Éthique de l'Intelligence Artificielle (IA)
- Durée
- Durée :1 jour
- Niveau
- Niveau :Fondamental
- Certification
- Certification :Non
875€ HT
Prochaine session :
Formation Sécurité des systèmes d'intelligence artificielle
Description de la formation Sécurité IA
Qu’est-ce que la sécurité des systèmes d’intelligence artificielle ?
Avec la généralisation du deep learning et des modèles génératifs, l’IA devient une cible privilégiée pour les cyberattaques. Les modèles, données d’entraînement et environnements d’exécution présentent de nouvelles surfaces d’attaque que les solutions de sécurité classiques ne couvrent pas.
Pourquoi suivre une formation « Sécurité des systèmes d’intelligence artificielle » ?
Cette formation, conçue par des experts en cybersécurité et en IA, fournit les compétences nécessaires pour comprendre les menaces spécifiques aux architectures IA, auditer un système d’IA et appliquer des mesures correctives. Elle met un accent particulier sur les vulnérabilités des modèles, des applications et des chaînes d’approvisionnement IA, avec des exercices pratiques et des challenges type Capture The Flag.
Programme de la formation
Objectif opérationnel :
Savoir identifier, auditer et corriger les vulnérabilités spécifiques aux systèmes d’intelligence artificielle
Objectifs pédagogiques :
À l'issue de cette formation sécurité des systèmes d’intelligence artificielle , vous aurez acquis les connaissances nécessaires pour :
- Maîtriser le vocabulaire, les concepts clés et les systèmes d’IA, notamment les modèles de langage (LLM), afin d’en comprendre les problématiques.
- Identifier, analyser et qualifier les problématiques liées aux usages de l’IA, incluant les risques cybersécurité, juridiques, éthiques et organisationnels.
- Encadrer et gouverner les usages de l’IA au sein de leur organisation, en tenant compte des rôles, des responsabilités et des obligations réglementaires applicables.
- Mettre en œuvre des mesures opérationnelles de réduction des risques liés aux systèmes d’IA, fondées sur une analyse de risques structurée et documentée.
- Intégrer la cybersécurité, la conformité et l’éthique dès la conception et tout au long du cycle de vie des projets d’IA, afin de déployer des systèmes d’IA maîtrisés, conformes et responsables.
Jour 1
Brève histoire de l'IA : des systèmes experts aux LLM
L'écosystème actuel : acteurs, usages, tendances, perspectives
Usage de l'IA par les attaquants (très succinctement)
Les données au cœur de l'IA : jeux d'entraînement, biais, qualité (enjeux éthiques et juridiques)
Les grands types d'apprentissage
Focus sur les modèles de langage (LLM) : tokenisation, embeddings, attention
Modes de déploiement : on-premise, cloud, API, edge
Du modèle de fondation à la spécialisation : modèles pré-entraînés, fine-tuning, RAG
Chaîne d'approvisionnement de l'IA : AI software bill of materials, acteurs de la donnée, capacité de calcul
Interconnexion avec un système d'IA : serveur MCP
IA interne vs IA exposée aux clients
Shadow AI : risques et détection
Inventaire des systèmes d'IA : lien explicite avec les obligations d'inventaire (AI Act, gouvernance IA)
Intégrité
Disponibilité
Confiance
Définition des concepts d'explicabilité, d'opacité, de déterminisme
Jailbreak, prompt injection etc.Travaux pratiques :Jailbreak
AI safety institute
Stratégie nationale de l'IA (3 phases)
Gouvernance nationale du RIA (= AI Act)
Classification des systèmes d'IA par niveau de risque
Obligations par catégorie : systèmes interdits, haut risque, risque limité, risque minimal - logique par les risques
Exigences pour les systèmes à haut risque : données, documentation, supervision humaine
Obligations spécifiques aux modèles d'IA à usage général (GPAI)
Gouvernance européenne
Sanctions et mise en conformité
Positionnement du SIA dans l'écosystème juridique
Notion clé : la règle applicable dépend du rôle (fournisseur / déployeur), du niveau de risque, du contexte sectoriel
AI Act et NIS2 : systèmes d'IA critiques
AI Act et règlements sectoriels (focus DORA - résilience opérationnelle/numérique)
Articulation de l'IA avec CSA, CRA (schéma de certification, surveillance de produit, présomption de conformité)
Articulation des notifications d'incident
Comparaison internationale
Évolution Omnibus ?
