Dans une démarche visant à protéger les données fédérales sensibles contre les menaces potentielles posées par des nations hostiles, en particulier la République populaire de Chine (RPC), les sénateurs américains Jacky Rosen et Bill Cassidy ont présenté un projet de loi ciblant DeepSeek, propriété du Parti communiste chinois (PCC), et d’autres technologies d’IA jugées hostiles.
Les sénateurs ont exprimé de vives inquiétudes quant aux risques potentiels de DeepSeek pour la sécurité nationale. Ils citent la loi chinoise, qui exige que DeepSeek partage ses données collectées avec le gouvernement chinois et ses agences de renseignement, comme principale raison de leur appréhension. Plusieurs États américains et nations alliées ont déjà pris des mesures pour bloquer DeepSeek des appareils gouvernementaux, soulignant les préoccupations critiques en matière de sécurité entourant la plateforme d’IA.
La loi sur la protection contre l’intelligence artificielle étrangère hostile
La législation bipartite proposée, intitulée « Loi sur la protection contre l’intelligence artificielle étrangère hostile », vise à empêcher les entrepreneurs fédéraux d’utiliser DeepSeek pour exécuter des contrats avec les agences fédérales. Le projet de loi étend cette interdiction à toute application ultérieure développée par High-Flyer, empêchant son utilisation dans les contrats du gouvernement fédéral.
Obligations de déclaration et contrôle parlementaire
En outre, le projet de loi exige un rapport complet au Congrès du secrétaire américain au Commerce, mené en collaboration avec le secrétaire américain à la Défense. Ce rapport portera sur les menaces d’espionnage économique et de sécurité nationale découlant des plateformes d’IA originaires de nations hostiles, notamment la Chine, la Corée du Nord, l’Iran et la Russie.
La sénatrice Rosen, une démocrate du Nevada, a souligné l’importance de protéger les données américaines et les systèmes gouvernementaux contre les cybermenaces émanant d’adversaires étrangers. Elle a déclaré que la législation bipartite empêcherait efficacement les entrepreneurs fédéraux d’utiliser DeepSeek, une plateforme d’IA liée au PCC, lors de l’exécution de travaux gouvernementaux. Rosen s’est engagée à continuer de travailler avec les deux partis pour renforcer la sécurité nationale et protéger les données des Américains.
Le sénateur Cassidy, un républicain de Louisiane, a souligné la double nature de l’IA en tant qu’outil puissant qui peut être utilisé à des fins bénéfiques telles que l’amélioration de la médecine et de l’éducation. Cependant, il a averti que, entre de mauvaises mains, l’IA peut être militarisée. Cassidy a averti que l’introduction de données sensibles dans des systèmes tels que DeepSeek pourrait donner à la Chine une autre arme.
Mandats de déclaration détaillés
Le projet de loi proposé stipule que, dans un délai d’un an à compter de la promulgation de la loi, le secrétaire au Commerce, en consultation avec le secrétaire à la Défense, doit soumettre un rapport détaillé aux principaux comités du Sénat et de la Chambre des représentants. Ces comités comprennent le Comité des forces armées, le Comité du commerce, des sciences et des transports et le Comité de l’énergie et du commerce. Le rapport doit traiter des menaces à la sécurité nationale posées par les plateformes d’intelligence artificielle, y compris les grands modèles de langage et l’IA générative, qui sont basées dans ou affiliées à des pays préoccupants.
Composantes du rapport détaillé
Le projet de loi exige que plusieurs éléments essentiels soient inclus dans le rapport complet. Il s’agit notamment d’une analyse approfondie des lois sur la censure et des capacités des gouvernements étrangers, en particulier de ceux qui peuvent accéder ou exercer une influence sur les applications d’IA.
Le rôle de l’IA dans la propagande et la désinformation
Le rapport doit également évaluer la manière dont les plateformes d’IA sont actuellement utilisées, ou pourraient potentiellement être utilisées, pour promouvoir la propagande parrainée par l’État. Cela est particulièrement pertinent dans le contexte des nations hostiles qui cherchent à saper les institutions démocratiques et à diffuser de la désinformation. En comprenant comment l’IA peut être militarisée de cette manière, les décideurs politiques peuvent élaborer des stratégies pour contrer efficacement ces menaces.
Contournement du contrôle des exportations
Un autre aspect essentiel du rapport consiste à évaluer les implications pour la sécurité nationale des efforts déployés par les nations hostiles pour contourner les contrôles américains à l’exportation sur les unités de traitement graphique (GPU). Les GPU sont essentiels au développement de modèles d’IA avancés, et toute tentative de les acquérir illégalement constitue une menace importante pour les intérêts de sécurité nationale des États-Unis. Par conséquent, le rapport doit identifier et traiter les vulnérabilités du système de contrôle des exportations afin d’empêcher les nations hostiles d’avoir accès à ces technologies critiques.
Menaces à la vie privée et à la sécurité des données
Le rapport est tenu d’examiner les menaces à la vie privée et à la sécurité des données liées aux données américaines qui sont saisies ou soumises par le biais d’applications d’IA. L’analyse doit aborder des préoccupations cruciales, notamment comment et où les données sont stockées, que ce soit sur des serveurs sur site ou dans l’infrastructure du cloud. Il doit également déterminer si ces données peuvent être consultées ou exploitées par des gouvernements étrangers ou des entités politiques, en particulier le PCC, et dans quelle mesure les données provenant des États-Unis contribuent à faire progresser les technologies d’IA étrangères.
