Dans le contexte d’une évolution technologique rapide et de défis croissants en matière de cybersécurité et d’intelligence artificielle, la Revue Politique et Parlementaire a rencontré lors du Forum International de la Cybersécurité (FIC) Hervé Le Jouan, expert en cybersécurité et IA. Cette interview explore les points de vue de M. Le Jouan sur les principales menaces et les meilleures pratiques pour garantir la sécurité des systèmes numériques. Il aborde également le rôle crucial des décideurs politiques dans la mise en place de réglementations et de principes pour un avenir numérique sûr et prospère.
Revue Politique et Parlementaire – Nous nous sommes déjà rencontrés lors du Printemps des technologies organisé par la Revue Politique et Parlementaire et la Ville de Saint-Raphaël. Vous avez animé une table ronde mercredi 27 au FIC. Pourriez-vous vous présenter brièvement pour ceux qui ne vous connaissent pas ?
Pouvez-vous également nous parler de votre relation avec le FIC ? Depuis combien de temps venez-vous à cet événement ? Quelles sont vos relations avec le général Watin-Augouard, fondateur du FIC ?
Hervé Le Jouan – Je suis un entrepreneur, avec une expertise multiple. Mon parcours débute avec une formation technique en tant qu’ingénieur de l’Université de Technologie de Compiègne, spécialisé en intelligence artificielle. J’ai rapidement plongé dans le monde de l’Internet dès 1996 en rejoignant Netscape à ses débuts. Par la suite, j’ai co-fondé NetValue, pionnier dans la mesure de l’Internet en Europe, et nous avons connu un succès notable en entrant en bourse en 2000, devenant ainsi une licorne avec une valorisation d’un milliard d’euros, une première en France. Après cette expérience, j’ai anticipé l’essor du mobile comme prochaine grande vague technologique. Par la suite, j’ai pris conscience de la valeur croissante des données, les considérant comme le « nouvel or », le “nouveau pétrole” et j’ai décidé dès 2010 de me concentrer sur la protection des données et l’autonomisation des consommateurs. Mon objectif était de donner aux consommateurs le contrôle sur leurs propres données (consumer empowerment), les protéger et éventuellement leur permettre de les échanger de manière sécurisée. Cette aventure a duré une décennie et s’est conclue par la vente de mon entreprise à une grande entreprise américaine en 2021, malgré des liens avec des acteurs européens à travers le programme Lab Postal par La Poste et des collaborations avec des entreprises de premier plan comme AXA et Orange. Depuis lors, je travaille en tant que Strategic Advisor (conseiller stratégique), apportant mon expertise aux entreprises.
RPP – Pouvez-vous nous parler de votre relation avec le FIC ? Depuis combien de temps venez-vous à cet événement ? Quelles sont vos relations avec le général Watin-Augouard, fondateur du FIC ?
Hervé Le Jouan – Depuis 2020, je participe activement au Forum InCyber sur le plan international. Mon rôle inclut l’organisation de tables rondes et l’accompagnement du développement de branches internationales, notamment sur l’option Montréal. Je collabore avec divers acteurs, notamment américains, sud-africains et asiatiques, dans un rôle informel de partenaire. Ma participation au FIC est étroite, ayant déjà collaboré avec des personnalités telles que le général Watin-Augouard sur des sujets comme le métavers à philoso’FIC. Je suis également impliqué dans des discussions sur les risques liés à l’intelligence artificielle, la standardisation des pratiques et la lutte contre le contenu malveillant en ligne, notamment en ce qui concerne la protection de l’enfance.
Revue Politique et Parlementaire – Lors de la table ronde « Comment évaluer et normaliser la sécurité de l’IA », vous avez évoqué les principales préoccupations en matière de sécurité dans ce domaine. Quelles sont les principales menaces qui pèsent sur la sécurité de l’IA aujourd’hui ? Comment ces menaces évoluent-elles avec l’avancement de la technologie ? Quelles sont les meilleures pratiques pour garantir la sécurité des systèmes d’IA ?
Hervé Le Jouan – Il est essentiel de rappeler que l’intelligence artificielle n’est pas une nouveauté introduite par ChatGPT. Cependant, avec ChatGPT, une nouvelle dimension a émergé : la génération de contenu. L’IA repose sur trois principes fondamentaux. Tout d’abord, l’utilisation de données massives, si possible, pour l’entraînement des algorithmes. Ces derniers opèrent sur la base de principes mathématiques pour créer des modèles à partir de ces données. Ces modèles sont ensuite appliqués à de nouveaux ensembles de données ou environnements, comme c’est le cas dans l’industrie, l’aviation et l’automobile pour des tâches telles que la reconnaissance de panneaux.
Jusqu’à récemment, l’IA était largement transparente, avec des données généralement maîtrisées et un environnement bien compris.