ISO/IEC 23894 : Gestion des risques de l'IA
ISO/IEC 38507 : Gouvernance de l'IA
ISO/IEC 25059 : Qualité des systèmes d'IA
ISO/IEC 27090 : Mesures de sécurité pour l'IA
Articulation avec ISO 27001
ENISA : bonnes pratiques de sécurité de l'IA
NIST AI Risk Management Framework (AI RMF)
ISACA : AI Audit Framework
CSA AI Safety Initiative et Cloud Controls Matrix for AI
Impacts juridiques selon le niveau de risque du SIA
Responsabilités administrative, contractuelle et pénale (vue d'ensemble)
Chaîne d'approvisionnement IA : dépendances critiques, responsabilité en cas de défaillance
Interconnexions → propagation des risquesTravaux pratiques :Checklist juridique : questions clés à se poser face à un SIAJour 2
Focus sur les attaques par injection de prompt
OWASP Top 10 for LLM : Utiliser ce référentiel pour sécuriser les applications basées sur des modèles de langage
MITRE ATLAS
Normes du CEN/CENELEC
Adaptation des méthodes classiques aux spécificités de l'IA :
- Prise en compte du cycle de vie des systèmes d'IA
- Intégration des risques liés aux données, aux modèles et à la chaîne d'approvisionnement
- Articulation entre risques techniques, juridiques et éthiques
Articulation avec le cadre réglementaire :
- Intégration des exigences du AI Act dans la démarche d'analyse de risques
- Cohérence avec la gestion des risques IA au sens de l'ISO/IEC 23894
- Alignement avec les obligations de documentation, de supervision humaine et de gestion des incidents
Hallucinations : production d'informations erronées ou trompeuses / risques décisionnels, juridiques et réputationnels / nécessité de mécanismes de validation et de reprise de contrôle humain
Risques liés aux modes de déploiement : Cloud / API / On-premise
Autres risquesJour 3
Rôles et responsabilités : RSSI, DPO, Chief AI Officer, AI Ethics Officer
Comitologie : comité IA, instances de gouvernance
Alignement avec la stratégie d'entreprise et la stratégie SSI
Politique de sécurité spécifique à l'IA (PSSI-IA)
Articulation avec les autres politiques (données, cloud, etc.)
Principes directeurs et exigences minimales
Charte éthique de l'IA (Rôle stratégique et décisionnel)
Procédures opérationnelles : validation, déploiement, retrait
Guide des bonnes pratiques utilisateurs
Registre des systèmes d'IA
Questionnaire cadrage projet (en amont de l'AR)Travaux pratiques :Cas pratique avec rédaction d'une politique ou charte (sécu) IA
Supervision humaine des décisions
Documentation et transparence
Mécanismes de contrôle et de surveillance continue
Éthique comme outil d'arbitrage et de gestion des risques
Arbitrer entre : performance / explicabilité ou automatisation / supervision
Cas réels d'arbitrage
Tableaux de bord sécurité IA
Reporting à la direction et aux instances de gouvernance
- Security by design pour l'IA
- Privacy by design et by default
- Points de contrôle sécurité dans le cycle projet
- Rôle du RSSI dans les projets IA
Évaluation des projets IA :
- Analyse de risques projet
- Évaluation d'impact (AIPD / FRIA)
- Critères de validation sécurité
- Comité de validation des projets IA : les critères concrets - pourquoi dire non ?
Objectifs et enjeux de la sensibilisation :
- Publics cibles : collaborateur, dirigeants, métiers, IT, développeurs
- Messages clés par population
- Risques liés aux usages non maîtrisés (Shadow AI)
- Exemple : le protocole « Think First, Verify Always »
- Dilemmes éthiques concrets
Modalités de sensibilisation :
- Formats : e-learning, ateliers, serious games, communications
- Cas pratiques et mises en situation
- Campagnes de sensibilisation aux risques IA (prompt injection, fuites de données)
- Évaluation de l'efficacité des actions
Formation et compétences :
- Montée en compétences des équipes sécurité sur l'IA
- Formation des développeurs à la sécurité de l'IA
- Autres besoins de formations
Clauses contractuelles essentielles
Transfert et partage de responsabilité
Gestion de la relation fournisseur
Points d'attention
Comparaison avec : incident NIS2 / violation de données RGPD / incident DORA
Articulation des obligations de notification : autorités compétentes / délais / périmètres
Spécificité du besoin de redondance des systèmes d'IAJour 4
Introduction à l'Intelligence Artificielle
Définitions et périmètre : IA, Machine Learning, Deep Learning, IA générative, agentiqueBrève histoire de l'IA : des systèmes experts aux LLM
L'écosystème actuel : acteurs, usages, tendances, perspectives
Usage de l'IA par les attaquants (très succinctement)
Fonctionnement des systèmes d'IA
Cycle de vie d'un système d'IALes données au cœur de l'IA : jeux d'entraînement, biais, qualité (enjeux éthiques et juridiques)
Les grands types d'apprentissage
Focus sur les modèles de langage (LLM) : tokenisation, embeddings, attention
Modes de déploiement : on-premise, cloud, API, edge
Du modèle de fondation à la spécialisation : modèles pré-entraînés, fine-tuning, RAG
Chaîne d'approvisionnement de l'IA : AI software bill of materials, acteurs de la donnée, capacité de calcul
