Moins de deux semaines après avoir annulé un décret plus large sur l’IA, la Maison Blanche a publié une directive axée sur la cybersécurité, les infrastructures critiques et la coopération sur les systèmes d’IA avancés.
Le président américain Donald Trump a signé un décret visant à renforcer les défenses en matière de cybersécurité et à établir un cadre volontaire de coopération entre le gouvernement fédéral et les développeurs de modèles avancés d’intelligence artificielle, relançant ainsi certaines parties d’une initiative plus large en matière d’IA qu’il avait brusquement abandonnée il y a moins de deux semaines.
L’ordonnance intitulée « Promouvoir l’innovation et la sécurité avancées en matière d’intelligence artificielle » ordonne aux agences fédérales d’accélérer le déploiement de capacités de cybersécurité basées sur l’IA, d’établir une initiative de partage des vulnérabilités entre le gouvernement et l’industrie et de créer un processus d’évaluation des cybercapacités des modèles d’IA frontaliers.
Cette décision fait suite à un revirement inhabituel de la part de l’administration. Le 21 mai, Trump a annulé une cérémonie de signature prévue pour ce qui avait été décrit comme un décret beaucoup plus large sur l’IA après avoir exprimé ses inquiétudes quant au fait que la proposition pourrait entraver l’innovation et affaiblir la position concurrentielle de l’Amérique par rapport à la Chine.
Cette annulation a mis en évidence des tensions croissantes au sein de l’administration entre des responsables préoccupés par les implications en matière de cybersécurité de modèles d’IA de plus en plus performants et d’autres qui affirmaient que même les mécanismes volontaires d’examen du gouvernement pourraient devenir des obstacles à l’innovation et affaiblir la compétitivité des États-Unis par rapport à la Chine.
Les rapports de l’époque indiquaient que la proposition abandonnée aurait créé un processus volontaire permettant aux développeurs de systèmes d’IA avancés de fournir au gouvernement fédéral un accès aux modèles avant leur diffusion publique afin que les responsables de la sécurité nationale puissent évaluer leurs implications en matière de cybersécurité.
Le nouveau décret préserve bon nombre de ces dispositions en matière de cybersécurité tout en soulignant qu’il ne crée pas d’exigences obligatoires en matière de licence, d’autorisation préalable ou d’autorisation pour les développeurs d’IA.
Un compromis entre innovation et sécurité
Dès son premier jour de mandat, Trump a démantelé de nombreuses initiatives de gouvernance de l’IA mises en place sous l’ancien président Joe Biden, arguant que la réglementation pourrait ralentir l’innovation et miner le leadership américain dans la course mondiale à l’IA. Pourtant, à mesure que les systèmes d’IA deviennent de plus en plus performants, les responsables de la sécurité nationale ont exprimé leurs inquiétudes quant à l’impact potentiel des modèles avancés sur les cyberopérations, les infrastructures critiques et les activités de renseignement.
Le décret tente de concilier ces priorités concurrentes. Il met à plusieurs reprises l’accent sur l’innovation et le leadership technologique américain tout en reconnaissant que les capacités avancées d’IA présentent des risques pour la sécurité nationale qui nécessitent l’attention du gouvernement.
« Les États-Unis continuent de dominer le monde en matière d’intelligence artificielle en raison de l’énorme talent et de l’innovation de notre industrie de l’IA, et parce que nous refusons d’étouffer cette innovation par une réglementation trop lourde », indique l’ordonnance. Dans le même temps, il note que les capacités avancées de l’IA introduisent « de nouvelles considérations de sécurité nationale qui nécessitent une action coordonnée ».
Le résultat est un cadre qui se concentre étroitement sur les problèmes de cybersécurité et de sécurité nationale tout en évitant les dispositions plus larges en matière de gouvernance, de sécurité et de surveillance qui ont caractérisé le décret de Biden de 2023 sur l’IA.
Renforcer les systèmes d’infrastructures fédérales et critiques
Une partie importante de la commande est consacrée au renforcement de la cybersécurité des réseaux fédéraux et des systèmes d’infrastructures critiques.
Dans un délai de 30 jours, le Comité des systèmes de sécurité nationale, un organisme intergouvernemental qui établit des politiques, des directives et des normes de cybersécurité pour les systèmes de sécurité nationale (NSS), doit donner la priorité à la cyberdéfense des systèmes de sécurité nationale, tandis que le ministère de la Guerre, rebaptisé ministère de la Défense de l’administration, doit donner la priorité à la protection de ses propres systèmes d’information. L’Agence de cybersécurité et de sécurité des infrastructures (CISA) doit également publier des directives et des orientations conçues pour renforcer les réseaux fédéraux civils et accélérer l’adoption de technologies défensives basées sur l’IA.
La Maison Blanche souhaite également que les capacités avancées de cybersécurité soient étendues au-delà des agences fédérales.
L’ordonnance ordonne à la CISA de faciliter l’accès aux outils et services de cybersécurité pour les gouvernements étatiques et locaux ainsi que pour les opérateurs d’infrastructures critiques. La directive identifie spécifiquement les hôpitaux ruraux, les banques communautaires et les services publics locaux comme des organisations qui devraient bénéficier d’un accès élargi aux capacités de cybersécurité, y compris aux outils avancés d’IA.
L’accent mis sur les petites organisations reflète l’inquiétude croissante selon laquelle de nombreux fournisseurs de services essentiels ne disposent pas des ressources de cybersécurité dont disposent les grandes entreprises, malgré des cybermenaces de plus en plus sophistiquées.
En outre, l’ordonnance ordonne aux fonctionnaires fédéraux d’identifier des subventions qui pourraient aider les organisations à développer des technologies avancées de détection des vulnérabilités basées sur l’IA et élargit les voies fédérales de recrutement pour les professionnels de la cybersécurité.