L’emplacement du stockage des données est crucial car il affecte directement le niveau de contrôle et de sécurité qui peut être exercé sur celui-ci. Les serveurs sur site offrent un contrôle plus direct, mais nécessitent des investissements importants dans l’infrastructure et l’expertise. L’infrastructure du cloud, en revanche, offre une évolutivité et une accessibilité, mais repose sur les mesures de sécurité mises en œuvre par le fournisseur de services cloud.
Risque d’espionnage économique
Le rapport doit évaluer le risque d’espionnage économique posé par un tel accès, notamment les menaces à la propriété intellectuelle, aux secrets commerciaux, aux informations exclusives et à d’autres données sensibles ou confidentielles.
L’espionnage économique implique le vol d’informations commerciales précieuses par des entités étrangères afin d’obtenir un avantage concurrentiel. Cela peut inclure des secrets commerciaux, des brevets et d’autres données confidentielles qui donnent aux entreprises un avantage stratégique sur le marché. En accédant aux données américaines via des applications d’IA, les nations hostiles pourraient potentiellement voler ces informations et saper la compétitivité des entreprises américaines.
Menaces aux informations gouvernementales
Enfin, le rapport devrait évaluer le danger potentiel que cet accès pose aux informations du gouvernement fédéral, y compris les données qui influencent les décisions politiques ou sont liées aux programmes gouvernementaux. La sécurité des informations gouvernementales est primordiale pour le fonctionnement d’une société démocratique. Si les nations hostiles peuvent accéder à ces données ou les manipuler, elles pourraient potentiellement influencer les décisions politiques ou perturber les programmes gouvernementaux.
Actions antérieures et examens en cours
L’administration du président Donald Trump, par l’intermédiaire du Conseil de sécurité nationale, a lancé un examen des menaces à la sécurité nationale liées à DeepSeek, reflétant les préoccupations de plusieurs administrations. La Chambre des représentants a pris des mesures pour interdire aux bureaux du Congrès d’installer ou de télécharger DeepSeek sur les appareils de travail, soulignant davantage les risques de sécurité associés à la plateforme.
Mesures prises par les agences gouvernementales
La Defense Information Systems Agency et la Marine ont publié des notes de service similaires à leur personnel, restreignant l’utilisation de DeepSeek sur les appareils gouvernementaux. Ces actions de diverses agences gouvernementales indiquent une reconnaissance généralisée des menaces potentielles posées par DeepSeek et un effort concerté pour atténuer ces risques.
Restrictions au niveau de l’État
Le Texas, New York et la Virginie ont déjà adopté des lois imposant des restrictions similaires aux employés et aux entrepreneurs du gouvernement de l’État, ce qui témoigne d’une tendance croissante parmi les États à répondre aux préoccupations de sécurité liées aux plateformes d’IA provenant de nations hostiles. Il est prévu que d’autres États emboîteront le pas, consolidant ainsi les efforts visant à protéger les données sensibles contre les menaces potentielles.
L’IA dans la cybersécurité industrielle
Selon les données publiées en octobre par Takepoint Research, le paysage évolutif de la cybersécurité révèle que les avantages de l’IA dans la cybersécurité industrielle l’emportent sur ses risques pour 80 % des personnes interrogées. L’IA est particulièrement efficace dans la détection des menaces (64 %), la surveillance du réseau (52 %) et la gestion des vulnérabilités (48 %), ce qui souligne son importance croissante dans l’amélioration des défenses au sein des environnements OT (technologie opérationnelle). L’enquête a révélé que la dépendance excessive à l’IA, la manipulation du système d’IA et les faux négatifs sont les principales préoccupations des propriétaires d’actifs industriels.
L’efficacité de l’IA dans la détection des menaces découle de sa capacité à analyser de grands volumes de données et à identifier les schémas qui peuvent indiquer une activité malveillante. Les systèmes alimentés par l’IA peuvent détecter les anomalies et les comportements suspects en temps réel, fournissant ainsi aux équipes de sécurité des alertes précoces en cas de menaces potentielles.
La surveillance du réseau est un autre domaine dans lequel l’IA excelle. En surveillant en permanence le trafic réseau, les systèmes d’IA peuvent détecter les tentatives d’accès non autorisées et autres violations de sécurité. L’IA peut également identifier les vulnérabilités dans les configurations réseau et recommander des mesures correctives.
La gestion des vulnérabilités consiste à identifier et à traiter les faiblesses des systèmes et des applications avant qu’elles ne puissent être exploitées par des attaquants. L’IA peut automatiser le processus d’analyse des vulnérabilités et hiérarchiser les efforts de correction en fonction de la gravité des vulnérabilités.
Préoccupations concernant la dépendance excessive et la manipulation
Bien que l’IA offre des avantages significatifs en matière de cybersécurité industrielle, il existe également des risques potentiels dont il faut être conscient. L’une des principales préoccupations est la dépendance excessive à l’IA. Les équipes de sécurité ne doivent pas devenir trop dépendantes des systèmes d’IA et doivent conserver leur expertise et leur connaissance de la situation.
Une autre préoccupation est la manipulation du système d’IA. Les adversaires peuvent tenter de manipuler les systèmes d’IA pour échapper à la détection ou les amener à prendre des décisions incorrectes. Par conséquent, il est essentiel de mettre en œuvre des mesures de sécurité robustes pour protéger les systèmes d’IA contre toute altération.
Les faux négatifs, où les systèmes d’IA ne parviennent pas à détecter les menaces réelles, sont également une préoccupation. Les équipes de sécurité doivent régulièrement évaluer les performances des systèmes d’IA et ajuster leurs configurations pour minimiser le risque de faux négatifs.