La sécurité des modèles d’IA à l’ère des nouvelles technologies
Dans un monde où les algorithmes deviennent essentiels et omniprésents, Skyld émerge comme un pionnier en sécurisation des modèles d’IA tout en préservant leur intégrité fonctionnelle et leur valeur commerciale. Sa fondatrice et CEO Marie Paindavoine nous explique comment Skyld étoffe ses solutions pour répondre aux exigences des secteurs les plus réglementés, promettant innovation et protection contre les menaces émergentes.
Comment Skyld a‑t-elle été créée et pourquoi ?
Je suis titulaire d’une thèse en cryptographie et j’ai exercé pendant dix ans dans la cybersécurité. Mon intérêt pour la sécurité logicielle s’est particulièrement développé lorsque j’ai commencé à explorer le secteur du paiement mobile lors de ma dernière activité, une industrie extrêmement sécurisée.
Mon attrait pour la sécurité de l’IA s’est manifesté assez tôt, avec l’essor de cette technologie. Les questions de protection de la vie privée et de l’utilisation des données dans l’IA correspondaient à mon domaine d’expertise. Venant de la cryptographie, et plus précisément du chiffrement homomorphe, qui permet d’effectuer des calculs, notamment de machine learning, sur des données sans les révéler, j’ai exploré la possibilité de réaliser des calculs de machine learning sur des données invisibles. C’est ce qu’on appelle le machine learning respectueux de la vie privée, ou « Privacy Preserving Machine Learning ».
“L’IA est déployée dans des secteurs critiques, comme la défense, la santé et l’industrie : elle devient une cible. Dans ce contexte, Skyld se positionne à la pointe de l’innovation en offrant des solutions de sécurisation des modèles d’IA.”
Par la suite, je me suis intéressée aux défis spécifiques de la cybersécurité pour l’IA. En effet, l’IA nécessite des investissements colossaux et est déployée dans des secteurs critiques comme la santé ou la défense, ce qui en fait une cible de choix.
Pouvez-vous donner un exemple de défi de cybersécurité pour l’IA ?
Notre point de départ chez Skyld a été l’étude de milliers d’applications mobiles afin de déterminer la présence de modèles d’IA et leur niveau de protection contre la rétro-ingénierie : la plupart des modèles sont facilement duplicables. En effet, l’IA présente des spécificités d’implémentation qui rendent difficile sa protection avec des méthodes classiques.
Chaque modèle est constitué d’un fichier de paramètres et d’un code permettant l’exécution. L’obfuscation protège le code, mais pas les fichiers de paramètres, qui restent accessibles. De plus, si le chiffrement rend un fichier illisible, il nécessite un déchiffrement pour l’exécution, exposant ainsi les paramètres : le chiffrement homomorphe est inefficace pour les systèmes embarqués. Enfin, les collaborations entre entreprises augmentent, posant des défis de protection intellectuelle et de monétisation, surtout pour les déploiements « on-premise » où l’acheteur contrôle les serveurs. Par exemple, une startup doit s’assurer qu’une banque n’utilise pas son IA au-delà de la licence accordée. Sans protection, le contrôle des déploiements et de l’utilisation des modèles est impossible.
Pour répondre à ces défis, nous proposons des services de protection et de monétisation des modèles. Nous utilisons des transformations mathématiques innovantes qui changent tous les paramètres du modèle en nombres aléatoires. Tous les calculs sont effectués sur des paramètres aléatoires, et cet aléa se propage d’une certaine manière. Nous le retirons ensuite au résultat final, garantissant que l’utilisateur obtient le bon résultat sans différence de précision notable. À aucun moment les paramètres originaux du modèle ou la propriété intellectuelle ne sont présents dans la mémoire de l’appareil sur lequel l’IA est déployée.
Comment prévoyez-vous de gérer les défis de sécurité liés à la mise en œuvre des modèles d’IA dans divers secteurs industriels, notamment ceux avec des exigences réglementaires strictes comme la santé ?
Dans le secteur de la santé, il existe un véritable enjeu lié à l’utilisation des algorithmes d’IA. Lorsqu’une entreprise souhaite déployer un tel algorithme, elle doit obtenir une certification. Si elle souhaite ensuite protéger cet algorithme, elle doit prouver que cette protection ne rendra pas la certification caduque. C’est pourquoi nous nous concentrons sur la certification de nos propres algorithmes, notamment en matière de sécurité, pour garantir le niveau de protection attendu. Cela constitue un objectif majeur pour cette année.
