L'administration Biden a publié en fin de semaine dernière un memorandum sur la Sécurité Nationale intitulé sobrement Memorandum on Advancing the United States’ Leadership in Artificial Intelligence; Harnessing Artificial Intelligence to Fulfill National Security Objectives; and Fostering the Safety, Security, and Trustworthiness of Artificial Intelligence.
Ce document, issu du décret exécutif de l’an dernier (lire Qant du 31 octobre 2023) sur le développement sûr et fiable de l'intelligence artificielle, représente à ce jour la stratégie la plus complète des États-Unis en matière de sécurité nationale et d'intelligence artificielle. Il s’adresse aux agences fédérales américaines, mais aussi aux entreprises privées et aux alliés.
Coopération internationale
Le mémorandum encourage en effet la coopération avec des alliés et des partenaires pour le développement et le déploiement conjoints de capacités d'IA. Le ministère de la Défense (DOD) est chargé d'évaluer la faisabilité de cette coopération et le Département d'État élaborera une stratégie pour la promotion de normes internationales de gouvernance de l'IA, en accord avec les valeurs démocratiques et les droits de l'homme.
Il la mettra sans doute en avant au sommet de Paris en février prochain, sous réserve de l’élection présidentielle. Même si celle-ci influencera évidemment la mise en œuvre de la stratégie de Biden, il s’agit ici, une fois de plus, d’engager les États-Unis le plus fermement possible dans des processus qu’un lunatique président Trump ne pourrait pas facilement renverser.
Loin d’une campagne électorale axée sur la déportation des immigrés, le mémorandum met l'accent sur l'attractivité des États-Unis pour les talents mondiaux en IA. Il ordonne de faciliter l'entrée et l'intégration de spécialistes étrangers dans le domaine de l'IA et des semi-conducteurs. Les forces de défense et les agences de renseignement doivent réformer leurs pratiques de recrutement pour attirer des talents provenant de l'industrie, du monde universitaire et de la société civile, américains ou étrangers.
Tester les gros poissons
Le mémorandum se concentre principalement sur les modèles d'IA de pointe : ceux d’OpenAI, Google, Meta et Anthropic, pour l’essentiel. Le mémorandum charge le National Institute of Standards and Technology (NIST), par l'intermédiaire de l'AI Safety Institute (AISI), de mener des tests de sécurité volontaires non classifiés avant le déploiement des modèles d'IA de pointe pour le compte du gouvernement américain. Ces tests évalueront notamment les risques liés à la cybersécurité, à la biosécurité, aux armes chimiques et à l'autonomie des systèmes.
La NSA, par l'intermédiaire de son AI Security Center (AISC), développera la capacité d'effectuer des tests secrets, rapides et systématiques de la capacité des modèles d'IA à détecter, générer et/ou exacerber les cybermenaces offensives.
Le ministère de l’Energie (DOE) se chargera de développer la capacité d'effectuer des tests rapides et systématiques de la capacité des modèles d'IA à générer ou à exacerber les risques nucléaires et radiologiques. L'infrastructure énergétique est identifiée comme un facteur clé, car l'IA devrait représenter une part importante de la consommation électrique nationale.
Systèmes nationaux de sécurité
Les agences de sécurité et les forces armées devront prendre en compte l'impact de l'IA sur le secret défense, en tenant compte de la capacité des systèmes d'IA à extraire des informations de données expurgées et anonymisées. Chaque agence concernée devra désigner un responsable de l'IA (Chief AI Officer), qui aura la charge de gérer l'utilisation de l'IA au sein de l'agence, de promouvoir l'innovation en matière d'IA et de gérer les risques liés à son utilisation. Des conseils de gouvernance de l'IA (AI Governance Boards) seront mis en place dans chaque agence. Composés des hauts responsables de l'agence, ils coordonneront et géreront les questions relatives à l'IA.
Le mémorandum met en place un cadre spécifique pour l'utilisation de l'IA sur les systèmes nationaux de sécurité (NSS). Ce cadre exige des agences qu'elles émettent ou mettent à jour des directives sur la gouvernance et la gestion des risques de l'IA pour les NSS, en harmonisant leurs directives dans la mesure du possible pour garantir l'interopérabilité. Un groupe de coordination sur la sécurité nationale de l'IA (AI National Security Coordination Group) sera formé. Composé des responsables de l'IA des différentes agences, ce groupe aura pour mission d'harmoniser les politiques relatives au développement, à l'accréditation, à l'acquisition, à l'utilisation et à l'évaluation de l'IA sur les NSS.