Cependant, l’émergence de technologies telles que la voiture autonome pose de nouvelles questions sur la responsabilité en cas d’accident. On nous parle de voiture automatisée, mais on a du mal à y aller entièrement, non pas parce que la technologie n’est pas là, la technologie est là, mais parce que je pense qu’aujourd’hui les assureurs, les constructeurs automobiles se disent qui est responsable en cas d’accident ? Alors, même si la voiture est automatisée, il faut mettre votre main sur le volant parce que s’il y a un problème, ça sera de votre responsabilité. Cela pose un tas de nouvelles questions dès lors qu’on automatise, et maintenant avec la GenAI qui génère, on se pose des questions sur les données qui ont servi à entraîner et qui doivent évoluer parce que le monde évolue. Il est crucial de comprendre que la création d’un modèle d’IA ne garantit pas son efficacité à long terme, car les conditions changent. L’évolution des modèles comporte des risques de biais et d’intrusions malveillantes dans les données, entraînant des problèmes de cybersécurité. La qualité et l’intégrité des données deviennent donc des enjeux majeurs en IA. De plus, la nature opaque des algorithmes d’IA soulève des préoccupations en matière de transparence et de sécurité.
Aujourd’hui quand on parle de ChatGPT ou Gemini ou tous ces GenAI, et bien ce sont des algorithmes qui sont des boîtes noires.
Les organisations sont confrontées à la nécessité de protéger les données, les algorithmes et les systèmes d’exécution contre les attaques malveillantes, qui peuvent altérer le comportement prévu des algorithmes. En résumé, les défis liés à l’IA sont devenus cruciaux, car l’évolution rapide de la technologie dépasse parfois notre compréhension, mettant en jeu la sécurité et la fiabilité des systèmes.
Revue Politique et Parlementaire – L’évolution des technologies de l’IA soulève de nouveaux défis en matière de sécurité. Quelles sont les principales implications pour les politiques publiques ? Concrètement, quelles solutions peuvent être mises en place ? Le rôle du politique est-il crucial dans ce domaine ? Doit-il intervenir directement ou plutôt s’en remettre aux conseils des ingénieurs ?
Hervé Le Jouan – Il va falloir de tout, c’est-à-dire qu’on ne peut pas laisser l’IA se développer sauvagement. Il est impératif d’instaurer une régulation autour du développement de l’intelligence artificielle (IA). Un exemple significatif est celui de ChatGPT, qui s’est développé sans aucun contrôle étatique, ni règle, ni régulation. Ce manque de cadre réglementaire a soulevé des préoccupations sur le plan moral, notamment en ce qui concerne les enjeux et les problèmes rencontrés. Benoît Tabaka, Secrétaire général de Google, a récemment abordé ce sujet lors d’une conversation au Printemps des Technologies. Il a expliqué que Google n’avait pas lancé une technologie similaire auparavant car ils estimaient ne pas être prêts en termes de sécurité et de contrôle sur ses implications. Cependant, l’émergence de ChatGPT a conduit à une accélération de leur développement dans ce domaine.
L’IA diffère des programmes classiques en ce sens qu’elle ne suit pas un schéma déterministe.
Alors que les programmes traditionnels produisent une sortie prévisible en fonction de l’entrée, l’IA peut générer plusieurs résultats en fonction du contexte, ce qui rend son contrôle plus complexe. Face à cet environnement en constante évolution, une régulation est nécessaire. L’Europe a déjà mis en place l’IA Act, et d’autres pays, dont les États-Unis, envisagent des mesures similaires. Toutefois, il est essentiel que ces régulations ne freinent pas l’innovation. Il faut trouver un équilibre entre régulation et promotion de l’innovation. Il est donc crucial de responsabiliser les développeurs et les entreprises dans l’utilisation de l’IA. Cela implique la mise en place d’une gouvernance claire au sein des organisations, couvrant tous les aspects opérationnels, stratégiques, marketing et commerciaux. Des règles définissant les limites et les usages de l’IA doivent être établies pour garantir un déploiement responsable et sécurisé de cette technologie.
Revue Politique et Parlementaire – Certains critiques affirment que l’IA Act européen est trop restrictif et risque de freiner l’innovation européenne. Ils soutiennent que l’Europe, en se focalisant sur l’éthique et la réglementation, perd du terrain face aux États-Unis, qui adoptent une approche plus permissive. Partagez-vous cette analyse ? En outre, pensez-vous qu’il soit possible d’harmoniser les normes en matière d’IA à l’échelle mondiale ?
Hervé Le Jouan – La nécessité d’une régulation de l’intelligence artificielle (IA) est un sujet crucial. On peut en prendre exemple le Règlement Général sur la Protection des Données (RGPD) de 2018. Avant son adoption, de nombreux acteurs, surtout aux États-Unis, considéraient que cette initiative européenne était excessive et nuirait à l’innovation. Cependant, le RGPD est devenu un standard mondial, influençant même des réglementations similaires dans des pays comme les États-Unis et en Asie. L’introduction de l’IA Act suscite des réactions similaires. Toutefois, je suis convaincu qu’une régulation était nécessaire pour éviter un environnement d’IA non contrôlé. Les États-Unis, conscients des défis posés par l’IA, envisagent également une AI Bill of Rights pour réguler cette technologie. Cette régulation ne freinera pas l’innovation. Au contraire, elle offrira un cadre plus responsable pour le développement et l’utilisation de l’IA. Comme ce fut le cas avec le RGPD, elle renforcera le contrôle des consommateurs et incitera les entreprises à adopter des pratiques plus éthiques et transparentes. Les développeurs d’IA doivent être conscients de leur responsabilité envers la société. La technologie évolue rapidement, mais il est crucial de ne pas perdre de vue les principes éthiques et les règles de base.
