Intelligence Artificielle, RGPD & cybersécurité
Depuis l’entrée en vigueur du RGPD, le Règlement européen sur la protection des données, les entreprises sont contraintes de renforcer leurs systèmes de sécurité visant à protéger les données personnelles qu’elles possèdent. La cybersécurité doit ainsi être au cœur des préoccupations majeures des entreprises.
Les consommateurs renseignant de plus en plus de données personnelles sur différents sites et applications, ces dernières représentent aussi bien un gisement de valeur pour les entreprises qu’une potentielle proie pour les hackers. Et pour cause, garantir la protection des données personnelles de leurs clients est de plus en plus difficile pour les entreprises. En effet, les interactions croissantes entre leurs services et les smartphones des particuliers/collaborateurs rendent plus fragile leur système de cybersécurité, de même que la professionnalisation des hackers. D’où le déploiement du RGPD, qui rappelons-le, vise à renforcer le droit des citoyens européens vis-à-vis de l’usage de leurs données personnelles.
Comment l’IA permet de protéger la data ?
Pour qu’une entreprise puisse remplir ses obligations vis-à-vis du RGPD, les outils de gouvernance et de gestion des risques jouent un rôle particulièrement important.
Ainsi, une approche en 3 dimensions doit être adoptée :
· Dimension stratégique/organisationnelle : Elle implique des mesures de contrôle concernant les tierces personnes amenées à être en contact avec les données de l’entreprise
· Dimension Technique : Elle inclut le déploiement des technologies permettant de protéger et d’abriter l’accès au système informatique d’une entreprise
· Dimension juridique : Ces mesures doivent permettre de valider le contrôle des modalités d’entrée d’une donnée ainsi que la manière dont cette donnée est exploitée.
A cette approche en Trois dimensions s’ajoute la dimension comportementale. Elle met en exergue la sensibilisation sur les différents risques et dangers encourus, lorsque les données ne sont pas correctement sécurisées.
Toutes ces mesures sont destinées à assurer une sécurité maximale des données d’une entreprise, de manière à les protéger de tout piratage, diffusion illégale ou utilisation inappropriée. De même, ces mesures techniques et organisationnelles visant à protéger la data devront être régulièrement révisées afin d’être au plus près des nouveaux usages des consommateurs et demeurer conformes au RGPD.
Dans ce contexte, il apparaît évident que l’homme seul ne peut faire face à ces enjeux et que l’intelligence artificielle – combinée avec des outils professionnels (Kaspersky, Fortinet…) ou des méthodes bien définies – peut être un atout.
Depuis plusieurs années déjà, l’intelligence artificielle est une technologie à laquelle les entreprises font appel quel que soit leur domaine d’activité. Amélioration des performances, compétitivité… Les entreprises n’ont eu d’autre choix que d’entrer dans l’ère du digital grâce aux apports de l’IA, cette dernière permettant notamment de prédire les besoins des consommateurs et d’y répondre de manière anticipative. En ce qui concerne la protection des données personnelles, là aussi l’intelligence artificielle se révèle être une aide indispensable pour les entreprises amenées à traiter des masses d’informations.
En premier lieu, les algorithmes d’IA sont en mesure d’évaluer de façon quantitative les risques encourus (1) par les données détenues sur un réseau, et les retranscrire sous forme de note. Et ce, quels que soient le type d’équipements et de menaces. Les logiciels de cybersécurité s’appuyant sur l’intelligence artificielle peuvent ainsi détecter automatiquement les failles potentielles du réseau d’une entreprise ainsi que les programmes malveillants ou indésirables.
(1) « Saviez-vous que les hackers utilisent l’IA pour déjouer l’IA ? Mais comment ?
L’IA a été exploitée en vue de comprendre l’état « normal » d’un environnement numérique et de détecter les variations au moment où elles se produisent, signalant un abandon des approches coutumières de la cyberdéfense.
