Frédérique Segond : « Dopée par Internet, la guerre moderne passe par la manipulation de l'information. »

Nous le vivons aujourd’hui quotidiennement : la guerre évolue. On parle désormais de "cyberguerre", de guerre hybride, de guerre asymétrique, et de guerre cognitive. Le terme "guerre cognitive" a été introduit en 2017 par Vincent R. Stewart, directeur de la Defense Intelligence Agency, lorsqu’il expliquait que la guerre moderne était devenue une bataille cognitive. Pour lui, la guerre du XXI^e siècle consiste à manipuler l’espace décisionnel à travers une lutte pour l’information. 

Ce qui est nouveau avec la cyberguerre, et plus particulièrement avec la guerre cognitive, c’est qu’elle fait pleinement entrer les populations civiles dans la guerre. Alors qu’avant la guerre était une affaire de militaires, avec l’aspect informationnel dans le cyberespace, elle inclut désormais les populations civiles aussi bien en tant que victimes qu’en tant que soldats.

Nous le savons, l’intelligence artificielle révolutionne de nombreux domaines, et la cybersécurité ne fait pas exception. Grâce à l’IA, nous sommes capables de détecter des anomalies en temps réel, de prédire des attaques et d’automatiser des réponses face à des menaces toujours plus nombreuses. L’IA est donc devenue un outil précieux pour renforcer la sécurité des systèmes informatiques et nombreux sont les projets qui, aujourd’hui, allient cybersécurité et intelligence artificielle. C’est d’ailleurs l’objet de nombreux projets de recherche dans lesquels sont impliqués Inria et ses partenaires, au croisement de l’IA et de la cybersécurité.

Le revers de la médaille, c’est que l’IA est aussi utilisée par les cybercriminels pour automatiser et rendre leurs attaques encore plus sophistiquées et difficiles à détecter. 

Par ailleurs, l’utilisation de l’intelligence artificielle implique la collecte et le traitement massif de données personnelles, soulevant des questions cruciales en matière de protection de la vie privée.

C’est tout l’enjeu : faire de l’IA un levier de protection, sans que son utilisation ne devienne un nouveau facteur de vulnérabilité.

Alors que les attaques informatiques ont été longtemps pensées comme des problèmes purement techniques, une autre dimension jusque-là sous-estimée, mérite toute notre attention : la dimension humaine. 

L’IA permet aux cybercriminels de concevoir des attaques plus ciblées, plus rapides, et elle leur permet en outre de concevoir des attaques plus convaincantes en jouant sur la psychologie humaine, plus particulièrement en exploitant des biais cognitifs. 

Les biais cognitifs sont des tendances de pensée qui orientent nos jugements de manière prévisible, mais non conforme à la logique ou à la probabilité. Sans cesse, quotidiennement, ils entrent en jeu dans les décisions que nous prenons. Dans le contexte numérique, ils deviennent des failles psychologiques que les attaquants savent exploiter avec une précision redoutable. Le biais d'autorité (un message prétendant venir d’un supérieur hiérarchique), le biais d’urgence (“Faites vite !”, “Votre compte sera bloqué…”), le biais de rareté (“Dernière chance pour gagner…”) et le biais de familiarité (un email personnalisé qui paraît “proche”) en sont des exemples. 

Là encore, évidemment, les données sont au centre. Ces manipulations sont rendues possibles grâce aux données que nous laissons partout : sur les réseaux sociaux, dans les formulaires, dans nos clics. Autrement dit grâce à notre identité, notre trace numérique, les cyberattaquants peuvent concevoir des messages personnalisés. L’IA rend ces manipulations encore plus réalistes, automatiques et massives.

Cela soulève des enjeux majeurs. Non seulement nos systèmes informatiques sont menacés, mais nos données personnelles, notre attention et même nos comportements sont devenus des cibles. Ces derniers aspects sont au centre de la manipulation d’informations dans le cyberespace.

Il ne suffit plus de sécuriser les réseaux : il faut bien sûr repérer les faux contenus, détecter leur mode de diffusion mais il  faut également renforcer l’humain, lui donner les moyens de reconnaître les tentatives de manipulation, et d’adopter des réflexes critiques. Il s’agit donc de former à reconnaitre les pièges pour développer la résistance, au travers notamment de la formation aux biais cognitifs (pour apprendre à reconnaître les mécanismes que les attaques exploitent), de jeux de simulation ou phishing games (mettre les utilisateurs et utilisatrices en situation réelle pour développer de bons réflexes), ou encore de l’analyse de cas réels (se confronter à la réalité de la menace améliore la vigilance). 

L’avenir de la cybersécurité ne se joue pas uniquement dans les lignes de code, mais aussi dans nos esprits. La meilleure défense, c’est donc une alliance entre technologie, éthique, éducation et conscience humaine. Une solution passe par une collaboration étroite entre chercheurs et chercheuses, entreprises, gouvernements, et citoyennes et citoyens, ainsi qu’un cadre juridique clair et évolutif. 

Nous avons tout d’abord lancé, avec le ministère des Armées, le Campus cyber et le CNRS, un groupe de travail autour de la Lutte Informatique d’Influence, dans l’objectif de renforcer les liens entre acteurs civils, militaires, académiques et industriels.

Le sujet de la manipulation d'information est un sujet traité depuis longtemps par de nombreux projets d’Inria avec nos universités partenaires et avec le CNRS, que ce soit sur les aspects analyse ou génération de contenu, ou sur les aspects propagation et impact. 

C’est aussi pour prendre en compte la "dimension humaine" qu’Inria a pris comme priorité de sa politique scientifique, dans notre stratégie 2024-2028, l’ouverture aux SHS, en lien étroit avec nos partenaires. Nous avons ainsi récemment ouvert des postes en SHS pour travailler au sein de nos équipes-projets sur ce sujet. C’est une nouvelle étape pour nous et une des motivations, au-delà de l’impact de l’IA, est aussi de travailler avec toutes les armes sur la guerre informationnelle et la manipulation de l’information, évidemment avec nos partenaires.

Parce que nous sommes également convaincus que la résistance nécessite une sensibilisation qui peut passer par les jeux sérieux, nous avons développé, en lien étroit avec le ministère des Armées l’IntelLab, une plateforme d’immersion au cœur des enjeux du renseignement, de la lutte informatique d’influence afin, par exemple, d’aider à la résistance nationale.

Pour travailler sur ce sujet multiforme de la lutte contre la désinformation, il faut évidemment travailler en écosystème. C’est pour cela qu’au-delà des interactions avec le ministère des Armées, nous avons établi des relations avec des médias publics. Et un cadre structurant pour Inria est le partenariat stratégique que nous avons signé avec Viginum, un service à compétence nationale qui dépend du Premier Ministre, dont l’objectif est d’aider à la détection des manipulations d’informations provenant des pays étrangers. 

C’est sur la base de tous ces éléments que Bruno Sportisse a annoncé, lors du dernier comité des partenaires de l’Agence de programmes dans le numérique que porte Inria, la création d'un programme dédié à la lutte contre la manipulation d'informations au sein de l'Agence de programmes, auprès du SGPI. Le lancement d’un tel programme fait d’ailleurs explicitement partie de notre COMP 2024-2028 et nous serons attentifs à bien impliquer nos partenaires, les parties prenantes de ce sujet.