IA et cybermenaces des élus réclament un audit fédéral GAO

Une alerte de plus sur les dérives de l’intelligence artificielle… mais cette fois, elle vient du cœur même de l’appareil sécuritaire américain. À Washington, un élu du Congrès demande un audit complet sur la manière dont des acteurs malveillants instrumentalisent déjà l’IA – et sur l’impréparation des autorités face à cette menace.

Un élu américain met la pression sur le gendarme des comptes publics

Le représentant républicain August Pfluger, élu du Texas et figure influente sur les questions de sécurité nationale, a adressé une lettre officielle au Government Accountability Office (GAO), la cour des comptes fédérale américaine. Son message est sans ambiguïté : l’État fédéral ne mesure pas réellement l’ampleur des menaces liées à l’IA utilisée à des fins hostiles.

Selon Pfluger, « la nature et l’ampleur des défis associés à la lutte contre ces menaces basées sur l’IA ne sont pas bien comprises ». D’où sa demande : que le GAO mène un examen approfondi sur la manière dont les cybercriminels, groupes terroristes, puissances étrangères hostiles et autres acteurs malveillants exploitent déjà l’intelligence artificielle, ou s’y préparent.

En filigrane, une inquiétude claire : les capacités de l’IA progressent plus vite que les mécanismes de régulation, de surveillance et de défense, y compris aux États-Unis, pourtant en tête de la course technologique.

GAO, IA et sécurité nationale : un trio stratégique

Le choix du GAO n’a rien d’anodin. Cet organisme indépendant, souvent décrit comme le « bras d’audit » du Congrès, produit chaque année des centaines de rapports sur l’efficacité, le coût et les failles des politiques publiques américaines. Ses recommandations influencent directement les lois, les budgets et les priorités fédérales.

Sur l’intelligence artificielle, le GAO a déjà publié plusieurs analyses critiques, notamment sur :

- les risques de biais algorithmiques dans l’administration,

- la difficulté à garantir la transparence des systèmes d’IA,

- les enjeux de cybersécurité liés aux systèmes militaires automatisés.

Mais la demande de Pfluger vise un champ plus précis : les usages offensifs de l’IA par des acteurs malveillants, et la capacité des États-Unis à s’en protéger. Autrement dit, passer d’un débat éthique et réglementaire à une logique de contre-mesures, de renseignement et de défense active.

De la théorie à la menace concrète : comment l’IA est déjà instrumentalisée

Sur le terrain, la question n’est plus hypothétique. Les IA génératives, les modèles de langage, les systèmes de vision artificielle ou d’optimisation sont déjà intégrés dans l’arsenal des attaquants. Quelques exemples concrets, aujourd’hui bien documentés :

Cyberattaques augmentées par l’IA

Des rapports de Microsoft, Google ou Mandiant évoquent depuis 2023 des groupes APT (Advanced Persistent Threat) liés à la Russie, la Chine, l’Iran ou la Corée du Nord, testant des modèles d’IA pour :

- générer des e‑mails de phishing plus crédibles, adaptés à la langue et au contexte de la cible,

- rédiger du code malveillant ou corriger des scripts d’exploitation,

- automatiser la recherche de failles dans des systèmes complexes.

Selon le World Economic Forum, plus de 60 % des experts en cybersécurité estiment que l’IA va accroître significativement la fréquence et la sophistication des cyberattaques d’ici 2025.

Manipulation de l’information et deepfakes

La production de contenus trompeurs à grande échelle constitue l’un des usages les plus visibles :

- Des vidéos deepfake de responsables politiques sont déjà apparues aux États-Unis, en Europe et en Asie.

- Des campagnes de désinformation automatisées exploitent des modèles de langage pour générer des milliers de messages ciblés sur les réseaux sociaux.

À l’approche de la présidentielle américaine de 2024, la Federal Election Commission et la Federal Communications Commission ont déjà été saisies sur l’usage de l’IA dans les contenus politiques, tandis que plusieurs États américains travaillent sur des lois encadrant les deepfakes électoraux.

Prolifération et savoir-faire technique

Autre sujet explosif : la diffusion de connaissances sensibles via des modèles d’IA, notamment en matière de :

- fabrication d’explosifs improvisés,

- conception d’armes biologiques ou chimiques,

- attaques sur des infrastructures critiques.

Plusieurs laboratoires et entreprises, dont OpenAI et Anthropic, ont reconnu mener des tests de red teaming pour vérifier dans quelle mesure leurs modèles peuvent être détournés pour générer des instructions dangereuses. Les résultats, partiellement rendus publics, montrent que des garde-fous sont nécessaires mais difficiles à définir à grande échelle.

