Nous Research publie CNA : pilotage de circuits MLP épars sans entraînement SAE ni modification des poids

Mend publie un cadre de gouvernance de la sécurité IA : inventaire des ressources, classification des risques, sécurité de la chaîne d'approvisionnement et modèle de maturité

Mend, spécialiste de la sécurité applicative, a publié un guide pratique intitulé "AI Security Governance: A Practical Framework for Security and Development Teams", destiné aux équipes de sécurité et de développement confrontées à l'essor incontrôlé des outils d'IA en entreprise. Le document part d'un constat précis : dans la quasi-totalité des organisations, les développeurs adoptent des outils comme GitHub Copilot ou des API tierces (OpenAI, Google Gemini) avant même que les équipes sécurité n'en aient connaissance. Le framework propose une réponse structurée en quatre piliers : inventaire des actifs IA, système de classification par niveau de risque, contrôle d'accès et traçabilité de la chaîne d'approvisionnement des modèles. Le coeur du dispositif repose sur un système de score allant de 5 à 15 points, évalué sur cinq dimensions : sensibilité des données, autorité décisionnelle, accès aux systèmes, exposition externe et origine dans la chaîne d'approvisionnement. Selon ce score, chaque déploiement IA est classé en Tier 1 (risque faible, revue standard), Tier 2 (risque modéré, audits comportementaux trimestriels) ou Tier 3 (risque élevé, évaluation complète, surveillance continue et plan de réponse aux incidents obligatoire). Ce cadre répond à un problème structurel croissant : le "shadow AI", c'est-à-dire les outils d'IA utilisés en production sans validation de la sécurité. Mend insiste sur le fait que la découverte de ces outils doit être non punitive, afin que les développeurs les déclarent sans crainte. Le framework souligne également que le niveau de risque d'un modèle peut changer radicalement sans modification de son code : connecter un modèle précédemment isolé à une base de données de production en écriture suffit à le faire passer du Tier 1 au Tier 3. Pour les sorties de modèles, le guide impose un filtrage actif des données réglementées (numéros de sécurité sociale, cartes bancaires, clés API) et exige que le code généré par IA soit traité comme une entrée non fiable, soumis aux mêmes analyses SAST, SCA et détection de secrets que le code écrit par des humains. Le troisième volet majeur concerne la chaîne d'approvisionnement des modèles. Mend introduit le concept d'AI Bill of Materials (AI-BOM), extension du SBOM traditionnel appliqué aux artefacts de modèles, aux jeux de données d'entraînement, aux entrées de fine-tuning et à l'infrastructure d'inférence. L'idée centrale est qu'intégrer un modèle tiers revient à hériter de la posture de sécurité de ceux qui l'ont entraîné. Ce framework s'inscrit dans un mouvement plus large de régulation de l'IA en entreprise, porté à la fois par des exigences réglementaires émergentes (EU AI Act, directives NIST) et par la multiplication des incidents liés à des modèles mal configurés ou mal cloisonnés. Mend positionne ce guide comme un point de départ accessible, non comme un programme de maturité avancée, ce qui le rend particulièrement pertinent pour les organisations qui débutent leur gouvernance IA.

Les chercheurs estiment que l'IA devient redoutablement efficace en matière de piratage, même sans Mythos

Anthropic a développé un nouveau modèle d'IA baptisé Mythos, jugé si performant dans la réalisation de cyberattaques que l'entreprise a décidé de ne pas le rendre public. La société a choisi de le partager uniquement avec de grandes entreprises technologiques sélectionnées, afin qu'elles puissent anticiper et renforcer leurs défenses avant une éventuelle diffusion plus large. Parallèlement, la startup de cybersécurité Buzz, financée par Sequoia Capital, a publié de nouvelles recherches révélant que les modèles d'IA déjà disponibles publiquement sont capables de mener des cyberattaques complexes et autonomes en quelques minutes seulement. Ces résultats sont préoccupants à plusieurs titres. Le fait que des outils existants, accessibles à n'importe qui, puissent automatiser des attaques informatiques sophistiquées sans intervention humaine significative abaisse drastiquement le seuil d'entrée pour les acteurs malveillants. Des individus sans compétences techniques avancées pourraient désormais conduire des offensives qui requéraient auparavant des équipes entières de hackers expérimentés, menaçant aussi bien les entreprises que les infrastructures critiques. La décision d'Anthropic de restreindre Mythos illustre une tension croissante dans l'industrie de l'IA entre innovation ouverte et gestion des risques. Les grands laboratoires sont de plus en plus confrontés à la question de la divulgation responsable de modèles à capacités duales. Que des modèles grand public aient déjà atteint ce niveau de dangerosité offensive souligne l'urgence d'investir massivement dans la cybersécurité défensive, et relance le débat sur la nécessité d'une régulation internationale coordonnée du développement et de la diffusion des modèles d'IA les plus puissants.

💬 La rétention de Mythos fait les gros titres, mais c'est presque pas le sujet. Ce qui compte, c'est que les modèles déjà publics automatisent des attaques sophistiquées en quelques minutes, sans expertise requise. Le seuil d'entrée vient de s'effondrer, et on n'a pas attendu le modèle secret pour ça.

