Comment les CISOs peuvent conduire une gouvernance efficace de l’IA
Le rôle croissant de l’IA dans les environnements d’entreprise a accru l’urgence pour les Chief Information Security Officers (CISOs) de conduire une gouvernance efficace de l’IA. Lorsqu’il s’agit de toute technologie émergente, la gouvernance est difficile, mais une gouvernance efficace l’est encore plus. La première réaction de la plupart des organisations est de répondre avec des politiques rigides. Rédiger un document de politique, diffuser un ensemble de restrictions et espérer que le risque soit contenu. Cependant, la gouvernance efficace ne fonctionne pas de cette manière. Elle doit être un système vivant qui façonne l’utilisation de l’IA au quotidien, guidant les organisations à travers un changement transformateur sécurisé sans ralentir le rythme de l’innovation.
Pour les CISOs, trouver cet équilibre entre sécurité et rapidité est essentiel à l’ère de l’IA. Cette technologie représente à la fois la plus grande opportunité et le plus grand risque auxquels les entreprises ont été confrontées depuis l’aube d’Internet. Agir trop rapidement sans garde-fous peut entraîner des fuites de données sensibles, la prolifération de l’IA non réglementée ou des lacunes réglementaires devenant des passifs. Agir trop lentement, et les concurrents prennent de l’avance avec des efficacités transformantes qu’il est trop difficile de concurrencer. Chaque chemin comporte des ramifications qui peuvent coûter leur emploi aux CISOs.
Ils ne peuvent donc pas diriger un « département de non » où les initiatives d’adoption de l’IA sont bloquées par la fonction de sécurité de l’organisation. Il est crucial de trouver un chemin vers l’affirmative, en cartographiant la gouvernance selon la tolérance au risque de l’organisation et les priorités commerciales, de sorte que la fonction de sécurité serve de véritable moteur de revenus. Au cours de cet article, nous partagerons trois composants qui peuvent aider les CISOs à effectuer ce changement et à conduire des programmes de gouvernance de l’IA qui permettent une adoption sécurisée à grande échelle.
1. Comprendre ce qui se passe sur le terrain
Lorsque ChatGPT est arrivé en novembre 2022, la plupart des CISOs que je connais se sont précipités pour publier des politiques strictes disant aux employés ce qu’ils ne pouvaient pas faire. Cela venait d’un bon sentiment, étant donné que la fuite de données sensibles était une préoccupation légitime. Cependant, bien que les politiques rédigées selon cette approche « documentaire » soient excellentes en théorie, elles fonctionnent rarement en pratique. En raison de la rapidité d’évolution de l’IA, la gouvernance de l’IA doit être conçue à travers une mentalité « orientée vers le monde réel » qui tient compte de ce qui se passe réellement sur le terrain au sein d’une organisation.
Cela nécessite des CISOs d’avoir une compréhension fondamentale de l’IA : la technologie elle-même, où elle est intégrée, quelles plateformes SaaS l’activent et comment les employés l’utilisent pour accomplir leur travail. Des inventaires d’IA, des registres de modèles et des comités interfonctionnels peuvent sembler des mots à la mode, mais ils sont des mécanismes pratiques qui peuvent aider les leaders de la sécurité à développer cette fluidité en matière d’IA. Par exemple, un AI Bill of Materials (AIBOM) offre une visibilité sur les composants, les ensembles de données et les services externes qui alimenteront un modèle d’IA. Tout comme un software bill of materials (SBOM) clarifie les dépendances tierces, un AIBOM garantit que les dirigeants savent quelles données sont utilisées, d’où elles proviennent et quels risques elles introduisent.
Les registres de modèles jouent un rôle similaire pour les systèmes d’IA déjà en usage. Ils suivent quels modèles sont déployés, quand ils ont été mis à jour pour la dernière fois et comment ils fonctionnent pour prévenir la « prolifération de boîtes noires » et informer les décisions concernant le patchage, la mise hors service ou l’extension de l’utilisation. Les comités d’IA veillent à ce que la supervision ne repose pas uniquement sur la sécurité ou les TI. Souvent présidés par un responsable de l’IA ou un responsable des risques désigné, ces groupes incluent des représentants des domaines juridique, de la conformité, des ressources humaines et des unités commerciales, transformant la gouvernance d’une directive isolée en une responsabilité partagée qui relie les préoccupations en matière de sécurité aux résultats commerciaux.