Créer un centre d’échange d’informations sur la cybersécurité de l’IA
Une autre disposition notable établit un centre d’échange d’informations sur la cybersécurité de l’IA destiné à améliorer la coordination entre les agences gouvernementales, les développeurs d’IA et les opérateurs d’infrastructures critiques.
Le Département du Trésor formera le centre d’information en consultation avec la National Security Agency, la CISA et d’autres responsables fédéraux. Selon l’ordonnance, l’initiative fonctionnera grâce à une collaboration volontaire avec des sociétés d’IA et des organisations d’infrastructures critiques.
Sa mission comprendra la coordination des activités d’analyse des vulnérabilités, la validation des vulnérabilités logicielles découvertes, la priorisation des efforts de remédiation et la facilitation de la distribution des correctifs de sécurité. L’ordonnance ordonne également au centre d’échange de déconcerter les efforts de découverte de vulnérabilités afin que les participants ne fassent pas double emploi avec le travail.
Cette disposition semble conçue pour créer un mécanisme plus organisé de découverte et de correction des vulnérabilités à un moment où les systèmes d’IA sont de plus en plus capables d’identifier les failles et les faiblesses des logiciels dans de grands environnements.
Établir une surveillance des cybercapacités des modèles pionniers
L’une des sections les plus importantes de l’ordonnance concerne les systèmes d’IA avancés, souvent appelés modèles frontières.
Dans les 60 jours, la NSA, la CISA, le Département du Trésor, le National Institute of Standards and Technology et d’autres agences doivent développer un processus d’analyse comparative classifié pour évaluer les cybercapacités avancées des modèles d’IA. Le processus sera utilisé pour déterminer quand un système doit être désigné comme « modèle frontière couvert ».
L’ordonnance ne définit pas quelles capacités déclencheraient la désignation, mais ordonne aux agences fédérales d’élaborer des critères d’évaluation et des références classifiés pour évaluer les cybercapacités avancées. La NSA sera en fin de compte chargée de prendre des décisions en consultation avec d’autres responsables de la sécurité nationale. Bien que cette approche donne au gouvernement une certaine flexibilité à mesure que les systèmes d’IA évoluent, elle laisse également des questions sans réponse quant aux futurs modèles qui pourraient finalement s’inscrire dans ce cadre.
L’administration prévoit également d’établir un cadre volontaire à travers lequel les développeurs d’IA peuvent consulter le gouvernement pour savoir si les systèmes en cours de développement satisfont au seuil de désignation comme modèles frontières couverts.
Dans ce cadre, les entreprises participantes peuvent fournir au gouvernement un accès aux modèles frontaliers couverts jusqu’à 30 jours avant que ces systèmes ne soient communiqués à d’autres partenaires de confiance. Les versions antérieures auraient demandé des examens jusqu’à 90 jours avant leur publication, bien que certains responsables de l’industrie de l’IA aient insisté pour une période plus courte de 14 jours, selon les rapports.
Le gouvernement et les développeurs collaboreraient également pour sélectionner des organisations de confiance qui pourraient bénéficier d’un accès rapide aux modèles afin de soutenir la recherche sur la cybersécurité et les efforts de protection des infrastructures critiques.
Cette disposition crée effectivement un mécanisme structuré grâce auquel les agences fédérales peuvent avoir un aperçu de certains des systèmes d’IA les plus avancés avant qu’ils ne soient largement disponibles.
Bien que le processus soit volontaire, il ressemble beaucoup à certaines parties du décret plus large que Trump a refusé de signer le mois dernier.
Rejet des licences et des approbations obligatoires
Bien que l’administration ait conservé certaines des dispositions en matière de cybersécurité qui auraient été contenues dans la proposition précédente, elle a également inclus un langage clairement destiné à rassurer les développeurs et les investisseurs d’IA.
L’ordonnance indique explicitement que rien dans l’initiative n’autorise la création « d’une exigence gouvernementale obligatoire en matière de licence, de pré-autorisation ou de permis » pour le développement, la publication, la publication ou la distribution de modèles d’IA, y compris les modèles frontières.
Ce libellé semble destiné à répondre aux préoccupations soulevées par les critiques de la proposition abandonnée de mai, qui affirmaient que même les processus d’examen volontaires pourraient éventuellement évoluer vers des exigences réglementaires de facto.
Cibler la cybercriminalité basée sur l’IA
Le décret ordonne également au ministère de la Justice de se concentrer davantage sur les cybercriminels qui utilisent l’intelligence artificielle dans le cadre de leurs opérations.
Plus précisément, il demande au procureur général de donner la priorité à l’application des lois fédérales sur la criminalité informatique, le vol d’identité et la fraude contre les personnes qui utilisent l’IA pour accéder sans autorisation à des systèmes informatiques ou qui utilisent des outils d’IA pour commettre une cybercriminalité.
L’ordonnance fait référence à l’utilisation d’agents d’IA pour accéder illégalement à des informations qui sont ensuite utilisées à des fins criminelles, reflétant l’inquiétude croissante des décideurs politiques quant au fait que des systèmes d’IA de plus en plus autonomes pourraient permettre de nouvelles formes de cybercriminalité.
Collectivement, les dispositions du nouvel ordre préservent l’opposition de Trump à une large réglementation de l’IA tout en créant de nouveaux mécanismes permettant aux agences fédérales d’évaluer les implications en matière de cybersécurité de systèmes d’IA de plus en plus performants. L’ordonnance indique que même une administration déterminée à minimiser la surveillance de l’IA considère les cybercapacités de type frontière comme une préoccupation croissante en matière de sécurité nationale.
