Le gouverneur de l’Oklahoma, Kevin Stitt, a pris une mesure décisive pour protéger les données et les infrastructures de l’État en interdisant l’utilisation de DeepSeek AI, un logiciel d’origine chinoise, sur tous les appareils détenus et exploités par le gouvernement de l’État. Cette action reflète une préoccupation croissante parmi les entités gouvernementales concernant les potentielles vulnérabilités de sécurité associées aux technologies d’intelligence artificielle développées à l’étranger.
Des préoccupations de sécurité entraînent une action rapide
L’impulsion derrière l’interdiction du gouverneur Stitt découle d’un examen complet mené par l’Office of Management and Enterprise Services (OMES) début mars. Cet examen, commandé par le gouverneur lui-même, avait pour mission d’évaluer les risques potentiels posés par le déploiement de DeepSeek sur les appareils appartenant à l’État. Les conclusions de l’évaluation de l’OMES ont mis en évidence plusieurs domaines de préoccupation critiques, conduisant finalement à la décision du gouverneur d’interdire le logiciel.
L’une des principales préoccupations soulignées dans le rapport de l’OMES était les pratiques étendues de collecte de données de DeepSeek. Selon le rapport, le logiciel recueille une quantité importante de données utilisateur, soulevant des questions sur la confidentialité et la sécurité des informations sensibles de l’État. La nature et l’étendue de cette collecte de données, associées à l’origine du logiciel en Chine, ont alimenté les inquiétudes concernant l’accès potentiel à ces données par le gouvernement chinois.
Manque de conformité et architecture de sécurité
Au-delà de la collecte de données, l’examen de l’OMES a également identifié un manque de fonctionnalités de conformité robustes au sein de DeepSeek. Cette lacune crée un risque important de non-conformité avec diverses réglementations étatiques et fédérales régissant la sécurité et la confidentialité des données. L’absence de ces fonctionnalités rend difficile de garantir que le logiciel respecte les normes strictes requises pour le traitement des informations gouvernementales.
De plus, le rapport a critiqué l’architecture de sécurité de DeepSeek, la décrivant comme manquant d’une approche en couches. Une architecture de sécurité en couches est considérée comme essentielle pour protéger les systèmes et les données sensibles, car elle implique plusieurs niveaux de contrôles de sécurité pour atténuer le risque de violations. L’absence d’une telle architecture dans DeepSeek a soulevé des inquiétudes quant à sa vulnérabilité aux cyberattaques potentielles et aux violations de données.
DeepSeek : un nouveau concurrent de ChatGPT
DeepSeek est apparu comme un nouvel entrant relativement récent dans le domaine en évolution rapide de l’intelligence artificielle. Le logiciel a été présenté comme un concurrent potentiel de ChatGPT, le chatbot d’IA très populaire développé par OpenAI. Cependant, contrairement à ChatGPT, qui a fait l’objet d’un examen et de tests approfondis dans divers contextes, la relative nouveauté de DeepSeek et ses origines en Chine ont contribué à un certain degré d’appréhension parmi certains responsables gouvernementaux et experts en cybersécurité.
Implications potentielles et contexte plus large
L’interdiction de DeepSeek par le gouverneur Stitt n’est pas un incident isolé. Elle reflète une tendance plus large à l’examen croissant des entreprises technologiques chinoises et de leurs produits par les gouvernements des États-Unis et d’autres pays occidentaux. Les préoccupations concernant la sécurité nationale, la confidentialité des données et l’espionnage potentiel ont conduit à une série de restrictions et d’interdictions sur diverses technologies chinoises ces dernières années.
Cette interdiction de DeepSeek pourrait potentiellement avoir plusieurs implications :
- Examen accru des autres logiciels d’IA : La décision pourrait inciter d’autres États et entités gouvernementales à mener des examens similaires des logiciels d’IA utilisés dans leurs juridictions, ce qui pourrait entraîner d’autres restrictions ou interdictions.
- Sensibilisation accrue aux risques de cybersécurité : L’interdiction rappelle les risques potentiels de cybersécurité associés à l’utilisation de logiciels provenant de sources potentiellement non fiables, en particulier dans les environnements gouvernementaux sensibles.
- Impact sur les perspectives de marché de DeepSeek : L’interdiction pourrait avoir un impact négatif sur la capacité de DeepSeek à gagner du terrain sur le marché américain, en particulier au sein du gouvernement et des industries réglementées.
- Tensions accrues sur les relations technologiques entre les États-Unis et la Chine : La décision est susceptible d’ajouter aux tensions existantes entre les États-Unis et la Chine dans le secteur technologique, ce qui pourrait entraîner des mesures de rétorsion.
Approfondissement des préoccupations de sécurité
Les préoccupations soulevées par le gouverneur Stitt et le rapport de l’OMES ne sont pas purement spéculatives. Elles sont ancrées dans une interaction complexe de facteurs technologiques, politiques et réglementaires. Pour bien comprendre la gravité de la situation, il est essentiel d’approfondir les préoccupations de sécurité spécifiques associées à DeepSeek.
