ISC2 se réveille enfin à la sécurité de l'IA, mais la certification ne suffit pas

Le International Information System Security Certification Consortium (ISC2) a annoncé qu'il intégrait les concepts de sécurité de l'IA dans tout son portfolio de certifications en cybersécurité, publiant de nouvelles directives d'examen qui traitent de la sécurisation des systèmes d'IA et de la gestion des risques liés à l'IA. Ceci marque la première refonte majeure des standards d'éducation en cybersécurité pour inclure explicitement les menaces et défenses d'IA comme compétences de base plutôt que comme ajouts optionnels.

Cette démarche reflète la reconnaissance tardive de l'industrie de la cybersécurité que l'IA n'est pas juste un autre outil—elle change fondamentalement la surface d'attaque. On voit des attaques alimentées par l'IA dans la nature, des deepfakes d'ingénierie sociale à la découverte automatisée de vulnérabilités, pendant que les organisations se dépêchent à déployer l'IA sans comprendre les implications de sécurité. La décision d'ISC2 d'exiger des connaissances en sécurité de l'IA dans toutes les certifications signale que se défendre contre les menaces d'IA est maintenant le minimum pour les professionnels en cybersécurité.

Ce qui manque dans l'annonce d'ISC2 c'est toute reconnaissance de à quel point ça met les professionnels certifiés en retard. Les nouvelles directives ne prendront pas effet immédiatement, et les professionnels certifiés existants ne seront pas requis de démontrer une compétence en sécurité de l'IA jusqu'à leur prochain cycle de recertification. Pendant ce temps, les attaquants armement déjà l'IA, et la plupart des équipes de sécurité volent à l'aveugle quand il s'agit de sécuriser leurs propres implémentations d'IA.

Pour les développeurs et constructeurs d'IA, cette mise à jour de certification ne réglera pas vos problèmes immédiats. Vous devez encore implémenter des pratiques de sécurité de l'IA maintenant—validation de modèles, défenses contre l'injection de prompts, filtrage de sortie—peu importe si votre équipe de sécurité a les bonnes lettres après leurs noms. Le complexe industriel de certification bouge lentement; vos adversaires non.