Les RSSI et les délégués à la protection des données sont confrontés à un danger bien réel : comment protéger les données et la propriété intellectuelle d’une entreprise contre les risques de divulgation à des prestataires externes via ces plateformes d’IA générative ?
Au cours de cette dernière année, les espaces de travail ont été radicalement transformés par les nouvelles capacités de l’intelligence artificielle (IA). Une étude mondiale récente de McKinsey sur l’IA, indique que 65 % des personnes interrogées déclarent que leur organisation utilise régulièrement l’IA générative, soit près du double du pourcentage de l’enquête précédente.
Cette augmentation révèle un réel besoin au sein des organisations. Les assistants IA permettent ainsi de se simplifier le quotidien : qu’il s’agisse de rédiger des notes de réunion ou des emails, de développer du code, d’élaborer des stratégies marketing ou même de gérer les finances de l’entreprise. Ils peuvent également aider à développer des stratégies de conformité en assurant une veille active des changements dans les réglementations, en évaluant les pratiques de l’organisation et en identifiant les domaines à améliorer.
Les RSSI et les délégués à la protection des données sont confrontés à un danger bien réel : comment protéger les données et la propriété intellectuelle d’une entreprise contre les risques de divulgation à des prestataires externes via ces plateformes d’IA générative ?
La curiosité n’est pas toujours un vilain défaut
De nombreux dirigeants ont envisagé de bloquer complètement les outils d’IA générative sur leurs systèmes, mais cette approche risque d’entraver la capacité d’innovation de l’organisation, de créer une culture de méfiance vis-à-vis des employés ou même de conduire à un phénomène de « Shadow IA », c’est-à-dire à l’utilisation non approuvée d’applications d’IA opérant en marge des systèmes de l’entreprise.
Une telle approche semble d’ailleurs déjà obsolète. Nos recherches montrent, en effet, qu’au sein des organisations, les assistants IA sont déjà largement intégrés aux tâches quotidiennes et avec la diffusion généralisée de solutions comme Microsoft Copilot, ces outils sont promis à une adoption croissante en 2024.
Ainsi, au lieu de bloquer purement et simplement ces assistants, les RSSI peuvent déployer des politiques de protection en continu à l’aide d’outils intelligents pour la prévention des pertes de données (DLP) qui permettent d’utiliser les applications d’IA en toute sécurité. Ceux-ci assurent la non-utilisation des informations sensibles de l’entreprise dans les requêtes saisies de ces applications afin de protéger les données stratégiques et prévenir les accès non autorisés, les fuites et autres utilisations abusives.
Les RSSI peuvent également passer en revue les applications utilisées par les employés, en limitant l’accès à celles qui ne correspondent pas aux besoins de l’organisation ou présentent un risque.
Une fois qu’un assistant IA intéressant a été identifié pour son entreprise, le RSSI vérifie que son fournisseur présente tous les gages de sérieux requis et évalue sa politique de traitement des données.
Cela passe par quelques étapes :
● Pratiques en matière de traitement des données : que deviennent les données saisies par un employé ? Comprendre comment le fournisseur gère et protège les données est crucial pour en garantir la confidentialité et la sécurité. Une étude du Forum économique mondial a révélé que 95 % des incidents de cybersécurité découlent d’une erreur humaine. De même, le fait de confier des données sensibles à un assistant IA externe peut exacerber ce risque.
Par ailleurs, en alimentant ces outils en données, une organisation risque de contribuer, à son insu, au développement de modèles d’IA susceptibles de lui faire de l’ombre. Il se pourrait en effet qu’un scénario dans lequel des données confidentielles ou des renseignements sur ses opérations métier seraient mis à disposition d’entreprises rivales. Cela pose des risques importants pour les atouts concurrentiels de cette organisation et sa position sur le marché.
● Le modèle est-il utilisé pour des services supplémentaires en privé ou en public ? Est-il développé par le fournisseur lui-même ou basé sur une solution tierce ? De nombreuses applications d’assistants IA utilisées par les employés dépendent de services externes ou de sous-traitants. Il est facile d’utiliser une application sans savoir que son infrastructure repose sur une plateforme accessible au public.
Les RSSI ont une idée des coûts associés à ces technologies d’IA mais les options gratuites ou à bas prix doivent générer des revenus par d’autres voies. Un de ces moyens est de vendre des données ou des informations générées par l’utilisation de leur application, par exemple. Il est donc essentiel de lire très attentivement les conditions d’utilisation si l’on souhaite garantir la protection et la confidentialité de ses données sensibles.
● Qu’advient-il des résultats ? Sont-ils utilisés pour entraîner d’autres modèles ? De nombreux fournisseurs d’IA ne se contentent pas d’utiliser des données de saisie pour entraîner leurs modèles : ils exploitent également les résultats en sortie.
Cette boucle génère des cheminements de données de plus en plus complexes pouvant amener les applications à divulguer, de façon accidentelle, des informations sensibles de l’entreprise, ou encore à toucher aux problématiques de droits d’auteur et de propriété intellectuelle. Ceci peut grandement compliquer la planification de la protection des données dans une chaîne d’approvisionnement.
Une vigilance indispensable en interne
Dans l’attente d’orientations législatives plus claires sur l’IA, il incombe aux RSSI et aux délégués de la protection des données de développer une culture d’autorégulation et des pratiques éthiques en matière d’IA au sein de leurs organisations. Avec la prolifération des assistants IA, il faut agir sans attendre pour évaluer l’impact des outils d’IA sur le lieu de travail.
Chaque employé effectuera bientôt de nombreuses tâches quotidiennes en tandem avec ses assistants intelligents. Cela devrait inciter les entreprises à mettre en place des comités de gouvernance internes, non seulement pour analyser les outils et leurs applications, mais aussi pour discuter de l’éthique de l’IA, passer en revue leurs processus et faire un point sur leur stratégie avant une adoption généralisée et la publication de réglementations complètes.
Les employés de tous les secteurs, quels que soient leurs niveaux, peuvent bénéficier d’un de ces assistants IA appelés à « changer radicalement notre mode de vie, que ce soit en ligne ou hors ligne », comme les décrit Bill Gates.
Du point de vue des RSSI, la clé pour libérer tout le potentiel de ces outils consiste à miser sur une gouvernance responsable, à travers une formation adéquate des équipes mais également l’intégration d’un comité de gouvernance de l’IA, responsable de la stratégie, des mécanismes et des approches de traitement des données.
