Tests de sécurité et gouvernance de l'intelligence artificielle (IA) et de grands modèles de langage (LLM)

Aujourd'hui, les entreprises disposent souvent de programmes de conformité prenant en compte des risques liés à l'augmentation des volumes de données, ou relevant de la cybersécurité, de la confidentialité des données et des exigences réglementaires. Toutefois, les récentes avancées technologiques dans les domaines de l'intelligence artificielle et des grands modèles de langage posent un nouvel ensemble de défis liés à la gouvernance des données. L'adoption des LLM implique une formation relative aux ensembles de données conséquents et aux répertoires de données, ainsi que de nombreuses autres considérations liées à la gouvernance des données et au respect des normes, souvent ignorées dans les programmes en vigueur au sein des entreprises.

Le panorama des risques évoluant sans cesse, nos experts restent à l'affût des dernières exigences émergentes en termes de conformité et de réglementation auxquelles sont confrontées les entreprises dans tous les secteurs d'activité. L'IA et les LLM présentent plusieurs niveaux de difficultés techniques. Notre approche, spécifique aux services liés à la gouvernance et à la sécurité, combine des méthodes innovantes et traditionnelles pour traiter les différents facteurs de risque auxquels sont confrontées les infrastructures associées à l'IA et aux LLM.

La généralisation de l'IA au sein des entreprises a entraîné une augmentation significative des litiges et l'émergence d'exigences de conformité dans tous les secteurs d'activité. Notre stratégie repose sur l'association de méthodes innovantes et conventionnelles pour répondre aux diverses questions liées à l'intégration, à la formation et à la mise en œuvre de l'IA et des modèles de langage (LM) sur le marché.

Notre expertise comprend :

Des services de conseil
Nous apportons à nos clients des conseils d'experts pour les aider à optimiser leurs stocks de données existants, à intégrer au mieux l'IA et à mettre en place des agents LLM. Nous nous spécialisons dans l'analyse de la distribution des données et le suivi des sources de données afin de garantir le respect de la propriété intellectuelle et des normes réglementaires. Nous tirons parti de notre expérience approfondie pour concevoir, mettre en œuvre, monétiser et gérer des cadres solides d'IA/LLM tout en préservant la transparence et en atténuant les risques juridiques ou éthiques.

Des missions défensives
Nous aidons les entreprises à identifier et à atténuer les risques qui menacent la sécurité des données et la propriété intellectuelle. Il s'agit notamment de détecter les tentatives d'accès non autorisé par des robots d'indexation, des robots malveillants ou de repérer les activités internes illicites et d'évaluer l'efficacité des mesures actuelles de gouvernance des données afin d'améliorer la position globale de l'entreprise et de protéger les données sensibles de tout risque potentiel.

Des missions offensives
Nous évaluons de manière proactive les systèmes internes d'IA et de LLM afin de découvrir les failles potentielles et d'évaluer la compatibilité avec les réglementations relatives à la confidentialité des données et à la propriété intellectuelle. Il s'agit notamment d'identifier l'assimilation inappropriée de données, l'utilisation abusive de matériel protégé par des droits d'auteur et tout autre risque sécuritaire ou éthique. Ces évaluations garantissent la sécurisation des systèmes des clients et leur conformité vis-à-vis des normes du secteur.

Nous tirons parti de l'expertise multidisciplinaire de notre cabinet en matière de sécurité et de gouvernance des données, de soutien en cas de litige et de conformité réglementaire pour recueillir efficacement les éléments pertinents et présenter aux clients des informations exploitables. Nous utilisons des outils et des technologies de pointe pour améliorer l'efficacité de nos analyses, de nos conseils et de nos rapports.

En outre, les experts d'Ocean Tomo, filiale de J.S. Held, s'appuient sur des décennies d'expérience en droit relatif à la propriété intellectuelle pour compléter le travail accompli par l'équipe de gouvernance en IA/ML, en fournissant des conseils portant sur l'évaluation de la PI et les questions liées aux dommages.

Dans les situations impliquant une évaluation de la sécurité, le développement d'un système LLM nécessite une planification et une exécution méticuleuses découpées en sept phases déterminantes qui couvrent des aspects spécifiques de la position de sécurité du système.