Nous cherchons également à obtenir des certifications fonctionnelles pour démontrer, au-delà des preuves mathématiques qui peuvent être complexes à comprendre, que nos algorithmes de protection ne modifient pas le comportement des algorithmes d’origine, permettant ainsi de conserver la certification initiale. C’est un défi important pour nous, et bien que notre entreprise soit encore de petite taille, nous visons à relever ce défi d’ici 2025. C’est aussi pourquoi nous nous concentrons dans un premier temps sur d’autres secteurs comme l’industrie 4.0 ou la défense.
Quels avantages les entreprises peuvent-elles espérer obtenir en adoptant vos solutions ?
Il est souvent difficile d’obtenir un brevet pour un algorithme d’IA ou pour une architecture spécifique. De plus, lorsqu’un algorithme est breveté, il doit être déployé, ce qui peut poser des problèmes de protection. Chez Skyld, nous offrons une solution qui agit comme un brevet technique, fournissant une protection contre la copie. Nous aidons les entreprises à sécuriser l’avantage qu’elles ont développé grâce à leurs équipes d’innovation.
“Chez Skyld, nous offrons une solution qui agit comme un brevet technique, fournissant une protection contre la copie. Nous aidons les entreprises à sécuriser l’avantage qu’elles ont développé grâce à leurs équipes d’innovation.”
Un autre aspect important est la monétisation. Nous proposons une méthode technique pour gérer la monétisation et les licences des modèles, que ce soit en contrôlant le nombre d’appareils sur lesquels le modèle est déployé ou en limitant la durée de validité des modèles. Cela permet aux entreprises de mieux contrôler la monétisation de leurs modèles, ce qui n’est possible qu’avec une protection robuste.
Quels sont les principaux défis rencontrés depuis la création de Skyld et quelles opportunités voyez-vous pour l’avenir de cette technologie ?
J’ai recruté un docteur en IA, car il était crucial pour moi d’avoir cette compétence au sein de l’entreprise. Nous avons dû nous adapter à la diversité des algorithmes possibles, car il existe de nombreuses architectures pour un modèle d’IA, telles que les réseaux de neurones convolutifs, récurrents ou les transformeurs. Il a donc été nécessaire de passer de la théorie à un produit déployable de manière automatique et facile à utiliser pour nos clients, et sans ralentissement notable. Désormais, nous disposons d’un outil entièrement automatisé qui gère tous les types de déploiements, de l’embarqué aux serveurs.
“L’IA est déployée dans des secteurs critiques, comme la défense, la santé et l’industrie : elle devient une cible. Dans ce contexte, Skyld se positionne à la pointe de l’innovation en offrant des solutions de sécurisation des modèles d’IA.”
Pour l’avenir, nous voyons d’énormes opportunités. Les avancées matérielles faciliteront de plus en plus l’intégration de l’IA à la source des données, en périphérie plutôt que dans le cloud. Les progrès des processeurs, des TPU (Tensor Processing Unit) et des NPU (Neural Processing Unit) sont conçus pour exécuter les opérations des algorithmes de machine learning. Parallèlement, les avancées logicielles rendent ces algorithmes plus petits, compacts et efficaces. Cette convergence entre optimisation matérielle et logicielle offre une grande opportunité pour déployer l’IA là où elle est nécessaire, plutôt que de la centraliser sur des serveurs.
Que projetez-vous comme évolution pour les produits de Skyld ?
Lors de discussions avec un prospect, nous avons constaté des préoccupations concernant les exemples adversariaux. Un exemple adversarial consiste à perturber l’entrée d’un algorithme afin de le tromper. Par exemple, des chercheurs ont démontré qu’en apposant quelques gommettes sur un panneau de signalisation, un algorithme peut être amené à croire qu’il s’agit d’un autre panneau. Les conséquences peuvent être graves, notamment si un panneau indiquant une limitation à 130 km/h est interprété comme un panneau Stop sur une autoroute. Dans le domaine des communications radio, notamment dans le secteur de la défense, une perturbation peut être introduite pour que l’IA transforme les communications ennemies en un bruit assourdissant.
Avec notre protection actuelle, nous offrons un premier niveau de sécurité. Bien que l’accès aux paramètres rende plus difficile la création de ces perturbations, cela reste possible. Nous travaillons donc à rendre ces perturbations plus difficiles à réaliser. Nous proposons d’abord un service aux entreprises pour les aider à évaluer la robustesse de leurs algorithmes face à ces perturbations, en veillant à ce que les algorithmes restent solides. À terme, notre objectif est de développer un produit capable de détecter et d’éliminer les perturbations en temps réel, afin d’assurer une confiance maximale dans les résultats des algorithmes d’IA. Le service est déjà disponible, et le produit devrait être lancé courant 2026.
