La montée en puissance de l’IA non supervisée : un besoin urgent de gouvernance
La génération d’IA (GenAI) est désormais profondément intégrée dans le fonctionnement des entreprises, souvent sans que les responsables en aient conscience. Les équipes de vente l’utilisent pour rédiger des e-mails, les ingénieurs la mettent à profit pour générer et tester du code, et les spécialistes du marketing s’appuient sur elle pour la rédaction de contenu et l’idéation de campagnes. Cette adoption se fait souvent sans approbation formelle, supervision ou contrôle.
C’est ce qu’on appelle l’ IA non supervisée ou Shadow AI : l’utilisation non approuvée et non surveillée des outils GenAI qui échappe souvent à la surveillance. À l’instar de l’ IT non supervisé, la visibilité est cruciale pour les équipes de sécurité afin d’obtenir des informations sur les outils GenAI utilisés, leurs applications et les utilisateurs présentant le plus grand risque.
Cette situation n’est pas motivée par de mauvaises intentions. Les utilisateurs se tournent vers ces outils pour de bonnes raisons. Il s’agit simplement d’un cas où la vitesse dépasse la supervision. Ces outils sont facilement accessibles, rapides à déployer et incroyablement productifs, mais leur surveillance s’avère difficile. Dans la plupart des cas, il n’existe pas de trace d’audit à suivre lorsqu’un problème survient.
Les chiffres parlent d’eux-mêmes
Un rapport récent de Palo Alto Networks intitulé « L’état de l’IA générative » a révélé que le trafic GenAI avait augmenté de 890%. Une enquête séparée menée auprès d’équipes juridiques européennes a montré que, bien que plus de 90% des entreprises utilisent des outils d’IA, seulement 18% ont mis en place une forme de gouvernance formelle.
Les problèmes commencent souvent dans les interstices entre la technologie en rapide évolution et la gouvernance lente. En l’absence de règles et de politiques claires, il existe un risque d’exposition de données sensibles, d’automatisation de décisions sans supervision et de création de zones d’ombre dans l’utilisation de l’IA générative.
Les entreprises doivent donc établir une politique GenAI pour garantir leur sécurité en matière de réglementation, de conformité et de sécurité. Si GenAI fait déjà partie intégrante de votre fonctionnement (et c’est probablement le cas), vous avez besoin de barrières et d’une application des politiques claires concernant ce qui est permis, ce qui ne l’est pas et qui est responsable de l’application.
Qu’est-ce qu’une politique GenAI efficace devrait imposer ?
Une politique GenAI ne doit pas ralentir les choses. Elle doit simplement garantir que les outils sur lesquels vos équipes s’appuient peuvent être dignes de confiance, surtout lorsque les outils commencent à prendre des décisions, à déplacer des données ou à agir au nom de l’entreprise. Les politiques devraient couvrir six domaines clés :
1. Approbation des chatbots GenAI et des applications tierces
Aucun outil GenAI ne devrait être approuvé sans un examen approprié. Cela signifie qu’il faut examiner de près ce que l’outil fait réellement, comment il se connecte à vos systèmes, qui l’a créé et comment il gère vos données – qu’il s’agisse d’un chatbot, d’un plug-in ou d’une application tierce.
2. Inventaire des applications GenAI et attribution des responsabilités
Il est difficile de sécuriser ce que l’on ne suit pas. Chaque système GenAI utilisé – interne ou externe – doit être enregistré dans un inventaire central. Et une personne doit en être responsable avec une propriété claire qui ne devrait pas être vague ou partagée.
3. Contrôles d’accès et gestion des autorisations
Les chatbots ou outils GenAI devraient suivre les mêmes règles d’accès que tout autre outil. Cela signifie limiter ce que les outils et agents peuvent voir ou faire, en fonction de leurs rôles, et revoir régulièrement ces autorisations pour évaluer qui peut accéder à quel contenu.
4. Journaux et traces d’audit
Si quelque chose tourne mal, vous devez savoir ce qui s’est passé. C’est pourquoi l’une des parties clés de l’IA non supervisée est de consigner les interactions GenAI, à travers tous les flux de données pour les entrées et les sorties, et d’alerter les administrateurs en cas de comportement à risque.
5. Tests et simulations
On ne doit pas supposer que les systèmes GenAI fonctionneront comme prévu. Ils doivent être testés avant leur déploiement et de manière continue. Cela inclut des simulations et des vérifications pour détecter des vulnérabilités spécifiques liées à l’IA générative et aux menaces telles que l’injection de requêtes, la protection des données ou le respect des régulations de sécurité.
6. Application des règles d’utilisation de l’IA générative
Les politiques ne sont pas utiles à moins qu’elles ne soient appliquées. Les barrières qui dictent quels outils un agent peut utiliser, quel type de données il peut extraire, ou quand il a besoin d’une validation humaine doivent être intégrées dans le système.
Bien sûr, énumérer ce qu’une politique devrait inclure est la partie facile. S’assurer que ces règles sont appliquées est là où la plupart des organisations rencontrent des difficultés.
Construire la bonne politique GenAI dès le premier jour
Écrire une politique est une chose. La rendre effective en est une autre. De nombreuses organisations ont publié des directives sur l’IA générative. Moins nombreuses sont celles qui ont développé la muscle de gouvernance nécessaire pour les appliquer de manière cohérente, à travers les équipes, les outils et les cas d’utilisation en évolution. Trop d’organisations ont des politiques GenAI dans des documents que personne ne lit, ou qui semblent claires en théorie mais s’effondrent lorsqu’elles sont appliquées aux workflows réels, aux processus de déploiement ou aux outils de développement. Cet échec découle d’un manque de connexion entre ce que dit la politique et la façon dont les gens travaillent réellement. Entre les règles et les systèmes censés les appliquer, et entre la propriété et la responsabilité.
Faire fonctionner une politique GenAI signifie la transformer en quelque chose d’opérationnel. Cela inclut les bons contrôles, la bonne visibilité et les bonnes personnes tenues responsables de la mise à jour de la politique. Car une fois que l’IA générative est intégrée dans votre entreprise, la politique n’est pas le point de départ, c’est le filet de sécurité. Et si ce filet n’est pas en place lorsque quelque chose tourne mal, il est déjà trop tard.
