Cybersécurité et intelligence artificielle – partie 4 : les risques sur les IAG

Dessin cyber-et-ia
Catégorie :FormationInformation
Publié par smorey
le 08/01/2026

Une « IAG » n’est qu’un programme informatique qui doit être sécurisé comme les autres composants d’un système d’information. La sécurisation doit être faite à toutes les étapes de son cycle de vie. La sécurité n’est pas forcément technique mais doit être aussi en adéquation avec la loi.

Cycle de vie d’une IAG

A toutes les phases du cycle de vie d’une IAG, il faut prendre en compte les risques, les diminuer ou les supprimer.

Cycle de vie d'une IAG

Pendant la collecte des données

  • Insertion de fausses données afin de tromper l’apprentissage
  • Données non conformes vis-à-vis de la loi (RGPD, IA Act)
  • Non consentement des auteurs et ayants-droits à l’utilisation des données
  • L’outil de collecte peut être lui-même vulnérable, cela reste un programme informatique, donc soumis à des bogues ou attaques
  • Stockage des données non sécurisé (droit d’accès permissif par exemple)
  • Mauvaise anonymisation permettant de retrouver des données personnelles donc des personnes
  • Données non exhaustives, par exemple non représentatives de la population et engendrant des biais (discrimination, injustice)

Pendant l’entrainement

  • Modification du modèle conceptuel
  • Corruption des résultats des tests, pour donner le sentiment aux développeurs que les paramètres ou les modèles sont faux
  • Empoisonnement des données. Exemples :
    • Donner une « étiquette » canard pour une photo de lion
    • Vidéosurveillance : indiquer que toute personne habillée en vert n’est pas suspecte
  • Vol des données
    • Les données d’apprentissage peuvent contenir des données sensibles, surtout pour une IA propriétaire et interne
  • Malware
    • Infecter les processus d’apprentissage, chiffrer les données
  • Vol du modèle
  • Corruption des résultats des tests

Pendant le déploiement

  • Modification du modèle
  • Remplacement du modèle
  • Malware affectant le déploiement ou modifiant le modèle ou l’interface

Pendant la production

  • Tous les risques cyber inhérents à un système d’information
  • Déni de service (trop de requêtes simultanée=Ddos)
  • Charge virale sur les serveurs
  • Modification des paramètres du modèle
    • Modifier la « température » permet de donner un caractère plus aléatoire aux réponses (comme des réponses improbables = hallucination des IAG)
  • Plus spécifique : Prompt injection
    • Intégrer des consignes invisibles de l’utilisateur pour modifier le comportement du LLM
    • Fournir de fausses réponses

Le prochain article portera sur La sécurisation des IAG.

artificielleattaquecybersécuritédéfinitionintelligencesécurisation