Interconnexion avec un système d'IA : serveur MCP
Cartographie des usages de l'IA en entreprise
Cas d'usage par domaine métier / secteur d'activitéIA interne vs IA exposée aux clients
Shadow AI : risques et détection
Inventaire des systèmes d'IA : lien explicite avec les obligations d'inventaire (AI Act, gouvernance IA)
Objectifs et enjeux de sécurité de l'IA
ConfidentialitéIntégrité
Disponibilité
Confiance
Vocabulaire et concepts clés
Sûreté de fonctionnement (biais, performance) vs sécurité (cyber)Définition des concepts d'explicabilité, d'opacité, de déterminisme
Jailbreak, prompt injection etc.Travaux pratiques :Jailbreak
Structure de gouvernance étatique de l'IA
Articulation et périmètre de responsabilités des entités de régulationAI safety institute
Stratégie nationale de l'IA (3 phases)
Gouvernance nationale du RIA (= AI Act)
Règlement européen sur l'Intelligence Artificielle (AI Act)
Genèse, objectifs et calendrier d'applicationClassification des systèmes d'IA par niveau de risque
Obligations par catégorie : systèmes interdits, haut risque, risque limité, risque minimal - logique par les risques
Exigences pour les systèmes à haut risque : données, documentation, supervision humaine
Obligations spécifiques aux modèles d'IA à usage général (GPAI)
Gouvernance européenne
Sanctions et mise en conformité
Positionnement du SIA dans l'écosystème juridique
Notion clé : la règle applicable dépend du rôle (fournisseur / déployeur), du niveau de risque, du contexte sectoriel
Articulation avec les autres réglementations
AI Act et RGPD : protection des données personnelles dans l'IAAI Act et NIS2 : systèmes d'IA critiques
AI Act et règlements sectoriels (focus DORA - résilience opérationnelle/numérique)
Articulation de l'IA avec CSA, CRA (schéma de certification, surveillance de produit, présomption de conformité)
Articulation des notifications d'incident
Comparaison internationale
Évolution Omnibus ?
Normes et référentiels internationaux
ISO/IEC 42001 : Système de management de l'IAISO/IEC 23894 : Gestion des risques de l'IA
ISO/IEC 38507 : Gouvernance de l'IA
ISO/IEC 25059 : Qualité des systèmes d'IA
ISO/IEC 27090 : Mesures de sécurité pour l'IA
Articulation avec ISO 27001
Référentiels et guides sectoriels
ANSSIENISA : bonnes pratiques de sécurité de l'IA
NIST AI Risk Management Framework (AI RMF)
ISACA : AI Audit Framework
CSA AI Safety Initiative et Cloud Controls Matrix for AI
Responsabilités et qualification des acteurs
Fournisseur vs déployeurImpacts juridiques selon le niveau de risque du SIA
Responsabilités administrative, contractuelle et pénale (vue d'ensemble)
Chaîne d'approvisionnement IA : dépendances critiques, responsabilité en cas de défaillance
Interconnexions → propagation des risquesTravaux pratiques :Checklist juridique : questions clés à se poser face à un SIAJour 2
Exercice pratique d'évaluation des risques IA / étude de cas
État de la menace portant sur les systèmes d'IA
Reprendre publication ANSSI (février 2026)Typologie d'attaques
Empoisonnement / Extraction / ÉvasionFocus sur les attaques par injection de prompt
OWASP Top 10 for LLM : Utiliser ce référentiel pour sécuriser les applications basées sur des modèles de langage
MITRE ATLAS
Vulnérabilités courantes des systèmes d'IA
Scénarios de risques génériques les plus majeurs
Méthodologie d'analyse de risques applicable
ISO 27005 / EBIOS RMNormes du CEN/CENELEC
Adaptation des méthodes classiques aux spécificités de l'IA :
- Prise en compte du cycle de vie des systèmes d'IA
- Intégration des risques liés aux données, aux modèles et à la chaîne d'approvisionnement
- Articulation entre risques techniques, juridiques et éthiques
Articulation avec le cadre réglementaire :
- Intégration des exigences du AI Act dans la démarche d'analyse de risques
- Cohérence avec la gestion des risques IA au sens de l'ISO/IEC 23894
- Alignement avec les obligations de documentation, de supervision humaine et de gestion des incidents
Risques spécifiques aux systèmes d'IA : lecture technique, juridique et éthique
Risques liés aux modèles de langage (LLM) : Opacité des modèles : limites d'explicabilité / obligation de supervision humaine (AI Act) / enjeux de responsabilité en cas de décision contestéeHallucinations : production d'informations erronées ou trompeuses / risques décisionnels, juridiques et réputationnels / nécessité de mécanismes de validation et de reprise de contrôle humain
Risques liés aux modes de déploiement : Cloud / API / On-premise
Autres risquesJour 3
Stratégie et organisation
Positionnement de la sécurité de l'IA dans l'organisationRôles et responsabilités : RSSI, DPO, Chief AI Officer, AI Ethics Officer
Comitologie : comité IA, instances de gouvernance
Alignement avec la stratégie d'entreprise et la stratégie SSI
Politique de Sécurité des Systèmes d'Information et IA
Intégration de l'IA dans la PSSI existantePolitique de sécurité spécifique à l'IA (PSSI-IA)
Articulation avec les autres politiques (données, cloud, etc.)
