Les députés européens ont averti que l’Union européenne ne dispose pas d’un cadre réglementaire suffisant pour faire face aux risques de sécurité liés aux modèles d’intelligence artificielle tels que Mythos d’Anthropic. Lors d’un débat au sein de la commission IMCO consacré précisément aux risques en matière de cybersécurité de ces modèles, mercredi 6 mai, ils ont appelé la Commission européenne à agir d’urgence.
Le député européen Pablo Arias Echevarría (PPE, espagnol) a souligné que Mythos a mis en évidence que les États-Unis ont un problème évident en matière de cybersécurité, exposant d’importantes vulnérabilités et le fait que « de nombreuses personnes » peuvent accéder à ces modèles. Il a demandé à la Commission européenne quelles mesures peuvent être prises pour « atténuer » le risque qu’ils soient utilisés « à des fins politiques ».
La députée Christel Schaldemose (S&D, danoise) s’est demandé si l’UE dispose des ressources financières et des compétences nécessaires pour développer des modèles de langage afin de se « protéger » contre des systèmes d’IA aussi avancés. « Sommes-nous capables de nous défendre ? », a-t-elle demandé, insistant sur la nécessité d’appliquer « plus tôt » le Cyber Resilience Act. Son collègue José Cepeda (S&D, espagnol), quant à lui, a averti que l’AI Act ne couvre pas les systèmes à usage militaire.
« Il existe un grave problème en matière de systèmes de sécurité. L’IA génère des hallucinations. Elle peut créer des soupçons ; nous pourrions nous retrouver face à une IA comme Mythos qui créerait des conflits inexistants », a averti Gheorghe Piperea (ECR, roumain).
Les groupes Renew Europe et La Gauche ont regretté qu’Anthropic ait refusé de participer au débat. Anna Stürgkh (Renew Europe, autrichienne) a averti que des systèmes comme Mythos ouvrent la porte à des « cyberattaques majeures à grande échelle » contre les hôpitaux, les banques, etc., et a souligné que l’UE a besoin d’« actions claires » et de « règles claires » pour relever ce défi. Son collègue Bart Groothuis (Renew Europe, néerlandais) a rappelé que la majorité des risques proviennent des « logiciels hérités » et a demandé à la Commission européenne de fournir des orientations claires aux entreprises afin qu’elles « se débarrassent » de ces logiciels. « C’est là que vivent les hackers », a-t-il averti.
Du côté de La Gauche, Leila Chaibi (GUE/NGL, française) a également mis en doute la « suffisance » du cadre réglementaire actuel de l’UE pour faire face à des modèles open source qui pourraient être développés en six à douze mois, y compris en Chine. Elle a également souligné que l’UE doit développer ses propres « capacités souveraines ».
La Commission européenne a affirmé que l’UE dispose déjà d’un cadre de cybersécurité « conçu pour être pérenne » et capable de répondre aux risques potentiels. « Nous devons maintenant le mettre en œuvre correctement et clarifier certains aspects. L’application combinée de l’AI Act et du Cyber Resilience Act garantira que tous les systèmes d’IA présentant des risques systémiques et les produits intégrant de l’IA bénéficient d’un niveau élevé de cybersécurité », a insisté Despina Spanou, directrice générale adjointe à la DG CNECT. Elle a toutefois reconnu que les discussions sur le Cybersecurity Act 2 pourraient permettre d’identifier d’éventuelles lacunes, « y compris liées à l’IA ».
Lucilla Sioli, directrice du Bureau de l’intelligence artificielle au sein de la DG CNECT, a précisé que, bien que les usages militaires soient exclus du champ d’application de l’AI Act, à partir du 2 août, la Commission pourra demander des informations et accéder aux modèles à des fins d’évaluation. « Nous aurons également le pouvoir d’imposer des amendes allant jusqu’à 3% du chiffre d’affaires annuel mondial. Dans les cas extrêmes, nous pourrons aussi restreindre la disponibilité du modèle sur le marché européen », a-t-elle précisé.
« Des temps difficiles s’annoncent, avec de nombreuses organisations confrontées à davantage d’attaques et de problèmes logiciels et matériels qu’aujourd’hui », a déclaré Hans de Vries, directeur des opérations et de la cybersécurité à l’ENISA, reconnaissant que les « environnements hérités » posent des défis.
« Nous devons peut-être aussi tirer les leçons du cas Mythos pour les intégrer dans la législation en cours de révision ou qui le sera prochainement. Nous devons améliorer notre utilisation commune, nos capacités de sécurité et notre résilience, et l’ENISA est déterminée à y contribuer », a-t-il conclu, tout en soulignant le potentiel de ces modèles pour aider les entreprises à résoudre les vulnérabilités identifiées. (Ana Pisonero Hernández)