Bien accueilli pour ses dispositions de cybersécurité, le plan d’action de l’IA de Trump pourrait faire face à des obstacles dans la pratique en raison d’un manque de crochets de mise en œuvre et du fardeau qu’il ajoute aux agences qui naviguent sur les coupes budgétaires, selon les experts.
La Maison Blanche a publié un plan d’IA, plein de dispositions de cybersécurité parmi ce que dit la Maison Blanche, les «actions politiques» souhaitées liées à l’AI souhaitées.
Informée par 10 000 pages de commentaires sollicitées par le Bureau des sciences et de la technologie de la Maison Blanche, la politique, intitulée «Gagner la course de l’IA: le plan d’action de l’IA américain», est structurée autour de trois piliers: accélérer l’innovation, construire des infrastructures américaines d’IA et mener dans la diplomatie et la sécurité internationales. Il «trace un cours décisif pour cimenter la domination américaine en intelligence artificielle», a déclaré le directeur des politiques scientifiques et technologiques de la Maison Blanche, Michael Kratsios, dans un communiqué de presse.
« Pour gagner la course de l’IA, les États-Unis doivent mener dans l’innovation, les infrastructures et les partenariats mondiaux », a déclaré l’IA et le tsar de la cryptographie David Sacks dans le communiqué. «En même temps, nous devons centrer les travailleurs américains et éviter les utilisations orwelliennes de l’IA. Ce plan d’action fournit une feuille de route pour ce faire.»
Les nombreuses dispositions de cybersécurité du document reflètent une compréhension de la façon dont l’émergence fulgurante de l’IA doit se produire avec des mesures de sécurité d’accompagnement, ainsi que la reconnaissance que l’IA peut stimuler de meilleures protections de cybersécurité contre les adversaires. Les experts craignent cependant que le manque d’exigences de mise en œuvre, les délais ou les directions rend le plan d’action davantage une liste de souhaits que le Congrès devra fortifier pour le rendre concrète et exécutoire.
Ils craignent également que le plan trahit le fait que la plupart des organisations, y compris les agences gouvernementales, luttent contre les tâches de cybersécurité élémentaire et que l’ajout de responsabilités de sécurité de l’IA en plus de ces obligations ne fonctionnera pas tant que les bases ne seront pas en place.
Enfin, ils craignent que le gouvernement fédéral et les gouvernements des États et locaux ne soient pas en mesure de soutenir les objectifs décrits dans le plan à un moment où l’administration Trump réduit les budgets des agences fédérales.
Les cyber-éléments clés du plan
Les éléments de cybersécurité les plus proéminents inclus dans le plan apparaissent sous le deuxième pilier, construisent des infrastructures d’IA américaines, y compris ce qui suit:
Sécuriser les centres de données: Le plan énonce les actions politiques pour la création des centres de données nécessaires à la compétition dans l’arène de l’IA. En ce qui concerne la sécurité, le plan souligne que les centres de données doivent «ne pas être construits avec une technologie contradictoire qui pourrait nous saper la domination de l’IA».
Il spécifie également que les «garde-corps de sécurité» devraient être maintenus pour interdire aux adversaires d’insérer des intrants sensibles à cette infrastructure et que l’énergie et les télécommunications liées à l’IA «sont exemptes de technologies et de services de communication pour adversaires étrangers – y compris les logiciels et le matériel pertinent».
Daniel Bardenstein, CTO et co-fondateur de Manifesst Cyber et ancien chef de la stratégie et de la livraison technologique de la Cybersecurity and Infrastructure Security Agency, est préoccupé par le fait que le plan omet des dispositions pour les services publics d’électricité et de l’eau locaux, qui seront contraints de combiner et de refroidir le nombre croissant de centres de données, et ne pourront probablement pas gérer la souche de l’ère de l’IA.
Établir un centre de partage et d’analyse d’informations sur l’IA (AI-ISAC): Le plan appelle à la création d’une AI-ISAC dirigée par le ministère de la Sécurité intérieure en collaboration avec le Centre pour les normes et l’innovation de l’IA de NIST (CAISI), et le Bureau du Cyber Director National (ONCD), afin de promouvoir le partage des informations sur les menaces et de la SI-Sécurité à travers les secteurs américains des infrastructures critiques.
Maintenir les directives de correction aux entités du secteur privé: Le DHS est également dirigé par le plan pour diriger un effort pour émettre et maintenir des conseils aux entités du secteur privé sur la réparation et la réponse aux vulnérabilités et menaces spécifiques à l’IA.
Promouvoir les technologies et applications d’IA sécurisées par conception: Le plan indique que le gouvernement américain «a la responsabilité de s’assurer que les systèmes d’IA sur lesquels il s’appuie – en particulier pour les applications de sécurité nationale – sont protégés contre les contributions parasites ou malveillantes» et que «la promotion du développement et du déploiement résilients et sécurisés de l’IA devrait être une activité centrale du gouvernement américain». Il recommande que le DOD, en collaboration avec NIST et ODNI, continue de affiner les cadres, les feuilles de route et les bouches d’outils responsables du DOD et de l’IA générative. Il demande également à l’ODNI, en consultation avec DoD et Caisi, de publier une norme sur l’assurance de l’IA.
