (Cloud Access Security Broker) et une passerelle web sécurisée (SWG, Secure Web Gateway), qui peuvent les contribuer au contrôle des flux de trafic liés à l'IA.

Mettre en œuvre des défenses avancées

Au-delà de l'amélioration de la productivité des collaborateurs et de la proposition de nouvelles expériences numériques aux citoyens, l'IA peut transformer la cybersécurité. Grâce à des algorithmes avancés et à l'apprentissage automatique (ou Machine Learning, ML), l'IA peut aider les équipes de sécurité à détecter les menaces émergentes, gérer les vulnérabilités et réagir automatiquement aux incidents. L'automatisation des tâches traditionnellement manuelles non seulement améliore l'efficacité, mais réduit également les erreurs humaines au sein des opérations de sécurité essentielles.

Évidemment, les acteurs malveillants tirent également parti de l'IA pour renforcer leurs opérations malveillantes. Ils utilisent l'IA pour générer des campagnes de phishing plus sophistiquées, améliorer la reconnaissance et développer des logiciels malveillants avancés. En parallèle, ils ciblent les vulnérabilités des systèmes d'IA générative.

Pour contrer ces menaces en constante évolution, les agences doivent adopter une approche proactive de la sécurité. Elles doivent non seulement tirer parti des capacités défensives de l'IA, mais également tenir compte des vulnérabilités et des vecteurs d'attaque spécifiques à l'IA avec quelques bonnes pratiques :

  • Sélectionner des modèles d'IA sûrs : tandis que les agences continuent de connecter leurs systèmes avec des services d'IA, elles doivent faire en sorte que les modèles d'IA et les fournisseurs de modèles répondent à leurs normes de qualité et de sécurité. Le suivi d'une « liste d'autorisation » pour les modèles et applications d'IA approuvés peut réduire de création de vulnérabilités par des systèmes mal sécurisés.

  • Mettre en œuvre des outils de sécurité pilotés par l'IA : les outils de sécurité qui recourent à l'apprentissage automatique ou à l'IA peuvent fournir des informations sur les menaces, et ainsi, aider les organismes à identifier les menaces bien plus tôt que les outils traditionnels. Parallèlement, les outils d'IA et d'apprentissage automatique peuvent repérer les vulnérabilités des environnements informatiques, ce qui permet aux agences de renforcer leurs défenses avant que les incidents ne se produisent.

  • Appliquer une surveillance continue : les équipes informatiques doivent faire vérifier que les applications et les environnements d'IA n'ont pas été compromis. C'est grâce à une surveillance en continu des comportements anormaux que seront repérés les signaux précoces d'actions malveillantes.

Progresser en toute sécurité grâce à une IA transformatrice

L'intégration de l'IA dans les organisations du secteur public présente à la fois des opportunités considérables des difficultés en matière de sécurité. La réussite exige une approche structurée de la sécurité, capable d'évoluer à mesure que les entreprises amplifient leur utilisation de l'IA. Les entreprises doivent commencer par mettre en place des contrôles de sécurité fondamentaux, puis améliorer progressivement leur stratégie de sécurité à mesure que leurs fonctionnalités et intégrations en matière d'IA gagnent en maturité. Cette démarche implique de donner la priorité à la protection et la gouvernance des données, de mettre en œuvre des processus de surveillance et d'évaluation continus, ainsi que d'investir dans l'éducation continue et le développement des politiques.

Le cloud de connectivité de Cloudflare permet aux administrations locales et nationales de déployer un cadre de sécurité complet pour l'IA avec des services intelligents et cloud-native sur une plateforme unifiée. Les offres de Cloudflare for Public Sector réunissent des services essentiels de sécurité, de mise en réseau et de développement d'applications qui répondent aux normes rigoureuses du FedRAMP. Grâce à Cloudflare, votre agence peut continuer à progresser dans votre parcours d'adoption de l'IA, tout en conservant le contrôle des données sensibles.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Approfondissez le sujet.

Pour en savoir plus sur la façon dont vous pouvez encourager l'intégration de l'IA dans votre organisation sans compromettre les données sensibles, consultez le guide Garantir la sûreté des pratiques concernant l'IA : Guide de la création d'une stratégie évolutive en matière d'IA à l'intention des RSSI.

Auteur

Dan Kent — @danielkent1
CTO sur site pour le secteur public, Cloudflare


Conclusions essentielles

Cet article vous permettra de mieux comprendre les aspects suivants :

  • Les trois principales préoccupations des DSI du secteur public concernant l'IA

  • Le parcours d'adoption de l'IA en trois étapes pour les administrations locales et nationales

  • Étapes essentielles de la sécurisation des déploiements d'IA

Ressources associées

Recevez un récapitulatif mensuel des tendances Internet les plus populaires !

S'abonner à theNET

Prise en main

Ressources

Solutions

Communauté

Support

Société

© 2025 Cloudflare, Inc.Politique de confidentialitéConditions d’utilisationSignaler des problèmes de sécuritéFiabilité et sécuritéMarque commerciale