Risques en matière de cybersécurité du développement de l'intelligence artificielle

Question de Mme SENÉE Ghislaine (Yvelines - GEST) publiée le 26/06/2025

Mme Ghislaine Senée attire l'attention de Mme la ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle et numérique, chargée de l'intelligence artificielle et du numérique sur les risques imminents en matière de cybersécurité liés au développement de l'intelligence artificielle (IA).

Les capacités de programmation de l'IA progressent de manière exponentielle, incluant désormais la création de malwares sophistiqués et l'exploitation automatisée de failles de sécurité. Les experts en cybersécurité alertent sur la multiplication des cyberattaques assistées par IA et l'émergence de systèmes capables de mener des attaques de manière autonome.

De plus, la plupart des experts en IA, dont les figures les plus reconnues mondialement avertissent qu'une intelligence artificielle générale - capable d'égaler ou surpasser les performances d'un expert humain dans la majorité des tâches intellectuelles - pourrait être développée d'ici 2030.

Face à ces évolutions qui menacent directement notre cybersécurité nationale, elle souhaite savoir quels sont les plans concrets du Gouvernement pour se préparer de manière adéquate à ces risques imminents.

Publiée dans le JO Sénat du 26/06/2025 - page 3576

Transmise au Premier ministre

Réponse du Premier ministre publiée le 11/12/2025

L'ANSSI inscrit son action dans la stratégie nationale en matière d'intelligence artificielle, initialement à l'oeuvre depuis 2018. L'agence a pour objectif de tirer le meilleur parti de cet ensemble de technologies au profit de la cybersécurité. À cette fin, elle accompagne le développement en France d'une intelligence artificielle de confiance, sécurisée et responsable, qui bénéficie davantage à la cyberdéfense qu'aux cyberattaquants. L'agence travaille sur l'identification des risques de cybersécurité posés par les systèmes d'intelligence artificielle afin d'en renforcer la sécurité. En 2025, l'ANSSI n'a pas connaissance de cyberattaques fondées sur l'utilisation de technologies d'intelligence artificielle. En revanche, des attaquants informatiques ont eu recours à des services d'intelligence artificielle pour faciliter le développement de code malveillant, l'exploitation de vulnérabilité connue ou des opérations d'hameçonnage. En effet, de tels services sont aisément accessibles, offrent des gains de temps notables, accroissent les capacités de production et d'exploitation des outils et facilitent la création de contenu multimédia. Ces avantages sont la source du succès relatif de cette technologie auprès d'un large éventail de cyberattaquants. De surcroît, l'aide apportée par ces services permet à des attaquants faiblement qualifiés de conduire une attaque informatique peu sophistiquée. Pour autant, à ce stade, l'ANSSI n'a pas identifié d'outil d'intelligence artificielle capable de mener une attaque informatique de manière autonome. Indépendamment de la question de l'usage malveillant des outils d'intelligence artificielle, une posture de prudence s'impose face aux vulnérabilités des systèmes intégrant des technologies d'intelligence artificielle. En effet, la sécurité de ces systèmes n'est jamais garantie et leur utilisation peut accroître la vulnérabilité de leurs utilisateurs face aux cyberattaques.L'analyse des risques pesant sur ces systèmes publiée le 7 février 2025 par l'ANSSI souligne qu'au-delà des vulnérabilités habituelles des systèmes logiciels, ils peuvent être pris en défaut par de nouveaux modes d'attaque - théoriques à ce stade - visant précisément les systèmes d'intelligence artificielle : l'empoisonnement, l'extraction, et l'évasion. La réponse à ces modes d'attaque impose une prise en compte cybersécuritaire étendue à l'ensemble du cycle de vie et de la chaîne de valeur de ces systèmes et donc complexe. De surcroît, il convient de souligner une difficulté inhérente aux systèmes d'intelligence artificielle : un comportement erroné peut aussi bien procéder d'un simple dysfonctionnement que d'une cyberattaque. Il en découle une complexité pour investiguer et remédier, en cas de soupçon d'attaque. Dans tous les cas, l'installation d'un système recourant aux technologies d'intelligence artificielle doit être subordonnée à une analyse de la sensibilité du système et des informations qu'il traitera. Plus le système est sensible, plus la nécessité de comprendre et maîtriser la partie des tâches recourant aux technologies d'intelligence artificielle est importante. Méthodologiquement, l'ANSSI promeut une approche par les risques, la valorisation des règles cybersécuritaires existantes et l'élaboration de nouvelles règles spécifiques adaptées aux systèmes d'intelligence artificielle. En 2024, l'agence a structuré ses travaux en matière d'intelligence artificielle afin de répondre à plusieurs enjeux soulevés par ces technologies : l'adoption rapide de l'intelligence artificielle par les bénéficiaires des services de l'ANSSI, l'entrée en vigueur du règlement européen sur l'intelligence artificielle (RIA), l'émergence progressive d'une gouvernance internationale de l'intelligence artificielle et le besoin de recommandations de cybersécurité et de schémas de certification spécifiques. Plus particulièrement, le règlement européen sur l'intelligence artificielle identifie la cybersécurité de l'intelligence artificielle comme un enjeu crucial pour garantir la résilience des systèmes d'intelligence artificielle, introduisant une obligation de respecter un niveau adéquat de cybersécurité. Dans ce cadre, l'ANSSI devrait être chargée d'accompagner les autorités de surveillance de marché (ASM) dans l'évaluation de la cybersécurité d'un système d'intelligence artificielle à haut risque et de répondre aux sollicitations techniques de ces dernières. Par ailleurs, l'agence s'implique dans la stratégie nationale sur l'intelligence artificielle, financée par le plan d'investissement France 2030, afin d'accompagner la montée en maturité des start-ups et des projets de recherche dans ce domaine. D'autre part, l'ANSSI est partie prenante de l'Institut national de l'évaluation de la sécurité de l'intelligence artificielle (INESIA), lancé en 2025, et doit, dans ce cadre, apporter son expertise des méthodes d'évaluation et des schémas de certification pour les produits et systèmes intégrant de l'intelligence artificielle. L'agence s'impliquera dans différents projets de recherche auprès des parties prenantes de l'INESIA, en cherchant à développer et promouvoir la maîtrise des connaissances scientifiques et technologiques en matière de cybersécurité. Enfin, dans une perspective de sensibilisation aux enjeux de cybersécurité liés à ces technologies, l'ANSSI a publié en avril 2024 le guide de recommandations de sécurité pour un système d'intelligence artificielle générative. Ce document traite de la sécurisation d'une architecture de système d'intelligence artificielle générative et vise à sensibiliser les administrations et entreprises aux risques liés à ce type d'outil. Il promeut les bonnes pratiques à mettre en oeuvre depuis la phase de conception et d'entraînement d'un modèle d'intelligence artificielle jusqu'à la phase de déploiement et d'utilisation.

Publiée dans le JO Sénat du 11/12/2025 - page 6083