Washington pose le cadre
La Maison Blanche a publié en parallèle un "cadre pour faire progresser la gouvernance de l'IA et la gestion des risques dans le domaine de la sécurité nationale". Ce document établit des critères stricts pour limiter et encadrer les utilisations de l'intelligence artificielle dans les contextes de sécurité nationale, avec un accent sur le respect des droits civiques, de la vie privée et de la sécurité publique. Ainsi, certains cas d’utilisation sont totalement interdits, notamment les systèmes d’IA utilisés pour suivre ou profiler des individus en temps réel en violation de leurs droits constitutionnels. L’IA ne peut également pas être utilisée pour des classifications discriminatoires basées sur des données biométriques sensibles (origine ethnique, genre, orientation sexuelle, etc.) ni pour estimer les dégâts collatéraux sans supervision humaine. Ces restrictions visent à prévenir l’utilisation de l’IA pour des actions critiques sans une vérification adéquate, protégeant ainsi les droits civils et la sécurité des individus.
Les « cas d’utilisation à haut risque » regroupent les applications d’IA influençant des décisions majeures en matière de sécurité nationale, comme le suivi de cibles militaires ou l’identification d’individus suspects. Pour ces applications, des protocoles rigoureux sont requis, incluant une surveillance renforcée et une validation par des experts qualifiés. L’objectif est d'assurer que l'IA utilisée dans des contextes sensibles comme les décisions militaires se limite à des cas où le risque pour la sécurité publique est parfaitement maîtrisé et justifié.
Gestion des risques et suivi en temps réel des applications d’IA
Le document préconise des pratiques de gestion des risques pour les systèmes d’IA à fort impact. Avant tout déploiement, les agences doivent réaliser des évaluations de risque incluant la qualité des données et les impacts possibles d’un échec du système. Une série de tests en conditions réelles doit également être effectuée pour confirmer les performances et identifier les éventuelles failles. De plus, chaque application d'IA fait l'objet d'un inventaire annuel, dans lequel chaque cas d’utilisation est examiné et les risques recensés. Cette surveillance permet de garantir une utilisation de l’IA conforme aux objectifs de sécurité tout en préservant les droits des individus.
Afin de garantir l’intégrité des systèmes, les agences doivent documenter l’ensemble des processus et résultats, et assurer que les agents responsables de l’IA soient formés aux enjeux spécifiques de chaque application. Le rapport propose également la création de conseils de gouvernance de l’IA au sein des agences, dirigés par des responsables spécialisés, pour superviser les déploiements et assurer une application cohérente des mesures de protection.
Transparence, formation et responsabilité
Pour renforcer la transparence et maintenir la confiance publique, le document exige que les agences publient des rapports annuels sur leurs pratiques d’IA, incluant des données accessibles au public autant que possible. Par ailleurs, chaque agent impliqué dans le développement ou l’utilisation de l’IA devra suivre une formation spécifique, incluant une sensibilisation aux risques liés aux biais potentiels et à la surdépendance aux systèmes automatisés. L’idée est de former des utilisateurs informés et capables de prendre du recul face aux décisions automatisées, ce qui réduit les risques de « biais d’automatisation ».
Le cadre prévoit également des mécanismes de responsabilité renforcés. Ainsi, toute décision basée sur l’IA pouvant avoir des effets significatifs, comme une décision de licenciement ou une évaluation de la santé, devra inclure un recours possible pour l’individu concerné. La possibilité de signaler les abus de l'IA de manière anonyme est également intégrée, avec des protections pour les lanceurs d’alerte. Ce cadre de gouvernance est conçu pour maintenir une vigilance constante sur les applications d’IA dans les domaines de sécurité, et pour s’assurer que la technologie reste un outil au service des droits et de la sécurité publique, plutôt qu'une menace pour eux.
Pour en savoir plus :
- White House, Framework to advance AI governance and risk management in national security
- Memorandum on Advancing the United States’ Leadership in Artificial Intelligence; Harnessing Artificial Intelligence to Fulfill National Security Objectives; and Fostering the Safety, Security, and Trustworthiness of Artificial Intelligence
- Center for strategic and international studies
- Washington Post