De l'énumération initiale des composants et des capacités du système au rapport final et à la correction des points de vigilance, ces étapes constituent conjointement un cadre complet pour renforcer le LLM en tenant à distance les différents facteurs de risque. Nous suivons méticuleusement ces phases pour garantir un mécanisme de défense fiable qui identifie et atténue les vulnérabilités actuelles et s'adapte aux menaces émergentes en vue de sauvegarder l'intégrité et la solidité du système LLM :

• Phase 1 - Énumération
  Cataloguer les composants et les capacités du système LLM en identifiant les interfaces, les flux de données et l'intégration.
   
• Phase 2 - Identification des points de vulnérabilité
  Identifier les vulnérabilités potentielles spécifiques aux LLM (à savoir les problèmes de confidentialité des données, les éléments d'exploitation des modèles et les erreurs de configuration du système) en utilisant le Top 10 de l'Open Worldwide Application Security Project (OWASP, projet de sécurité des applications à l'échelle mondiale) pour les LLM en tant que guide pour détecter les failles.
   
• Phase 3 - Configuration de tests approfondis
  Mettre en place des environnements et des scénarios de test spécialisés, notamment en configurant des outils et en sélectionnant des techniques permettant de réaliser des essais approfondis (à savoir des simulations contradictoires).
   
• Phase 4 - Tests automatisés et manuels
  Réalisation d'une série d'analyses automatisées des vulnérabilités adaptées aux systèmes d'IA/LLM, couplées à des tests manuels pour une analyse plus approfondie par des experts.
   
• Phase 5 - Tests exclusifs J.S. Held
  Exécuter des tests exclusifs permettant de découvrir des points de vigilance profonds et sophistiqués.
   
• Phase 6 - Boucle d'entraînement pour une amélioration continue
  Utiliser un mécanisme de retour d'information continu pour affiner le système LLM et améliorer ses capacités en matière de sécurité et de gestion des risques.
   
• Phase 7 - Rapport et remédiation
  Consigner tous les résultats des différentes phases de test, classer les problèmes en fonction de leur gravité, fournir des stratégies de remédiation exploitables ainsi qu'une analyse d'impact réalisée par des experts.

Nos experts se basent sur le Top 10 des risques en sécurité des applications Web pour les LLM établi par l'Open Worldwide Application Security Project (OWASP) pour constituer une grille de tests, enrichie par l'expérience collective de l'entreprise en termes de tests portant sur les LLM dans des environnements réels.

Voici les 13 catégories (notées sur une échelle allant du risque informatif au risque faible/moyen/élevé à critique) à partir desquelles nous construisons nos modèles de test au cours d'une mission :

• T1 - Test d'injection de prompt
• T2 - Traitement de sortie non sécurisée
• T3 - Empoisonnement des données d'entraînement
• T4 - Déni de service modélisé
• T5 - Vulnérabilités de la chaîne d'approvisionnement
• T6 - Divulgation d'informations sensibles
• T7 - Conception non sécurisée de plugins
• T8 - Excès d'autonomie
• T9 - Dépendance excessive à l'égard des LLM
• T10 - Vol de modèles
• C1 - Tests d'accès aux données et de ségrégation (DAST)
• C2 - Résilience et récupération adverses (ARR)
• C3 - Test de résistance aux entrées dynamiques (DIST)

Malgré l'augmentation de la quantité et la complexité croissante des enquêtes, il est demandé aux équipes juridiques et comptables de faire plus avec moins. Les parties impliquées dans ces affaires se tournent davantage vers l'intelligence artificielle générative (GenAI) pour résoudre leurs problèmes, en raison de sa capacité à analyser plus efficacement de vastes quantités de données, qui se traduit par une réduction du temps et de l'argent dépensés.

Dans cet article, Natalie Lewis, CPA/CFF, CFE, et Mike Gaudet, experts en technologie d'investigation et de science judiciaire chez J.S. Held, expliquent comment l'IA générative peut rationaliser les enquêtes complexes.

Les sujets abordés sont les suivants :

• Utilisations pratiques de la GenAI pour gagner du temps et de l'argent à partir d'expériences d'enquêtes réelles
• Optimisation de la préparation des entretiens grâce aux informations fournies par l'IA générative
• Amélioration des rapports d'experts à l'aide de la GenAI
• Combinaison de l'IA générative avec d'autres techniques pour en faire un outil complémentaire dans les enquêtes sur les fraudes

> Cliquez ici pour lire cet article.