Collecte de données et confidentialité
L’étendue de la collecte de données par les logiciels d’IA est un facteur essentiel pour évaluer ses implications en matière de sécurité. DeepSeek, comme de nombreuses autres plateformes d’IA, s’appuie sur de grandes quantités de données pour entraîner ses algorithmes et améliorer ses performances. Cependant, la nature et la portée des données collectées, ainsi que la manière dont elles sont stockées et utilisées, sont des considérations cruciales.
Dans le cas de DeepSeek, le rapport de l’OMES a souligné des préoccupations concernant l’étendue des données collectées, suggérant qu’elles pourraient aller au-delà de ce qui est strictement nécessaire pour la fonctionnalité de base du logiciel. Cela soulève des questions sur la possibilité que ces données soient utilisées à des fins autres que celles explicitement déclarées par les développeurs.
De plus, le fait que DeepSeek soit un logiciel développé en Chine ajoute une autre couche de complexité. Les lois chinoises sur la sécurité nationale accordent au gouvernement de larges pouvoirs pour accéder aux données détenues par les entreprises opérant dans sa juridiction. Cela soulève des inquiétudes quant au fait que les données collectées par DeepSeek, même si elles sont stockées en dehors de la Chine, pourraient potentiellement être accessibles par le gouvernement chinois, ce qui représente un risque pour la confidentialité et la sécurité des données de l’État de l’Oklahoma.
Défis de conformité
La conformité aux réglementations pertinentes est primordiale pour tout logiciel utilisé dans un contexte gouvernemental. Les réglementations sur la sécurité et la confidentialité des données, telles que le Health Insurance Portability and Accountability Act (HIPAA) et le Règlement général sur la protection des données (RGPD), imposent des exigences strictes sur la manière dont les données sensibles sont traitées et protégées.
Le rapport de l’OMES a constaté que DeepSeek ne disposait pas des fonctionnalités de conformité nécessaires pour garantir le respect de ces réglementations. Cette lacune crée un risque important de non-conformité, exposant potentiellement le gouvernement de l’État à des sanctions légales et financières. L’absence de ces fonctionnalités rend également difficile l’audit et la surveillance des pratiques de traitement des données du logiciel, augmentant encore le risque de violations de données ou d’utilisation abusive.
Déficiences de l’architecture de sécurité
Une architecture de sécurité robuste est le fondement de tout système logiciel sécurisé. Une approche de sécurité en couches, en particulier, est considérée comme la meilleure pratique pour protéger les données sensibles. Cette approche implique plusieurs niveaux de contrôles de sécurité, tels que des pare-feu, des systèmes de détection d’intrusion et le chiffrement, pour atténuer le risque d’accès non autorisé ou de violations de données.
La critique du rapport de l’OMES concernant l’architecture de sécurité de DeepSeek, la qualifiant de manque d’approche en couches, soulève de sérieuses préoccupations. Sans plusieurs niveaux de défense, le logiciel est plus vulnérable aux cyberattaques potentielles. Un seul point de défaillance pourrait potentiellement compromettre l’ensemble du système, conduisant à l’exposition de données sensibles de l’État.
Le facteur Chine
Le fait que DeepSeek soit un logiciel développé en Chine est un facteur important dans les préoccupations de sécurité qui l’entourent. La relation géopolitique entre les États-Unis et la Chine est caractérisée par des tensions et une méfiance croissantes, en particulier dans le secteur technologique.
Le gouvernement américain a exprimé à plusieurs reprises ses préoccupations quant à la possibilité que les entreprises technologiques chinoises soient utilisées par le gouvernement chinois à des fins d’espionnage ou d’autres activités malveillantes. Ces préoccupations ne sont pas entièrement infondées, car les lois chinoises sur la sécurité nationale obligent les entreprises à coopérer avec les agences de renseignement et accordent au gouvernement un large accès aux données.
Ce contexte de méfiance a conduit à un examen accru des produits et services technologiques chinois, en particulier ceux utilisés dans des secteurs sensibles tels que le gouvernement et les infrastructures critiques. L’interdiction de DeepSeek par le gouverneur Stitt est le reflet de cette tendance plus large de prudence et de préoccupation.
L’interdiction sert de mesure de précaution, donnant la priorité à la sécurité des données et des systèmes de l’État par rapport aux avantages potentiels de l’utilisation d’un logiciel d’IA particulier. Elle souligne l’importance d’évaluer soigneusement les implications en matière de sécurité de toute technologie, en particulier celles provenant de pays ayant des antécédents de cyberespionnage ou de relations conflictuelles.
La décision est une évaluation calculée des risques, pesant les avantages potentiels de l’utilisation de DeepSeek par rapport aux risques potentiels pour la sécurité de l’État et la confidentialité des données. Dans ce cas, les risques perçus l’emportaient sur les avantages potentiels, conduisant à l’action décisive prise par le gouverneur Stitt.
L’action envoie un message clair que la cybersécurité est une priorité absolue pour le gouvernement de l’État de l’Oklahoma.