Tu suis la course aux modèles IA ?
Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Séoul établit un précédent avec un standard IA vérifiable
La Corée du Sud a pris une longueur d'avance en matière de gouvernance de l'intelligence artificielle en publiant le premier standard officiel qui rend le red teaming IA vérifiable. Alors que l'Europe se concentre sur la régulation des risques, elle se repose encore largement sur l'auto-attestation des entités qu'elle cherche à contrôler. En revanche, Séoul a mis en place un cadre qui précise non seulement comment un red teaming doit être mené, mais aussi par qui et avec quelles preuves tangibles. Ce contraste met en lumière la véritable ligne de front dans la gouvernance de l'IA : la capacité à produire des preuves vérifiables plutôt que de simplement imposer des règlements.
Les détails de la publication coréenne
En juillet, le ministère coréen des Sciences et des TIC, en collaboration avec l'agence de cybersécurité KISA, a publié deux documents clés : un manuel pour répondre aux menaces de sécurité IA et un guide détaillé pour le red teaming de sécurité IA. Ces documents ne se contentent pas de donner des recommandations générales. Le guide spécifie la composition des équipes de test, qui doivent inclure non seulement des experts en sécurité, mais aussi des ingénieurs IA, des juristes et des spécialistes du domaine concerné. Il décrit également les approches de test acceptables, telles que les méthodes de boîte noire, boîte grise et boîte blanche, en fonction du niveau de risque.
Le guide introduit une taxonomie de huit catégories de menaces, allant de l'injection de prompt aux hallucinations, et définit cinq niveaux de gravité basés sur l'impact réel des menaces. Un principe fondamental est que le red teaming ne doit pas s'arrêter une fois le produit mis en production, mais doit être un processus continu. Ainsi, une entreprise coréenne affirmant avoir testé son IA peut désormais être confrontée à un référentiel officiel permettant de vérifier la véracité de cette affirmation. Ces guides sont conçus pour préparer l'application de la loi-cadre coréenne sur l'IA, dont les sanctions administratives entreront en vigueur début 2027, après une période de grâce.
L'Europe et son approche réglementaire
En Europe, l'AI Act impose aux fournisseurs de modèles à risque systémique de réaliser des tests adverses. Cependant, la manière dont ces tests doivent être conduits est laissée à la discrétion des fournisseurs, qui suivent un Code de bonnes pratiques auquel ils adhèrent volontairement et qu'ils ont eux-mêmes contribué à rédiger. Cela signifie que les fournisseurs décident de la composition de l'équipe de test, de la méthode utilisée, de l'accès au modèle et de la documentation à fournir. Bien que la Commission européenne ait acquis des pouvoirs d'exécution sur les modèles à usage général le 2 août, elle ne dispose pas encore d'un standard public définissant ce qu'est un red teaming adéquat.
Cette approche reflète une philosophie réglementaire où l'Europe a établi le droit de la preuve sans avoir construit l'infrastructure nécessaire pour la produire. Un règlement sans référentiel d'évaluation opposable ne produit que des attestations, et non des preuves tangibles.
L'importance d'une machinerie de contrôle publique
Certains pourraient arguer que l'écosystème pourrait compenser ce manque, avec des cabinets d'audit, des prestataires de red teaming et des certificateurs. Cependant, la question cruciale reste : qui définit le standard auquel ces acteurs doivent se conformer ? Si ce sont les fournisseurs de modèles eux-mêmes, l'évaluation restera une prestation achetée par le contrôlé, encadrée par le contrôlé et publiée à sa convenance. La leçon que nous enseigne la Corée du Sud est claire : c'est la puissance publique qui doit écrire le référentiel, ce qui le rend opposable à tous. La souveraineté européenne en matière d'IA ne se jouera pas uniquement sur les puces ou les modèles, mais sur la propriété de cette machinerie de contrôle : référentiels d'évaluation, modalités d'accès aux modèles, et infrastructure publique de test.
Ce que les entreprises peuvent faire dès maintenant
La bonne nouvelle est que les entreprises européennes n'ont pas besoin d'attendre un guide officiel de Bruxelles pour adopter cette logique dans leurs contrats. Trois exigences peuvent déjà transformer la relation avec un fournisseur d'IA :
- La composition et l'indépendance de l'équipe qui a testé le système.
- La méthode et le périmètre du test, incluant les conditions d'accès au modèle.
- La documentation fournie, qui doit être datée et rejouable.
Ces éléments sont précisément ceux qu'un système de management de l'IA comme l'ISO 42001 permet d'organiser du côté client. Il ne s'agit pas de se fier à une simple attestation, mais de tenir un registre de ce qu'elle prouve réellement et de ce qu'elle ne prouve pas.
Le premier standard officiel au monde qui rend le red teaming auditable a été publié, et il n'est pas européen. La question n'est pas de s'en désoler, mais de décider qui, en Europe, écrira le nôtre : la puissance publique ou les entités qu'il s'agit de contrôler.