Principes directeurs et exigences minimales
Corpus documentaire
Charte d'utilisation de l'IACharte éthique de l'IA (Rôle stratégique et décisionnel)
Procédures opérationnelles : validation, déploiement, retrait
Guide des bonnes pratiques utilisateurs
Registre des systèmes d'IA
Questionnaire cadrage projet (en amont de l'AR)Travaux pratiques :Cas pratique avec rédaction d'une politique ou charte (sécu) IA
Cadre de gouvernance IA de confiance
Principes d'une IA responsableSupervision humaine des décisions
Documentation et transparence
Mécanismes de contrôle et de surveillance continue
Éthique comme outil d'arbitrage et de gestion des risques
Arbitrer entre : performance / explicabilité ou automatisation / supervision
Cas réels d'arbitrage
Indicateurs et pilotage
Définition des KPI spécifiques à l'IATableaux de bord sécurité IA
Reporting à la direction et aux instances de gouvernance
Sécurité de l'IA et gestion de projet
Intégration de la sécurité dans les projets IA :- Security by design pour l'IA
- Privacy by design et by default
- Points de contrôle sécurité dans le cycle projet
- Rôle du RSSI dans les projets IA
Évaluation des projets IA :
- Analyse de risques projet
- Évaluation d'impact (AIPD / FRIA)
- Critères de validation sécurité
- Comité de validation des projets IA : les critères concrets - pourquoi dire non ?
Sécurité de l'IA et ressources humaines
Programme de sensibilisation à l'IAObjectifs et enjeux de la sensibilisation :
- Publics cibles : collaborateur, dirigeants, métiers, IT, développeurs
- Messages clés par population
- Risques liés aux usages non maîtrisés (Shadow AI)
- Exemple : le protocole « Think First, Verify Always »
- Dilemmes éthiques concrets
Modalités de sensibilisation :
- Formats : e-learning, ateliers, serious games, communications
- Cas pratiques et mises en situation
- Campagnes de sensibilisation aux risques IA (prompt injection, fuites de données)
- Évaluation de l'efficacité des actions
Formation et compétences :
- Montée en compétences des équipes sécurité sur l'IA
- Formation des développeurs à la sécurité de l'IA
- Autres besoins de formations
Sécurité de l'IA et relations contractuelles
Cartographie des prestataires IAClauses contractuelles essentielles
Transfert et partage de responsabilité
Gestion de la relation fournisseur
Points d'attention
Résilience des systèmes d'IA
Définition de l'« incident grave » au sens de l'AI ActComparaison avec : incident NIS2 / violation de données RGPD / incident DORA
Articulation des obligations de notification : autorités compétentes / délais / périmètres
Spécificité du besoin de redondance des systèmes d'IAJour 4
Cas pratique (global)
Rappel des concepts fondamentaux / Questions / Retex à chaud
Examen de certification
Public cible :
Cette formation s'adresse aux RSSI, RASSI-adjoint et leurs collaborateurs, correspondants locaux de cybersécurité, chefs de projet et ingénieurs IA puis consultants cybersécurité.
Prérequis :
Pour suivre ce cours, il est recommandé d'avoir une expérience au sein d’une direction des systèmes d’information (DSI), en tant qu’informaticien, ingénieur, consultant ou fonction assimilée, ou justifier d’une bonne culture générale des systèmes d’information. Et avoir des notions de base en sécurité des systèmes d’information (comprendre les principes de confidentialité, intégrité, disponibilité, gestion des risques)
J'évalue mes connaissances pour vérifier que je dispose des prérequis nécessaires pour profiter pleinement de cette formation en faisant le test de prérequis.
Les participants réalisent des exercices sur des environnements d’IA simulés, exploitent des vulnérabilités réelles et participent à un challenge Capture The Flag de sécurité IA.
Date de mise à jour du programme : 03/06/2026
Dates et lieux
Période souhaitée
Lieux
Type d'affichage