Brief IA

Corée du Sud : un standard IA vérifiable pour le red teaming

🤖 Models & LLM·Tom Levy·

Corée du Sud : un standard IA vérifiable pour le red teaming

Corée du Sud : un standard IA vérifiable pour le red teaming
Key Takeaways
1La Corée du Sud a publié le premier standard officiel pour le red teaming IA, définissant des protocoles précis.
2L'Europe, malgré l'AI Act, repose sur l'auto-attestation des fournisseurs pour l'évaluation des IA à risque.
3Les entreprises européennes peuvent déjà exiger des garanties contractuelles sur les tests IA sans attendre Bruxelles.
💡Why it mattersLa gouvernance de l'IA se joue sur la capacité à établir des preuves vérifiables, pas seulement sur la régulation.
Le brief IA que lisent les pros

Le brief IA que les pros lisent chaque soir

Les 7 actus IA du jour, décryptées en 5 min. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
Full Analysis

Séoul établit un précédent avec un standard IA vérifiable

La Corée du Sud a pris une longueur d'avance en matière de gouvernance de l'intelligence artificielle en publiant le premier standard officiel qui rend le red teaming IA vérifiable. Alors que l'Europe se concentre sur la régulation des risques, elle se repose encore largement sur l'auto-attestation des entités qu'elle cherche à contrôler. En revanche, Séoul a mis en place un cadre qui précise non seulement comment un red teaming doit être mené, mais aussi par qui et avec quelles preuves tangibles. Ce contraste met en lumière la véritable ligne de front dans la gouvernance de l'IA : la capacité à produire des preuves vérifiables plutôt que de simplement imposer des règlements.

Les détails de la publication coréenne

En juillet, le ministère coréen des Sciences et des TIC, en collaboration avec l'agence de cybersécurité KISA, a publié deux documents clés : un manuel pour répondre aux menaces de sécurité IA et un guide détaillé pour le red teaming de sécurité IA. Ces documents ne se contentent pas de donner des recommandations générales. Le guide spécifie la composition des équipes de test, qui doivent inclure non seulement des experts en sécurité, mais aussi des ingénieurs IA, des juristes et des spécialistes du domaine concerné. Il décrit également les approches de test acceptables, telles que les méthodes de boîte noire, boîte grise et boîte blanche, en fonction du niveau de risque.

Le guide introduit une taxonomie de huit catégories de menaces, allant de l'injection de prompt aux hallucinations, et définit cinq niveaux de gravité basés sur l'impact réel des menaces. Un principe fondamental est que le red teaming ne doit pas s'arrêter une fois le produit mis en production, mais doit être un processus continu. Ainsi, une entreprise coréenne affirmant avoir testé son IA peut désormais être confrontée à un référentiel officiel permettant de vérifier la véracité de cette affirmation. Ces guides sont conçus pour préparer l'application de la loi-cadre coréenne sur l'IA, dont les sanctions administratives entreront en vigueur début 2027, après une période de grâce.

L'Europe et son approche réglementaire

En Europe, l'AI Act impose aux fournisseurs de modèles à risque systémique de réaliser des tests adverses. Cependant, la manière dont ces tests doivent être conduits est laissée à la discrétion des fournisseurs, qui suivent un Code de bonnes pratiques auquel ils adhèrent volontairement et qu'ils ont eux-mêmes contribué à rédiger. Cela signifie que les fournisseurs décident de la composition de l'équipe de test, de la méthode utilisée, de l'accès au modèle et de la documentation à fournir. Bien que la Commission européenne ait acquis des pouvoirs d'exécution sur les modèles à usage général le 2 août, elle ne dispose pas encore d'un standard public définissant ce qu'est un red teaming adéquat.

Cette approche reflète une philosophie réglementaire où l'Europe a établi le droit de la preuve sans avoir construit l'infrastructure nécessaire pour la produire. Un règlement sans référentiel d'évaluation opposable ne produit que des attestations, et non des preuves tangibles.

L'importance d'une machinerie de contrôle publique

Certains pourraient arguer que l'écosystème pourrait compenser ce manque, avec des cabinets d'audit, des prestataires de red teaming et des certificateurs. Cependant, la question cruciale reste : qui définit le standard auquel ces acteurs doivent se conformer ? Si ce sont les fournisseurs de modèles eux-mêmes, l'évaluation restera une prestation achetée par le contrôlé, encadrée par le contrôlé et publiée à sa convenance. La leçon que nous enseigne la Corée du Sud est claire : c'est la puissance publique qui doit écrire le référentiel, ce qui le rend opposable à tous. La souveraineté européenne en matière d'IA ne se jouera pas uniquement sur les puces ou les modèles, mais sur la propriété de cette machinerie de contrôle : référentiels d'évaluation, modalités d'accès aux modèles, et infrastructure publique de test.

Ce que les entreprises peuvent faire dès maintenant

La bonne nouvelle est que les entreprises européennes n'ont pas besoin d'attendre un guide officiel de Bruxelles pour adopter cette logique dans leurs contrats. Trois exigences peuvent déjà transformer la relation avec un fournisseur d'IA :

  • La composition et l'indépendance de l'équipe qui a testé le système.
  • La méthode et le périmètre du test, incluant les conditions d'accès au modèle.
  • La documentation fournie, qui doit être datée et rejouable.

Ces éléments sont précisément ceux qu'un système de management de l'IA comme l'ISO 42001 permet d'organiser du côté client. Il ne s'agit pas de se fier à une simple attestation, mais de tenir un registre de ce qu'elle prouve réellement et de ce qu'elle ne prouve pas.

Le premier standard officiel au monde qui rend le red teaming auditable a été publié, et il n'est pas européen. La question n'est pas de s'en désoler, mais de décider qui, en Europe, écrira le nôtre : la puissance publique ou les entités qu'il s'agit de contrôler.

Brief IA — L'actualité IA en français

L'essentiel de l'actualité de l'intelligence artificielle, décrypté et expliqué chaque jour.