Nouvelle étape de l’évolution de la physionomie des attaques, les hackers tirent désormais profit de l’apprentissage automatique pour déployer des algorithmes malveillants capables de s’adapter, d’apprendre et de s’améliorer pour échapper à la détection, indiquant le prochain changement de paradigme du paysage de la cybersécurité : les attaques basées sur l’IA. Une récente étude menée par le cabinet Forrester a révélé que 88 % des professionnels de la sécurité s’attendent à une généralisation des attaques basées sur l’IA. »
L’IA est également en mesure de détecter, analyser et défendre un système face à des cyberattaques même massives, grâce à des analyses précises et automatisées des activités malveillantes. L’intelligence artificielle est même capable de détecter un logiciel malveillant tentant de se faire passer pour un utilisateur humain. De quoi permettre aux entreprises de bloquer en temps réel toutes les formes de cyberattaques, même les plus sophistiquées.
Outre la sécurisation des données vis-à-vis des attaques extérieures, l’IA est également capable, côté réseaux IT, de lutter contre les fraudes lors de transactions en temps réel, par exemple.
Enfin, l’intelligence artificielle est également d’une grande aide dans le traitement en lui-même des données personnelles des utilisateurs. En effet, outre la sécurisation maximale de ce type de données, le RGPD impose aux entreprises de ne collecter que les données nécessaires à leurs activités, ainsi qu’à établir une cartographie précise de ces données au sein de l’entreprise. Les données personnelles dites sensibles doivent également être identifiées et traitées comme il se doit. Des logiciels adaptés au secteur d’activité ou contexte métier des entreprises s’appuient sur des algorithmes d’IA afin de mener à bien ces missions.
Nous l’avons vu, l’apport de l’intelligence artificielle dans la protection des données personnelles est désormais incontournable et tout à fait souhaitable, dans un contexte de Big Data où les actes de malveillance, toujours plus sophistiqués, se multiplient. Cependant, peut-on faire totalement confiance à l’IA pour la cybersécurité ?
Peut-on entièrement faire entièrement confiance à l’IA pour le traitement des données personnelles ?
Il existe tout de même certaines limites à l’utilisation de l’intelligence artificielle dans la protection des données personnelles. Des limites d’ordre techniques, dans les cas où la protection des données personnelles se révèle être un frein à l’IA.
Prenons pour exemple les algorithmes qui utilisent les données personnelles pour prédire et analyser les comportements des consommateurs. Lors d’un passage en caisse automatique notamment, la caméra va capturer les mouvements du client afin d’identifier si tous les articles ont bien été encaissés. Se faisant, elle sera amenée à reconnaître le visage du consommateur dans sa base de données. Bien que l’information ne soit pas forcément conservée, elle se retrouve tout de même traitée par les logiciels d’intelligence artificielle, ceci pourrait-être perçu comme une violation des droits élémentaires de la personne qui passe en caisse. L’IA peut également se mettre au service du traitement de données personnelles ; en Chine, un système de scoring des personnes (SCS : Système de Crédit Social) est en cours de déploiement. Les citoyens seront désormais assujettis à une note sociale, laquelle dépend d’une appréciation positive ou négative de leurs actes, aussi minimes soient-ils.
Enfin, les régions du monde qui ne sont pas soumises à des textes législatifs régissant l’utilisation des données personnelles auront, de fait, un potentiel de recherche et de développement plus avancé que les territoires où la réglementation freine le développement des algorithmes. La raison en est toute simple : plus les données sont nombreuses et variées, plus les résultats affichés par les logiciels d’IA se font précis et adéquats. Un risque de dépendance technologique n’est donc pas à exclure.
Rappelons (entre guillemets ci-dessus) que les cybercriminels se servent de l’IA pour pirater l’IA, il est donc nécessaire de combiner l’utilisation de l’IA à des solution de prévention en sécurité numérique ; il faut complexifier le travail du cybercriminel, quitte à lui faire abandonner sa sale besogne.
Chez WEODEO, nous disposons du recul et des technologies nécessaires pour accompagner votre entreprise, vos collaborateurs dans cette démarche de prévention.
Vous souhaitez en savoir plus? N'hésitez plus, contactez nous.