Quand l’IA remodèle la cyberassurance

Chaque semaine, la rédaction de ChannelBiz donne la parole à un spécialiste IT et Tech, qui apporte un éclairage plus personnel sur l’actualité et les tendances du Channel. Cette semaine, c’est Morey Haber, conseiller en chef en sécurité chez BeyondTrust, qui se prête à l’exercice.

Alors que de nouvelles menaces émergent, basées sur des vecteurs d’attaque spécifiques à l’IA contre les LLM (grands modèles de langage), les hallucinations forcées de l’IA (empoisonnement des données), l’accès privilégié, etc., les organisations réalisent que les risques de l’IA au sein de leur organisation peuvent conduire à une variété de problèmes de conformité et de confidentialité des données.

Ces risques peuvent conduire à des décisions commerciales erronées, à une violation de la cybersécurité ou, pire encore, à des conseils inappropriés sur un sujet (désinformation) qui peuvent avoir des effets dévastateurs en aval. À cette fin, le secteur de la cyberassurance a introduit de nouvelles clauses, exclusions, clarifications et possibilités d’audit dans ses polices afin d’atténuer les risques et d’éviter éventuellement une réclamation lorsque les meilleures pratiques de sécurité pour l’IA ne sont pas adoptées.

Voici les clauses et conditions qui sont apparues, ou qui devraient apparaître, dans les nouvelles polices ou les polices renouvelées :

1. Exclusions et précisions concernant le risque IA

–Pertes causées par l’IA : Les polices délimitent de plus en plus la couverture des pertes directement imputables au mauvais fonctionnement ou à la manipulation malveillante des systèmes d’IA. Cela permet de clarifier l’étendue de la couverture ou d’exclure explicitement certains incidents générés par l’IA, en particulier ceux dus à une IA mal supervisée ou non gérée.

–Biais algorithmique et responsabilité : De nouvelles clauses peuvent explicitement traiter des exclusions de couverture découlant d’algorithmes biaisés ou de décisions discriminatoires prises par l’IA sur la base d’un apprentissage biaisé ou incomplet.

2. Conformité et cadres réglementaires

–Les polices d’assurance peuvent comporter des clauses exigeant que les assurés se conforment aux réglementations régionales pertinentes en matière d’IA et de confidentialité des données (telles que la loi sur l’IA de l’UE ou les réglementations de type GDPR relatives à l’équité et à la transparence des algorithmes). La non-conformité pourrait limiter ou annuler la couverture.

–Les fournisseurs de cyberassurance attendent de plus en plus de preuves explicites d’une gouvernance appropriée de l’IA, exigeant des entreprises assurées qu’elles mettent en œuvre des évaluations des risques, des audits, des mécanismes de surveillance et des protocoles d’accès spécifiques pour les systèmes d’IA en tant que condition préalable à la couverture. Ces polices peuvent introduire de nouvelles clauses imposant des audits et des rapports périodiques sur les menaces liées à l’IA et la documentation des évaluations des risques. Le non-respect de ces clauses peut avoir une incidence sur l’admissibilité d’une demande d’indemnisation.

3. Réponse aux incidents et atténuation de leurs effets

–Les polices peuvent inclure (ou exclure) un libellé spécifique couvrant les coûts associés aux réponses spécialisées aux incidents liés à l’IA, tels que l’empoisonnement des données, le vol de modèles, les attaques adverses ou la récupération d’ensembles de données corrompus et d’algorithmes compromis.

–Les assureurs affinent les clauses relatives aux scénarios dans lesquels les assurés s’appuient fortement sur des services d’IA tiers. Des délimitations claires de la responsabilité et des limites de couverture apparaissent, y compris des clauses concernant les vulnérabilités de l’IA de type chaîne d’approvisionnement et les cascades de risques dans le cadre des plans d’intervention et d’atténuation des incidents.

4. Propriété intellectuelle et responsabilité

–Les compagnies d’assurance commencent à clarifier la couverture liée à la violation des droits d’auteur ou aux litiges en matière de propriété intellectuelle découlant du contenu généré par l’IA, en définissant explicitement les conditions de responsabilité et d’indemnisation. Cela inclut la formation de l’IA basée sur d’autres documents protégés par le droit d’auteur qui n’ont pas fait l’objet d’une licence appropriée.

–L’IA générative et les médias synthétiques apparaissant comme des vecteurs importants de désinformation, de fraude ou d’atteinte à la réputation, les polices d’assurance sont susceptibles à l’avenir d’inclure une couverture ou des exclusions spécifiques concernant les contenus manipulés générés à des fins malveillantes en interne ou par un consommateur tiers.

Bien que ces quatre catégories aient des implications réelles pour les organisations, il s’agit véritablement de la partie émergée de l’iceberg pour ce qui peut être inclus ou exclu de l’utilisation de l’IA générative dans les nouvelles polices d’assurance cybernétique. Par conséquent, les organisations qui exploitent les technologies d’IA devront adopter les principes fondamentaux suivants en matière de cybersécurité afin de s’assurer d’être couvertes :

• Effectuer régulièrement des évaluations rigoureuses des risques liés à l’IA pour faire preuve de diligence raisonnable et adopter une approche fondée sur les risques pour la mise en œuvre et la consommation d’informations générées par l’IA.
• Maintenir des cadres solides de gouvernance de l’IA (y compris des mécanismes d’explication, d’équité et de surveillance éthique) pour s’assurer que le contenu généré est équitable et non biaisé.
• Contrôler régulièrement les initiatives régionales de conformité réglementaire afin de garantir la responsabilité et d’éviter les violations de politiques ou les amendes pour fuite ou abus de données.
• S’engager de manière proactive avec les cyber-assureurs pour définir clairement l’étendue de la couverture des risques liés à l’IA et négocier des clauses spécifiques liées à l’IA et adaptées aux exigences de votre entreprise. Les conditions ci-dessus doivent être négociées avec vos courtiers et assureurs, car elles peuvent ne pas toutes s’appliquer.

Les polices d’assurance cyber évoluent pour gérer les attentes en matière de couverture. Ces conditions, clauses et exclusions mettent en évidence une tendance plus large selon laquelle les assureurs attendent de la transparence, des pratiques d’IA responsables et une gouvernance complète comme conditions préalables à une couverture.

Ce sont tous des éléments essentiels d’un programme de cybersécurité mature au sein d’une organisation et lorsque est envisagé un déploiement d’IA, que ce soit pour un usage interne ou par des clients, les meilleures pratiques devraient toujours être intégrées dès la conception. Pour anticiper toute condition qu’un cyberassureur pourrait ajouter, la mise en œuvre de l’IA doit tenir compte de la sécurité dès le départ, et non pas après coup.