Non, sécurité et régulation ne sont pas un frein à l’innovation

Posted by stephanekoch on 9 décembre 2024
Stephane K
Stephane K
Non, sécurité et régulation ne sont pas un frein à l'innovation
Loading
/

Ce podcast a été généré avec NoteBookLM de Google, principalement à partir des sources figurant ci-dessous.

Dans une société qui se dématérialise et s’interconnecte un peu plus chaque jour, la présence de systèmes autonomes et robotisés se fait de plus en forte, avec à la clé une augmentation drastique, tant du volume que de la rapidité des échanges d’informations, le tout faisant appel croissant à un traitement de cette masse d’informations par l’intelligence artificielle pour qu’ils nous servent d’aide à la décision, avec à la clé un gain de temps et de productivité. Mais, ce processus a accru de manière exponentielle notre dépendance aux bons fonctionnements de ces systèmes, et chaque coupure peut avoir des conséquences dramatiques, que ça soit au niveau économique ou humain. Malgré tout, la sécurité des logiciels et des infrastructures impliquées dans le transport, le traitement et le stockage de toutes ces données est le grand perdant de cette évolution technologique. Alors que l’on a pu observer cette année comment une simple mise à jour du logiciel de sécurité CrowdStrike a paralysé les systèmes informatiques d’une patrie de la planète. Dans le domaine médical, une étude publiée en 2024, part Forescout Vedere Labs, a identifié 162 vulnérabilités affectant les appareils de l’Internet des objets médicaux (IoMT). Qu’en est-il de la responsabilité juridique des entreprises qui développent le code informatique de ces logiciels ? Dans les faits, elle est quasiment inexistante. Trop souvent, la sécurité des programmes informatiques est perçue comme un frein à l’innovation, ce que semble croire EconomieSuisse. Or, être innovant, c’est justement pouvoir offrir des solutions sans danger pour les personnes ni pour le bon fonctionnement des entreprises et des institutions dans le contexte de leur numérisation.

La sécurité, lorsqu’elle est intégrée dès la conception, devient un catalyseur d’innovation. L’approche « Secure by Design » (la sécurité par défaut, dès la conception d’un programme informatique) encourage également l’innovation dans les pratiques de développement logiciel et matériel. Les entreprises qui l’adoptent sont poussées à repenser leurs processus, à intégrer de nouvelles méthodologies, comme le DevSecOps, et à développer des outils d’analyse et de test plus sophistiqués. Cette approche proactive ne se contente pas de répondre aux défis de sécurité actuels, mais prépare également le terrain pour les innovations futures.

À ce propos, plusieurs règlements, tels que l’AI Act (loi européenne sur l’intelligence artificielle), ont été critiqués par EconomieSuisse. La nouvelle réglementation européenne sur les machines (Machinery Regulation EU 2023/1230 ) intègre l’obligation d’analyser l’évolution du comportement des systèmes auto-apprenants, ainsi que la mise en place de circuits de sécurité pour limiter les comportements autonomes. Elle met également l’accent sur la protection contre les cyberattaques et la corruption des systèmes. Ou le cadre du Secure Software Development Framework | SSDF mis en place par National Institute of Standards and Technology (NIST) américain, qui vise à pousser à développer et protéger les logiciels tout en assurant la sécurité des données sensibles. Ces cadres légaux ne visent en aucun cas à empêcher d’innover, mais à proposer une innovation à même de s’insérer dans un système existant et de l’améliorer sans mettre son fonctionnement en danger.

 💡 Le fil rouge de la conférence à venir et de podcast disponible sur cette page, se base sur cet article dans la Tribune de Genève: « La révolte des robots est-elle en marche?« 
Une vidéo de robots rebelles fait le buzz sur les réseaux. Pour l’expert en cybersécurité Stéphane Koch, il faut plus de régulation et de sécurité.

 ➡ J’aborderai cette thématique dans le cadre d’une conférence qui sera donnée à l’ESM le 16 janvier 2025 :

  • L’important de garder une distance critique par rapport au biais médiatique lié au traitement de la technologie et de son impact. Des cas comme celui du robot Erbail, qui représente vraisemblablement un coup marketing plus qu’une réelle prise de contrôle de robot par un autre robot, ou encore celui du lancement du Cybercab de Musk en octobre 2024, lors duquel, les robots Optimus ont été vus en train de danser, de parler avec les invités, et même de servir des boissons de manière totalement autonome, tel que présenté dans une majorité de médias, alors que  dans les faits, les robots Optimus étaient contrôlés par des humains. Ces cas sont emblématiques de l’importance de faire preuve de discernement.
  • Avec l’IAG et la robotique, il y a une dépendance de plus en forte au bon fonctionnement des services et à la sécurité du code, et risque d’effet domino désastreux en cas d’incident.
  • l’importance d’implémenter des cadres régulateurs plus stricts, tels que le « Secure by Design » et le Framework NIST Secure Software Development (SSDF), d’autant plus que de plus en plus de communications via des protocoles informatiques, de machine à machine, ou homme à machine, reposent sur des protocoles dont la sécurité est parfois trop fragile ou insuffisante. 
  • Une approche native de la sécurité n’est pas un frein à l’innovation, bien au contraire: la capacité à innover est constitutive de la capacité à prendre en compte la sécurité dans le développement de logiciel et services.
  • La confiance dans ces technologies est essentielle, et, pour pouvoir instaurer cette confiance, durablement, il est important que le développement de ces technologies se fasse dans un cadre qui prenne en compte les risques et que les fournisseurs et concepteurs de logiciels soient aussi responsables juridiquement de la sécurité de leur code.

Sources principales du podcast (non exhaustif):