L’UE dévoile un plan d’action pour la cybersécurité de l’IA, mais propose principalement des recommandations alors que Bruxelles s’appuie sur un accès négocié aux modèles d’IA américains comme Mythos d’Anthropic, révélant ainsi sa dépendance technologique.
La Commission européenne a présenté son plan pour lutter contre les risques de cybersécurité posés par l’IA de pointe, mais Bruxelles n’a pas grand-chose à offrir au-delà de recommandations et d’une tentative de négocier un accès anticipé avec les sociétés américaines d’IA.
L’intelligence artificielle redéfinit le paysage des cybermenaces, permettant aux acteurs malveillants de mener des opérations moins coûteuses, plus évolutives et plus sophistiquées.
Dans ce que les critiques considèrent comme un réflexe typique de l’UE consistant à générer de la paperasse plutôt qu’à résoudre des problèmes complexes, la Commission a produit un plan d’action – une mosaïque d’outils réglementaires existants et de nouvelles initiatives assemblés dans une réponse soi-disant cohérente.
« Ces modèles d’IA avancés peuvent désormais créer des cyberexploits en quelques minutes ou heures, pour une fraction du coût de la découverte de vulnérabilités par des humains entraînés. Une fois militarisées, ces vulnérabilités mettent en danger la sécurité de nos infrastructures et de notre société », a déclaré mardi la cheffe du numérique de l’UE, Henna Virkkunen, au Parlement européen, en présentant l’initiative.
Le modèle d’IA le plus puissant d’Anthropic, Mythos, a été capable d’identifier en quelques heures des vulnérabilités exploitables pour le piratage des systèmes informatiques hautement sensibles du gouvernement américain, ont déclaré les agences de sécurité américaines le mois dernier.
Ces capacités sans précédent, et les conséquences potentiellement catastrophiques si elles tombaient entre de mauvaises mains, ont incité Washington à imposer des contrôles à l’exportation sur les modèles avancés d’Anthropic. Ces contrôles ont depuis été levés par le Département américain du Commerce, rétablissant ainsi l’accès mondial aux modèles.
Les autorités européennes et l’agence de cybersécurité de l’UE, l’ENISA, ont obtenu un accès restreint à Mythos grâce au projet Glasswing d’Anthropic, à la suite d’un lobby intense de Bruxelles.
Le plan promet un projet européen d’accès structuré aux capacités avancées d’IA pour la cybersécurité, aidant les autorités publiques et les entreprises privées à accéder à ces modèles.
Pour la Commission, le processus permettant d’accorder à un nombre restreint d’organisations un accès initial aux tests manque souvent de transparence – d’où le plan, destiné à clarifier la manière dont les acteurs européens peuvent mettre la main sur une IA dotée de cybercapacités avancées.
Dans le même temps, l’initiative met à nu la dépendance de l’UE dans cet espace : Bruxelles en est réduite à négocier l’accès avec les États-Unis, où se produit la plupart des innovations.
« Notre dépendance ne concerne pas principalement les modèles d’IA. Elle concerne l’infrastructure sur laquelle ils s’appuient. L’Europe dispose d’une solide recherche en matière d’IA, mais trop peu d’entreprises opèrent à cette frontière », a déclaré l’eurodéputée Aura Salla (Finlande/PPE) lors du débat en plénière.
La Commission affirme que son Bureau de l’IA travaillera avec des évaluateurs de modèles spécialisés pour évaluer et atténuer les risques posés par les modèles d’IA les plus avancés avant qu’ils n’atteignent le marché de l’UE, dans le cadre de la loi phare du bloc sur l’IA.
La question de savoir si les règles s’appliquent avant le lancement sur le marché reste toutefois contestée par les entreprises technologiques. Jusqu’à présent, les principaux laboratoires d’IA, notamment OpenAI et Anthropic, ont privilégié les évaluations de modèles avec l’AI Security Institute du Royaume-Uni, car celui-ci ne détient aucun pouvoir de réglementation.
Le plan définit également des orientations sur la manière dont les entreprises peuvent se défendre contre les cybermenaces basées sur l’IA, en accélérant la correction des vulnérabilités piratables, et comprend une évaluation de la préparation des infrastructures critiques aux cyberattaques potentielles.
« Les affaires ne se déroulent plus comme d’habitude. Vos logiciels et systèmes informatiques seront testés par des pirates informatiques, aidés par les derniers modèles d’IA. Les pirates fonctionneront à la vitesse de la lumière et tenteront de vous mettre en faillite », a déclaré Bart Groothuis (Pays-Bas/Renew).