La protection de la vie privée des données d'entraînement de l'IA

Les modèles de machine learning entraînés sur des données sensibles, dossiers médicaux, historiques de transactions bancaires ou résultats d'essais cliniques, sont exposés à des attaques capables d'extraire des informations confidentielles sur leurs données d'entraînement. Trois scénarios d'attaque escaladent en gravité. D'abord, l'inférence d'appartenance : tout acteur disposant d'un accès en requête à un modèle déployé peut déterminer si un enregistrement précis faisait partie des données d'entraînement. Des chercheurs d'Amazon Web Services l'ont démontré en 2023 à la conférence NeurIPS, exploitant le fait qu'un modèle produit des prédictions à plus haute confiance pour les exemples sur lesquels il a été entraîné. Ensuite vient la reconstruction de données dans les systèmes d'apprentissage fédéré, où plusieurs organisations entraînent un modèle commun sans partager leurs données brutes : un serveur d'agrégation malveillant peut reconstituer les données d'entraînement d'un participant à partir des mises à jour de gradient. Enfin, même un participant honnête peut voir ses données privées exposées via le modèle global partagé. En 2023, une publication de Google DeepMind a montré que GPT-3.5-turbo pouvait, sous certaines requêtes, reproduire mot pour mot des données d'entraînement, y compris des informations personnellement identifiables. Ces risques ont des conséquences légales et éthiques directes pour les organisations qui déploient des modèles sur des données protégées. Une attaque réussie contre un modèle hospitalier pourrait révéler qu'un patient spécifique a été traité dans un établissement donné, violant ainsi le HIPAA aux États-Unis ou le RGPD en Europe. Pour les systèmes d'apprentissage fédéré utilisés par des consortiums hospitaliers ou bancaires, une reconstruction réussie des données d'entraînement annulerait toute la promesse de confidentialité de l'architecture et exposerait les organisations à des violations des accords de consentement des patients. Les modèles spécialisés entraînés sur des jeux de données concentrés et sensibles sont particulièrement vulnérables, précisément parce que leurs données sont moins diversifiées et donc plus faciles à extraire. Face à ces menaces, deux technologies de protection font consensus : la confidentialité différentielle (differential privacy) et le calcul multipartite sécurisé (secure multiparty computation). La première ajoute du bruit mathématique calibré aux gradients ou aux données, rendant statistiquement impossible de déterminer si un enregistrement individuel a participé à l'entraînement, tout en préservant l'utilité statistique du modèle. La seconde permet à plusieurs parties de calculer conjointement un résultat sans qu'aucune n'accède aux données brutes des autres. Ces techniques ne sont plus réservées aux laboratoires académiques : à mesure que les entreprises de santé, de finance et de pharmacie intensifient leur adoption de l'IA sur des données propriétaires, leur déploiement devient une condition incontournable d'un développement responsable et d'une conformité réglementaire durable.

Fastino Labs publie en open source GLiGuard : un modèle de modération 300M paramètres aussi précis que des modèles 23 à 90 fois plus grands

Fastino Labs a publié GLiGuard, un modèle open-source de modération de contenu doté de 300 millions de paramètres, conçu pour sécuriser les applications basées sur des LLM en production. Sur neuf benchmarks de sécurité, GLiGuard atteint ou dépasse la précision de modèles 23 à 90 fois plus volumineux, comme LlamaGuard4 (12 milliards de paramètres), WildGuard (7 milliards) ou ShieldGemma (27 milliards), tout en fonctionnant jusqu'à 16 fois plus vite. En une seule passe, le modèle exécute simultanément quatre tâches de modération : classification de sécurité des prompts et des réponses, détection de 11 stratégies de contournement (injection de prompt, roleplay, social engineering...), analyse de la toxicité selon 8 catégories, et identification des contenus sexuels. Le modèle et ses poids sont disponibles sous licence Apache 2.0. L'enjeu est directement opérationnel : dans tout système LLM en production, le modèle de garde-fous s'exécute à chaque requête utilisateur et à chaque réponse du modèle, à chaque tour de conversation. Avec les architectures actuelles de type décodeur, cette latence s'accumule et le coût se multiplie. GLiGuard résout ce problème en adoptant une architecture encodeur, qui traite l'intégralité du texte d'entrée en une seule passe et retourne une étiquette de classification directement, sans générer de tokens séquentiellement. Concrètement, ajouter des dimensions d'évaluation supplémentaires n'augmente pas la latence, puisque toutes les tâches et leurs labels candidats font partie de l'entrée elle-même. Pour les développeurs qui déploient des agents IA capables de naviguer sur le web, d'exécuter du code ou d'interagir avec des services externes, cette réduction de latence et de coût peut changer fondamentalement la viabilité économique d'une mise en production sécurisée. Le problème de fond que GLiGuard cherche à résoudre illustre une tension structurelle dans l'industrie LLM : les modèles de garde-fous ont été construits sur des architectures décodeur par commodité, parce qu'ils pouvaient interpréter des instructions en langage naturel et s'adapter à de nouvelles politiques de sécurité sans réentraînement. Mais la modération de contenu est fondamentalement un problème de classification, pas de génération de texte, et les architectures décodeur ne sont pas optimisées pour cela. La publication de GLiGuard s'inscrit dans une tendance plus large de spécialisation des modèles : plutôt qu'utiliser un même LLM généraliste pour tout, les équipes en production découpent les tâches selon leurs contraintes propres. Fastino Labs positionne GLiGuard comme une brique d'infrastructure plutôt qu'un produit fini, ce qui suggère une stratégie d'adoption par les développeurs avant une éventuelle offre commerciale autour de la vitesse et du coût à l'échelle.