Promouvoir la capacité fédérale mature pour la réponse aux incidents de l’IA: Le plan demande à NIST, y compris Caisi, de s’associer à l’IA et aux industries de la cybersécurité pour s’assurer que l’IA est incluse dans l’établissement de normes, de cadres de réponse, de meilleures pratiques et de capacités techniques des équipes d’intervention en cas d’incident. Il demande en outre CISA de modifier ses manuels de jeu d’incident de cybersécurité et de réponse à la vulnérabilité pour incorporer des considérations pour les systèmes d’IA et inclure les exigences pour que les CISO consultent les chefs d’IA, les responsables de l’agence supérieure pour la confidentialité, la CAISI et d’autres responsables, le cas échéant.
Évaluer les risques de sécurité nationale: Une autre disposition clé demande aux «développeurs d’IA américains de permettre au secteur privé de protéger activement les innovations de l’IA contre les risques de sécurité, y compris les cyber-acteurs malveillants, les menaces d’initiés et autres». Il demande en outre Caisi, en collaboration avec les agences de sécurité nationale, d’évaluer et d’évaluer les vulnérabilités de sécurité potentielles et d’influence malignement étrangère résultant de l’utilisation des systèmes d’IA d’adversaires dans les infrastructures critiques et ailleurs dans l’économie américaine, y compris la possibilité de reprises et d’autres comportements malveillants. «
C’est une stratégie «North Star» et non un décret exécutif
Contrairement aux documents de stratégie ou aux décrets émis par les administrations présidentielles dans le passé, ce plan d’action ne contient aucune exigence de mise en œuvre, délais ou spécificiaires sur le moment où bon nombre de ses actions doivent être terminées ou comment. Il s’agit d’une «stratégie North Star pour toutes ces agences», dit Bellini.
« Cela indique aux agences où ils devraient se pencher, puis le travail sera le mois prochain pour comprendre comment cela est mis en œuvre », a déclaré Marron d’IAPS.
Le Congrès pourrait rendre les choses plus définitives
Le plan d’action a été publié juste au moment où la Chambre américaine et le Sénat se déplacent pour créer un projet de loi de réconciliation pour la loi sur l’autorisation de la défense nationale de l’exercice2026 (NDAA). Les projets de loi de la Chambre et du Sénat contiennent des dispositions approfondies sur ce que les militaires attendent en ce qui concerne les technologies de l’IA, avec un grand accent sur les technologies de cybersécurité.
«Nous sommes enthousiasmés de voir que le Congrès agit et établit la barre haute en ce qui concerne l’IA et la cybersécurité», explique Bardenstein de Manifest Cyber.
La politique du Center for Cybersecurity et l’Ouest du droit sont d’accord. «Cela ne me surprendrait pas du tout si des morceaux du plan d’action sont repris par le Congrès et se sont développés», dit-elle. «Le plan est beaucoup plus abstrait, et le Congrès devra nécessairement être plus précis s’ils le ramassent.»
Les coupes budgétaires pourraient mettre un sertissage dans le plan
Le plan de l’IA a également été publié au milieu de coupes budgétaires proposées par l’administration Trump, qui pourraient limiter considérablement la rapidité avec laquelle les agences peuvent commencer à mettre en œuvre certains des concepts qu’elle contient.
«L’administration dit qu’elle se soucie beaucoup de la sécurité en même temps qu’il réduit les programmes de sécurité critiques dont dépendent les agences fédérales et les infrastructures critiques», » Dit Bardenstein.
D’un autre côté, Bellini de ConnectSecure pense que l’efficacité améliorée et l’automatisation que l’IA offre compensera les fonds réduits. « Parce que les coupes budgétaires ont été incorporées avec cette demande, vous pensez, comment cela a-t-il un sens? » dit-il. «Beaucoup d’activités que nous avons faites dans ces agences n’ont plus besoin d’être effectuées ou peuvent être faites d’une manière plus efficace ou complètement différente.»
Quelle que soit la façon dont le plan d’IA est mis en œuvre, un élément clé à l’avenir sur une stratégie d’IA est la confiance, dit Bardenstein. «J’étais l’une des pistes de cybersécurité pour les vaccins Covid-19 pour l’opération Warp Speed au DoD. C’était aussi une course. C’était une course pour voir quel pays pouvait sortir le premier vaccin Covid-19.
Il ajoute: «Lorsque nous pensons à gagner des races technologiques, franchir la ligne d’arrivée sur l’adoption et le développement technologique fait partie des critères de réussite. Mais il en va de même pour établir la confiance et la sécurité dans l’adoption de ces technologies. Et si vous n’en avez aucun, vous n’avez pas gagné.»
