Dans un contexte où l’IA se démocratise, la résilience des données constitue une défense essentielle contre les menaces imprévues. Les entreprises doivent adopter une approche globale, alliant transparence, sauvegarde et réaction rapide face aux perturbations. Décryptage…

Si la célèbre phrase « Les données sont le nouveau pétrole » a été prononcée il y a environ vingt ans par Clive Humby, l’intelligence artificielle (IA) représente aujourd’hui l’arrivée d’un nouveau moteur à combustion. « L’ère de l’IA » que nous connaissons, avec une prédominance incontestable du sujet, n’est que le chapitre le plus récent d’une longue histoire : celle de la transformation numérique.

On comprend facilement pourquoi l’ensemble des secteurs d’activité s’est pris d’engouement pour l’IA, en raison de son potentiel à la fois immense, passionnant et révolutionnaire. Cependant, les entreprises qui se lancent dans l’IA doivent impérativement s’assurer qu’elles ont mis en place des processus venant soutenir la résilience de leurs données et s’assurer que celles-ci soient disponibles, exactes, protégées et pertinentes pour que la continuité d’activité soit effective en toutes circonstances. Car c’est en prenant soin de ses données qu’on prend réellement soin de son entreprise.

Déjouer le shadow IT

En ce qui concerne des éléments aussi omniprésents et changeant que les données d’une entreprise, il est conseillé d’anticiper des formations et des contrôles dès le début des projets, pour éviter à quiconque de devoir résoudre des problématiques au dernier moment, une fois le mal fait. Selon une étude de McKinsey sur l’IA, 65 % des personnes interrogées ont déclaré que leur entreprise utilisait régulièrement l’IA générative (soit deux fois plus qu’il y a dix mois). Le résultat le plus marquant est que près de la moitié des répondants reconnaissent une tendance à « fortement personnaliser » les modèles existants, voire à développer eux-mêmes leurs propres modèles.

Ce constat est typique de la nouvelle vague de « shadow IT » selon laquelle des logiciels ou des systèmes sont utilisés sans autorisation ou par des inconnus au sein d’une. Suivre les outils utilisés par chaque équipe métier est déjà difficile en soit, au sein d’une grande entreprise. A cela s’ajoute le risque que certains services ou individus, en charge de construire ou d’adapter de grands modèles de langage (LLM), complexifient à leur tour la gestion et le suivi des mouvements de données et des risques dans l’ensemble de l’entreprise. Exercer un contrôle total est quasiment impossible en réalité ; mettre en place des processus et organiser des formations autour du data stewardship (intendance des données), de la data privacy (confidentialité des données) et de la propriété intellectuelle sont autant de mesures qui peuvent permettre à l’entreprise d’avoir une défense plus solide en cas de problème.

Les risques doivent être gérés

Il n’est pas pour autant nécessaire de surveiller et d’encadrer complètement le progrès. En effet, il est possible pour les entreprises et leurs services de tirer énormément de valeur de cet outil formidable qu’est l’IA. Parce qu’elle s’intègre rapidement à la pile technologique, il faut vérifier qu’elle respecte bien les principes de gouvernance et de protection des données de l’entreprise. Pour la plupart des outils d’IA, le défi consiste à atténuer le risque opérationnel des données qui transitent par eux, en prenant en compte trois facteurs de risque spécifiques : la sécurité (que se passe-t-il si un tiers accède aux données ou les dérobe ?), la disponibilité (que se passe-t-il en cas de perte d’accès aux données, même temporairement ?) et l’exactitude (que se passe-t-il si les données à partir desquelles nous travaillons sont erronées ?).

A ce stade, la résilience des données devient indispensable. Car face à l’intégration des outils d’IA au sein de la pile technologique, il faut que le « paysage des données » bénéficie d’une bonne visibilité, gouvernance et protection dans son ensemble. Il est bon, pour cela, de reprendre la triade « CIA », pour Confidentialité, Intégrité et Disponibilité des données. Utiliser les modèles d’IA au sein d’une entreprise, de façon endémique ou incontrôlée, pourrait créer des lacunes. La plupart des services placent déjà la résilience des données comme une priorité, mais il faut également prendre en compte les LLM et autres outils d’IA dans cette démarche. Pour cela, il faut identifier les données les plus critiques et savoir où elles se trouvent. Que l’on dispose d’une bonne gouvernance ou d’une bonne résilience des données, l’utilisation incontrôlée de l’IA pourrait causer de sérieux problèmes à l’entreprise concernée sans la mise en place d’une formation adéquate. Pire encore : elle pourrait même ne pas en avoir connaissance.

Renforcer la résilience des données sur le long terme

Le défi d’assurer la résilience des données est de taille : comme cela concerne l’entreprise entière, tout le monde doit faire preuve de responsabilité. Comme tout évolue très vite, c’est aussi une tâche qui doit se maintenir dans le temps. La croissance de l’IA n’est qu’un exemple parmi les autres éléments auxquels il est nécessaire de réagir et de s’adapter. Par ailleurs, la résilience des données est une mission qui englobe la gestion des identités, la sécurité des appareils et des réseaux, ainsi que les principes de protection des données tels que la sauvegarde et la restauration. Il s’agit d’un vaste projet de réduction des risques qui nécessite deux éléments essentiels pour être efficace : la visibilité – comme mentionné plus haut – et l’adhésion de la direction. Maintenir la résilience des données doit se faire dès la salle du conseil d’administration, pour garantir le succès des projets, l’existence de fonds suffisant et l’absence d’écarts de protection et de disponibilité. Ce problème concerne tout le monde, personne n’est exempté.

Si la tâche semble lourde, il ne faut pas se laisser décourager avant même d’avoir commencé. On ne peut pas être sur tous les fronts en même temps, et l’essentiel est de faire au mieux, plutôt que rien du tout. Surtout, il est conseillé de ne pas attendre trop longtemps, sous peine que les LLM se multiplient dans toute l’entreprise et complexifient la situation. Il faut s’attendre à ce que beaucoup d’entreprises affrontent les mêmes problèmes que ceux liés à leur migration vers le cloud il y a quelques années, par exemple de se lancer à corps perdu dans les nouvelles technologies sans avoir mieux anticipé les choses, et devoir faire marche arrière.

Réaliser des exercices pour tester sa résilience est une bonne idée. Lors des tests, il faut s’assurer de prévoir des scénarios réalistes pour les pires éventualités ; autant que possible, il ne faut, par exemple, pas compter sur le responsable de la gestion des risques (qui a tout autant le droit de prendre des vacances que n’importe quel autre salarié). Enfin, il faut prévoir un plan B, un plan C et un plan D. Ainsi, en effectuant ces tests, il sera plus facile d’évaluer son niveau de préparation – même si le plus important reste de se lancer.
____________________________

Par Rick Vanover, Vice President of Product Strategy, Veeam

 

À lire également :

Comment la maîtrise de la résilience des données protège les entreprises des menaces liées à l’IA

La cyber résilience n’est pas (seulement) de la cyber sécurité

Renforcer la cyber résilience : un impératif pour les services publics à l’ère des cybermenaces croissantes

Redéfinir la résilience et l’adaptabilité des entreprises grâce au cloud computing

Satisfaire les exigences de l’IA générative par une gestion des données efficace