Clouds des États-Unis, IA des pays non européens. L’Allemagne dépend initialement des importations technologiques. Le patron de BSI Claudia Plattner exige plus de contrôle et de solutions innovantes pour sécuriser la souveraineté numérique.
Selon le Federal Office of Information Technology (BSI), l’Allemagne ne surmontera bientôt pas sa dépendance à l’égard des solutions cloud, des modèles d’IA et d’autres produits technologiques de l’étranger. Étant donné que l’État ne peut pas utiliser ses systèmes numériques et ses données avant un nouvel avis sans contribution de pays non européens, il est à court terme d’incorporer autant de mécanismes de contrôle que possible, explique le président de BSI Claudia Plattner.
« En ce qui concerne la souveraineté numérique, c’est-à-dire l’utilisation de fabricants et de fournisseurs de services européens ou allemands – également pour les satellites ou les applications d’IA – vous devez vous rendre honnête », explique Plattner. Les progrès sont visibles ici. Néanmoins, il est clair « que certaines des grandes entreprises, en particulier des États-Unis, ont déjà dix ans en avance sur les investissements pertinents ».
Cela signifie pour les autorités et les entreprises en Allemagne: « Nous avons des dépendances technologiques dans de nombreux endroits. » Il est irréaliste de croire « que nous pourrons tout faire nous-mêmes dans un court délai », a déclaré Plattner, qui est à la tête du bureau fédéral depuis deux bonnes années.
Le BSI est le bureau central de l’État en Allemagne pour des questions de sécurité informatique. Il appartient au domaine des affaires du ministère fédéral de l’Intérieur. Le Bureau fédéral, dont le siège est à Bonn, soutient les autorités du gouvernement fédéral à obtenir leurs systèmes informatiques, à avertir les risques et à élaborer des normes de sécurité qui sont également pertinentes pour les entreprises. Pour les entreprises des infrastructures critiques, cela comprend l’énergie, la santé, les télécommunications et les transports – certaines exigences BSI sont même requises par la loi.
Coopération avec Google
Selon le boss BSI, une stratégie est requise du côté des autorités, selon laquelle il est décidé quelles technologies sont achetées à l’extérieur « et comment nous gagnons un certain contrôle sur celle-ci ». Une telle construction est également la coopération BSI avec Google, qui a été fermée au premier trimestre de cette année.
Google Cloud et le BSI ont signé un accord en février. L’objectif est de soutenir le développement et la fourniture de solutions de cloud sûres pour les autorités au niveau fédéral, étatique et local. « Un objectif particulier de l’accord est d’accorder la souveraineté des données », a déclaré un message.
La critique de Harry de l’accord est venue de la Société pour l’informatique en mars. Elle a expliqué qu’il était « irresponsable que le gouvernement américain reçoive un potentiel d’extorsion supplémentaire – en outre d’une autorité allemande responsable de la sécurité informatique – gratuitement ». En raison de la situation juridique aux États-Unis, Google n’est pas en mesure d’offrir un service confiant. Le « Cloud Act » réglemente l’accès des autorités américaines aux données stockées par les sociétés américaines, même si ces données sont en dehors des États-Unis, par exemple sur des serveurs en Europe.
Mises à jour oui, Commandes de contrôle non contrôlées Non
Chaque application, chaque smartphone et chaque système d’exploitation envoie de nombreuses données, telles que des données de diagnostic, explique Plattner. Lors de la coopération avec Google, on veut donc s’assurer qu’il n’y a pas de sortie de données incontrôlé « .
Dans le même temps, il s’agit de vérifier ce qui arrive. « Parce qu’en théorie, il serait possible de mettre tous les nuages, tous les panneaux solaires ou tous les véhicules électriques d’un fabricant en un seul coup. » Cependant, comme il doit y avoir un accès aux mises à jour, la question de contrôle n’est pas triviale. Le BSI s’occupe donc de ce sujet intensivement.
La loi sur le cloud américain est l’une des différentes lois aux États-Unis, qui a accordé de nombreuses options d’accès à l’État, place Plattner. Vous pouvez trouver quelque chose comme ça en Chine. Du point de vue du patron du BSI, la réponse à la question du contrôle ne devrait pas être politique, mais technologiquement. « Il s’agit de garantir que l’accès n’est pas techniquement possible », souligne-t-elle. En particulier, il s’agit du cryptage et de la question de savoir si l’utilisateur a une souveraineté sur ces clés.
Le fournisseur de cloud allemand Ionos a reçu une commande de l’administration fédérale pour construire une solution cloud informatique particulièrement strictement sécurisée au printemps 2024. Selon la société, le « Cloud Private Enterprise », certifié par le BSI, doit être exploité dans les centres de données du Bund Center Technology Information. La chose particulière à propos de la solution de la filiale d’Internet United est que cette plate-forme n’est pas connectée à Internet public.
Nouvelles règles de l’UE pour les modèles d’IA
Pour Chatgpt, Gemini et d’autres modèles d’IA, les règles sont dans l’UE depuis le 2 août, qui sont destinées à rendre l’intelligence artificielle plus transparente et plus sûre. Mais qui en Allemagne est responsable du fait que les modèles d’IA ne courent aucun risque – par exemple parce qu’ils sont involontairement causés par eux ou qu’ils peuvent être manipulés par des pirates?
Jusqu’à présent, il n’a pas encore été enfin clarifié quel rôle l’agence du réseau fédéral et le BSI joueront ici. Plattner est convaincu: « En tant que BSI, nous sommes l’autorité, qui est responsable de la cybersécurité – et avec cela, nous devons également assumer la responsabilité en termes d’intelligence artificielle. » Les réglementations nécessaires à la distribution de ces tâches sont actuellement rédigées par le gouvernement fédéral.
Le facteur de temps ici est extrêmement important compte tenu du rythme avec lequel l’IA se développe actuellement, prévient le boss BSI. Les questions centrales sont, par exemple: comment empêcher rapidement les injections? Cela signifie que l’intersection ciblée des entrées manipulées dans les systèmes d’IA est censée contrôler votre comportement. « Et comment puis-je empêcher une IA d’être utilisée à des fins mauvaises? »
Le chef du bureau fédéral attache une grande importance au fait que les règles d’utilisation de l’IA sûre ne doivent pas bloquer, mais « accompagnent les innovations ». Pendant ce temps, les entreprises ne peuvent que leur informer de toute urgence de ne pas ajouter de données pertinentes et «d’obtenir un compte d’entreprise raisonnable» avec la possibilité de cesser les fonctions de confidentialité afin que le «Shadow Ki» n’atteigne pas trop loin.