Tout comme la régulation est nécessaire dans d’autres domaines scientifiques comme la génétique, elle jouera un rôle essentiel dans la promotion d’une innovation responsable et éthique dans le domaine de l’IA.
Revue Politique et Parlementaire – Pouvez-vous nous citer un exemple concret d’attaque étrangère sur de l’IA en Europe ayant eu un impact significatif et ayant conduit à la mise en place de nouvelles lois ou mesures pour lutter contre ce type d’attaque ?
Hervé Le Jouan – Actuellement, l’intelligence artificielle (IA) est de plus en plus sujette à des attaques. Bien que je n’aie pas d’exemple récent d’attaque sur une IA européenne, je peux évoquer des incidents qui m’ont intéressé il y a quelques années. Il y a une décennie, des hackers ont réussi à prendre le contrôle à distance d’une voiture aux États-Unis, en forçant le conducteur à freiner et à sortir de la route. Plus récemment, lors d’un salon sur la cyber en France, une école a démontré qu’il était possible de manipuler à distance une Tesla, en ouvrant le capot et les portes sans avoir besoin de les déverrouiller.
Ces exemples soulignent la vulnérabilité croissante des systèmes informatiques, en particulier avec l’automatisation croissante dans les transports.
Il est désormais possible de créer des imitations convaincantes de voix et de vidéos, ce qui ouvre la porte à de nombreuses fraudes et attaques, tant contre des entreprises que des gouvernements. Dans un avenir proche, la cybersécurité pourrait être dominée par des affrontements entre IA. Certaines prédictions envisagent une situation où des IA attaqueraient des systèmes, tandis que d’autres IA les défendraient en bloquant les accès non autorisés et en sécurisant les réseaux.Cette évolution pose des défis complexes en matière de sécurité, mais elle est inévitable.
Il sera crucial de développer des contre-mesures efficaces pour faire face à ces nouvelles menaces.
Parlons maintenant de la sécurité des objets connectés, comme les voitures et les dispositifs médicaux. Historiquement, les constructeurs n’ont pas accordé une attention suffisante à la sécurité logicielle de ces produits. Les voitures modernes, par exemple, contiennent une multitude de systèmes et de logiciels différents qui interagissent entre eux. Si l’un de ces systèmes est compromis, cela peut compromettre l’intégrité de l’ensemble du véhicule.
Un exemple frappant est celui de Dick Cheney, ancien vice-président des États-Unis, dont le pacemaker a été compromis à distance.
Cette situation met en lumière les risques associés aux objets connectés et souligne la nécessité de repenser la sécurité dès la conception de ces dispositifs. Dans le contexte actuel des objets connectés, tels que les réfrigérateurs, les serrures de porte et les caméras de surveillance, les failles de sécurité sont monnaie courante.
Ces dispositifs sont souvent vulnérables aux attaques de hackers en raison d’une conception axée principalement sur les fonctionnalités, plutôt que sur la sécurité.
Il est impératif d’intégrer des principes de sécurité dès la conception de ces objets. Le concept de security by design (sécurité par conception) doit être prioritaire pour garantir la protection des utilisateurs contre les risques de piratage et les atteintes à la vie privée. Si la sécurité n’est pas au cœur du processus de développement, ces objets connectés peuvent devenir des vecteurs potentiels de menace, pouvant entraîner des conséquences graves pour la sécurité et la vie privée des individus.
Revue Politique et Parlementaire – Monsieur Le Jouan, pour conclure, et en s’adressant plus particulièrement aux décideurs politiques qui composent une partie de notre lectorat, auriez-vous un message à leur transmettre concernant les enjeux de la cybersécurité et de l’intelligence artificielle ?
Hervé Le Jouan – Le rôle des gouvernants dans la sécurité des nouvelles technologies est crucial. Il ne s’agit pas nécessairement de créer de nouvelles lois, mais plutôt de mettre en place des règles et des responsabilités pour garantir que la sécurité soit une priorité dans le développement et l’utilisation de ces technologies. L’éducation des décideurs politiques est essentielle pour qu’ils comprennent les enjeux de la sécurité numérique et prennent les mesures nécessaires pour les adresser. Le Printemps des Technologies à Saint-Raphaël est un exemple positif d’initiative visant à sensibiliser les politiques à ces questions. Des principes et des réglementations doivent être mis en place au niveau des agences gouvernementales et des entreprises pour garantir la sécurité des environnements numériques. Le monde de demain sera profondément impacté par les nouvelles technologies, et il est de la responsabilité des gouvernants d’agir aujourd’hui pour garantir un avenir numérique sûr et prospère.
Hervé Le Jouan,
Strategic Advisor, Cybersécurité & IA
Propos recueillis par Paul Lusseau