Une inquiétude partagée par les agences de sécurité

La démarche de Pfluger s’inscrit dans un climat de vigilance accrue. De la Maison Blanche aux agences de renseignement, l’IA est désormais perçue comme un multiplicateur de puissance pour les États hostiles et les groupes criminels.

- En octobre 2023, un décret présidentiel sur l’IA a déjà imposé certaines obligations aux grands modèles, notamment en matière de tests de sécurité.

- Le département de la Sécurité intérieure (DHS) a lancé une initiative dédiée pour analyser l’impact de l’IA sur le terrorisme, la criminalité transnationale et les flux migratoires.

- Le FBI alerte régulièrement sur l’usage de deepfakes dans des escroqueries financières et des opérations de chantage.

La demande d’enquête du GAO vise à réunir ces signaux épars dans un cadre d’analyse structuré, capable de dégager des priorités claires : quelles menaces sont les plus imminentes, quels secteurs sont les plus vulnérables, quels budgets et quelles capacités manquent le plus ?

Un angle politique assumé, sur fond de rivalité géopolitique

Cette initiative n’est pas uniquement technico-sécuritaire. Elle s’inscrit aussi dans un rapport de force politique et géopolitique.

August Pfluger, membre du Parti républicain, s’est souvent positionné sur les dossiers de sécurité intérieure, de Défense et de contrôle des frontières. Sa demande au GAO sert plusieurs objectifs :

- accentuer la pression sur l’exécutif pour accélérer la mise en place de garde-fous concrets autour de l’IA,

- alimenter le débat budgétaire au Congrès en mettant en avant l’argument de la vulnérabilité nationale,

- contraster la posture américaine avec celle de la Chine ou de la Russie, accusées de développer l’IA à des fins massives de surveillance, de guerre informationnelle et d’opérations cyber.

Dans ce contexte, l’IA n’est pas seulement un enjeu d’innovation, mais aussi un pivot de la compétition stratégique mondiale. Un rapport du GAO mettant en lumière des failles majeures pourrait être utilisé pour justifier une hausse significative des dépenses en cybersécurité, renseignement et technologies de défense basées sur l’IA.

Vers une nouvelle doctrine de défense face à l’IA malveillante ?

Au-delà de l’épisode institutionnel, la question posée à Washington dépasse largement les frontières américaines : comment structurer une doctrine de défense face à des menaces alimentées par l’IA, fluides, difficiles à attribuer et en constante évolution ?

Plusieurs axes se dessinent déjà au niveau international :

- Défense par l’IA : utiliser des systèmes d’IA pour détecter, analyser et contrer les attaques basées sur l’IA, que ce soit en cybersécurité, en lutte informationnelle ou en protection des infrastructures critiques.

- Normes et accords internationaux : discussions en cours au sein de l’ONU, de l’OCDE et du G7 sur l’encadrement des usages militaires ou offensifs de l’IA, avec l’idée de limiter certaines applications jugées trop déstabilisatrices.

- Contrôle des modèles et de la chaîne de valeur : débats sur la régulation des grands modèles de langage, sur les obligations de know your customer pour l’accès à des capacités de calcul massives, ou encore sur la mise sous contrôle des données d’entraînement.

Pour l’instant, ces pistes restent fragmentées. L’initiative de Pfluger, si elle aboutit à un rapport du GAO, pourrait contribuer à structurer une approche plus systémique, au moins du côté américain.

Une course contre la montre qui concerne aussi l’Europe

Les questions soulevées à Washington résonnent directement à Bruxelles, Paris ou Berlin. L’AI Act européen introduit une régulation détaillée des systèmes d’IA à risque, mais traite encore de manière partielle les usages offensifs par des acteurs non étatiques ou hostiles.

Face à :

- des attaques hybrides mêlant cyber, désinformation et pression sur les infrastructures,

- des campagnes de manipulation politique automatisées,

- des capacités croissantes de surveillance et de ciblage algorithmique,

les démocraties se retrouvent devant un dilemme : comment profiter des bénéfices d’une IA généralisée tout en gardant le contrôle sur ses usages les plus dangereux.

L’appel d’un élu texan au GAO dépasse donc largement le cadre d’un simple audit administratif. Il signale une prise de conscience : l’ère où l’IA était abordée surtout sous l’angle de l’innovation et de la productivité touche à sa fin. L’intelligence artificielle devient un enjeu central de sécurité nationale et de stabilité géopolitique.

Les prochains rapports du GAO, les arbitrages budgétaires à Washington, mais aussi les positionnements européens diront si les États parviennent à combler ce décalage entre la vitesse du progrès technologique et la lenteur des réponses institutionnelles. Dans cette course, chaque année de retard peut se traduire par un avantage durable pour ceux qui, à l’abri des régulations, misent déjà sur une IA conçue d’abord comme une arme.