Le Shadow AI, c’est la nouvelle stack parallèle des entreprises : prompts, plugins et générateurs de code qui s’invitent dans le travail quotidien sans passer par la case « sécurité » ni la case « approbation de la DSI ». Résultat, la gouvernance « sur le papier » se fait dépasser par l’usage réel. Il faut donc des garde-fous pragmatiques, mais lesquels ? Eclairage…
Les outils d’intelligence artificielle (IA) ont été rapidement adoptés sur les lieux de travail, transformant durablement l’exécution des tâches quotidiennes et les manières de travailler. Des équipes marketing conceptualisant leurs campagnes avec l’aide de ChatGPT aux ingénieurs logiciels expérimentant avec des générateurs de code, l’IA s’est discrètement immiscée dans tous les aspects des activités de l’entreprise. Le problème ? Une grande partie de l’intégration de l’IA se fait dans l’ombre, sans aucune supervision ni cadre de réglementation adéquat.
En conséquence, le Shadow AI (ou IA fantôme) est un nouveau point faible en matière de sécurité. Les cas d’utilisation non gérée et non autorisée de l’IA continuent de se multiplier, et ce sera le cas jusqu’à ce que les organisations repensent en profondeur leur approche en matière de politique d’IA.
Une récente étude révèle que la majorité des grandes entreprises ont mis en place une politique en matière d’IA, avec 91 % des organisations employant 50 personnes ou plus déclarant avoir mis en place une politique officielle. Cependant, la simple mise en place d’une telle politique ne garantit pas son efficacité. Le défi réside dans la création de règles applicables qui répondent aux besoins de l’entreprise et favorisent l’innovation, sans pour autant freiner le progrès.
Pour les DSI, la solution ne consiste pas à interdire purement et simplement les outils d’IA, mais à mettre en place des garde-fous adaptables permettant d’atteindre un équilibre entre innovation et gestion des risques. Il y a urgence : 93 % des organisations ont connu au moins un incident lié à l’utilisation non encadrée de l’IA, et 36 % en ont signalé plusieurs. Ces chiffres révèlent un décalage flagrant entre la théorie (les politiques officielles des entreprises en matière d’IA) et la pratique (la manière dont les employés utilisent les outils d’IA dans leur travail au quotidien).
Mais alors, comment les organisations peuvent-elles lutter contre le Shadow AI ?
Afin d’anticiper les risques liés à l’IA, les organisations ont besoin de politiques qui encouragent à une utilisation raisonnable de cette dernière. Mais elles ne peuvent pas y parvenir avec des modèles de gouvernance obsolètes et des outils qui ne sont pas spécialement conçus pour détecter et surveiller l’utilisation de l’IA dans l’ensemble de leur entreprise. Les étapes initiales pour y parvenir sont les suivantes :
1 – Identifier le cadre approprié
Les organisations n’ont pas à prendre des décisions de manière isolée. Il existe déjà un certain nombre de cadres, tels que ceux de l’Organisation de coopération et de développement économiques (OCDE), de l’ISO/IEC, ainsi que des réglementations de l’UE qui peuvent les aider à entamer le processus de création d’un cadre responsable pour l’adoption de l’IA.
2 – Investir dans des outils de visibilité
Lorsqu’une entreprise établit sa feuille de route concernant la gestion des risques liés à l’IA, il est essentiel que l’équipe chargée de la sécurité commence à évaluer l’utilisation réelle de l’IA au sein de l’organisation. Cela implique d’investir dans des outils de visibilité capables d’examiner les modèles d’accès et les comportements afin de détecter les différents cas d’usage de l’IA générative dans l’organisation.
3 – Mettre en place un comité dédié
Une fois ces informations en main, le RSSI doit envisager de mettre en place un conseil sur l’IA composé de parties prenantes de toute l’organisation, à plus forte raison des services informatiques, de sécurité, juridiques et de la direction, afin de discuter des risques encourus, des questions de conformité et des avantages découlant des outils autorisés et non autorisés utilisés dans leur environnement professionnel. Ce comité peut commencer à élaborer des politiques qui répondent aux besoins de l’entreprise tout en gérant les risques.
Par exemple, le conseil peut remarquer qu’un outil non autorisé commence à être couramment utilisé par les employés, sans que sa sûreté ne soit garantie, alors qu’il en existe une alternative plus sûre. Une politique peut être mise en place pour interdire explicitement l’outil dangereux, mais suggérer l’utilisation de l’autre. Souvent, ces politiques doivent s’accompagner d’investissements non seulement dans les contrôles de sécurité, mais aussi dans ces outils d’IA alternatifs éprouvés. Le conseil peut également mettre en place un processus pour permettre aux employés de soumettre de nouveaux outils d’IA pour examen et approbation à mesure que des innovations apparaissent sont mises sur le marché.
4 – Impliquer et former les employés
L’implication et la formation des employés joueront un rôle crucial pour obtenir leur adhésion et mettre l’IA fantôme à distance. Une fois de meilleures politiques établies, il faut former les employés sur les subtilités d’une utilisation responsable de l’IA. Cette formation devra aborder les raisons d’être de ces réglementations et les risques liés au traitement des données. Elle permettra aux employés de devenir des acteurs proactifs de l’innovation sécurisée.
Le Shadow AI n’est pas près de disparaître. À mesure que les outils d’IA générative prennent de l’importance dans les flux de travail et les habitudes des employés, l’exposition aux risques n’en devient que plus importante. Les dirigeants doivent décider s’ils considèrent l’IA fantôme comme une menace échappant à leur contrôle, ou comme une occasion de repenser leur gouvernance à l’ère de l’IA. Les organisations qui en sortiront gagnantes sont celles qui sauront adopter les innovations tout en mettant en place des garde-fous clairs.
_____________________________
Par Yves Wattel, Vice Président des ventes pour l’Europe du Sud et l’Europe Centrale chez Delinea
puis