2. Aligner les politiques sur la vitesse de l’organisation
Sans une politique orientée vers le monde réel, les leaders de la sécurité tombent souvent dans le piège de codifier des contrôles qu’ils ne peuvent pas réellement livrer. J’ai vu cela de mes propres yeux à travers un CISO collègue. Sachant que les employés expérimentaient déjà l’IA, il a travaillé pour permettre l’adoption responsable de plusieurs applications GenAI au sein de sa main-d’œuvre. Cependant, lorsque un nouveau CIO a rejoint l’organisation et a estimé qu’il y avait trop d’applications GenAI en cours d’utilisation, le CISO a été chargé d’interdire toutes les GenAI jusqu’à ce qu’une plateforme unique soit sélectionnée au niveau de l’entreprise. Un an plus tard, cette plateforme unique n’avait toujours pas été mise en œuvre, et les employés utilisaient des outils GenAI non approuvés, exposant l’organisation à des vulnérabilités d’IA non réglementée. Le CISO était coincé à essayer d’appliquer une interdiction générale qu’il ne pouvait pas exécuter, subissant des critiques sans avoir l’autorité pour mettre en œuvre une solution réalisable.
Ce genre de scénario se produit lorsque les politiques sont rédigées plus rapidement qu’elles ne peuvent être exécutées, ou lorsqu’elles échouent à anticiper le rythme de l’adoption organisationnelle. Les politiques qui semblent décisives sur le papier peuvent rapidement devenir obsolètes si elles n’évoluent pas avec les changements de direction, la fonctionnalité intégrée de l’IA et les manières organiques dont les employés intègrent de nouveaux outils dans leur travail. La gouvernance doit être suffisamment flexible pour s’adapter, sinon elle risque de laisser les équipes de sécurité à appliquer l’impossible.
La voie à suivre consiste à concevoir des politiques en tant que documents vivants. Elles doivent évoluer avec l’entreprise, informées par des cas d’utilisation réels et alignées sur des résultats mesurables. La gouvernance ne peut pas non plus s’arrêter à la politique ; elle doit se traduire par des normes, des procédures et des références qui guident le travail quotidien. Ce n’est qu’alors que les employés sauront à quoi ressemble réellement une adoption sécurisée de l’IA en pratique.
3. Rendre la gouvernance de l’IA durable
Même avec de fortes politiques et des feuilles de route en place, les employés continueront d’utiliser l’IA de manière non formellement approuvée. L’objectif des leaders de la sécurité ne devrait pas être d’interdire l’IA, mais de rendre son utilisation responsable la plus facile et la plus attrayante. Cela signifie d’équiper les employés avec des outils d’IA de qualité entreprise, qu’ils soient achetés ou développés en interne, afin qu’ils n’aient pas besoin de recourir à des alternatives non sécurisées. De plus, cela signifie mettre en avant et renforcer les comportements positifs afin que les employés voient la valeur de suivre les garde-fous plutôt que de les contourner.
Une gouvernance durable découle également de l’ Utilisation de l’IA et de la Protection de l’IA, deux piliers du SANS Institute’s Secure AI Blueprint. Pour gouverner l’IA de manière efficace, les CISOs devraient habiliter leurs équipes SOC à utiliser efficacement l’IA pour la défense cybernétique – en automatisant la réduction du bruit et l’enrichissement, en validant les détections contre les renseignements sur les menaces, et en s’assurant que les analystes restent impliqués pour l’escalade et la réponse aux incidents.
Ils devraient également s’assurer que les bons contrôles sont en place pour protéger les systèmes d’IA contre les menaces adversariales, comme le décrit le SANS Critical AI Security Guidelines.
En savoir plus à l’Initiative de Cyber Défense SANS 2025
Ce mois de décembre, SANS proposera le cours LDR514 : Planification stratégique de la sécurité, politique et leadership à l’Initiative de Cyber Défense SANS 2025 à Washington, D.C. Ce cours est conçu pour les dirigeants qui souhaitent aller au-delà des conseils génériques en matière de gouvernance et apprendre à construire des programmes de sécurité axés sur les affaires qui guident les organisations vers une adoption sécurisée de l’IA. Il couvrira comment créer des politiques actionnables, aligner la gouvernance avec la stratégie commerciale, et intégrer la sécurité dans la culture afin de diriger votre entreprise à travers l’ère de l’IA en toute sécurité.
Si vous êtes prêt à transformer la gouvernance de l’IA en un moteur commercial, inscrivez-vous ici pour l’Initiative de Cyber Défense SANS 2025.
