Au-delà des hallucinations : Comment atténuer les principaux risques de l’IA générative
L’IA générative (Gen AI) révolutionne le paysage commercial, s’appuyant sur des années de progrès dans l’adoption des données et de l’IA. Son potentiel à stimuler l’avantage concurrentiel et à alimenter la croissance est indéniable. Cependant, capitaliser sur ses bénéfices nécessite une compréhension approfondie et une atténuation de ses risques uniques, en particulier en matière de gestion des données et d’évaluation de la préparation organisationnelle.
Utiliser l’IA générative en toute sécurité requiert de comprendre non seulement les risques et la qualité des données organisationnelles spécifiques à son implémentation, mais aussi comment gérer ces données. Pour déployer l’IA générative de manière sûre et efficace, les entreprises doivent s’attaquer aux risques dans quatre domaines clés.
1. L’élément humain
Contrairement à l’IA traditionnelle, où le développement et le déploiement étaient principalement limités à des équipes spécialisées, l’IA générative s’étend à travers les fonctions et les unités commerciales. Cette utilisation généralisée augmente le risque que les employés mal interprètent ou se suren dépendent des résultats de l’IA générative. Sans une compréhension adéquate, les équipes peuvent faire confiance aux résultats comme s’ils étaient infaillibles, en particulier dans des contextes critiques pour la prise de décision. Cela pourrait entraîner des dommages financiers ou réputationnels pour l’organisation.
2. Sécurité et qualité des données
La gestion de la sécurité des données et de la qualité des données est un défi critique lors de l’utilisation de l’IA générative. Bien qu’il soit simple pour les organisations de développer des politiques empêchant l’utilisation d’informations confidentielles ou de données personnellement identifiables (PII) par un modèle d’IA générative, l’application technique de ces règles est beaucoup plus complexe. La principale raison réside dans la prolifération des solutions grand public avec des capacités multimodales, augmentant le risque que les employés exposent accidentellement des données confidentielles à des fournisseurs tiers.
De plus, l’adoption populaire des architectures de génération augmentée par récupération (RAG) pourrait créer des vulnérabilités si les sources de données ne sont pas adéquatement sécurisées. Une mauvaise gestion de ces aspects ouvre non seulement la porte à des violations réglementaires ; elle comporte également des risques d’exposition accidentelle des données, tant en interne qu’en externe.
3. Expansion du périmètre technologique
Pour utiliser l’IA générative, de nombreuses organisations doivent élargir leur pile technologique, que ce soit sur site ou dans le cloud. Cette montée en puissance rapide introduit des risques opérationnels, y compris des lacunes d’intégration entre les nouveaux outils et les systèmes existants, ainsi qu’une complexité accrue de la pile technologique. En plus des risques de divulgation des données, il est important de prêter une attention particulière aux risques associés à l’intégration des outils tiers et à la sécurité des API.
4. La nature de la technologie
Les modèles d’IA générative, qui fonctionnent tous de manière probabilistique plutôt que déterministe, introduisent une autre couche de complexité. Ces modèles sont pré-entraînés pour un objectif spécifique, et déterminer si un modèle est adapté à l’objectif nécessite une analyse minutieuse.
Un processus de référencement rigoureux est essentiel. Les entreprises doivent évaluer l’application prévue de chaque modèle, ses limitations et ses garanties pour garantir sa compatibilité avec leurs exigences opérationnelles et leurs normes éthiques. Ce processus non seulement atténue les risques, mais assure également que la technologie soit utilisée de manière responsable et efficace.
Équilibrer l’innovation et le risque
Malgré ces risques, éviter l’IA générative n’est pas la solution. La technologie offre des opportunités inégalées pour accroître les efficacités et l’innovation, mais ses développements rapides entraînent également des menaces évolutives. Comment les organisations, nouvelles dans l’IA générative, peuvent-elles aborder son déploiement de manière judicieuse ?
1. Adapter les cadres de risque existants
La plupart des organisations disposent déjà de processus pour gérer les risques technologiques. Le défi consiste à adapter ces cadres pour intégrer l’IA générative. Pour un déploiement à petite échelle, une légère extension de leur approche de gestion des risques technologiques peut suffire. Cependant, une adoption plus large de l’IA générative pourrait nécessiter l’établissement de comités directeurs spécifiques à l’IA pour traiter la stratégie et les risques liés à l’utilisation de l’IA dans l’organisation.
2. Établir des lignes directrices éthiques
Des lignes directrices éthiques claires devraient régir l’utilisation de l’IA générative, y compris les cas d’utilisation prohibés au-delà de l’appétit de l’organisation et des catégories de risque pré-définies. Cette orientation fournit des éclaircissements pour les fonctions commerciales poursuivant l’innovation et aide les fonctions de risque et d’audit à établir des attentes de contrôle. La transparence et la confiance sont fondamentales alors que le rôle de l’IA se propage.
3. Gouvernance par phases utilisant une approche basée sur le risque
Les organisations peuvent introduire l’IA générative de manière incrémentielle en appliquant une gouvernance proportionnelle au niveau de risque en fonction de l’étape de l’idée d’innovation. Pour les prototypes dans des scénarios à faible risque (par exemple, investissement financier minimal ou sensibilité des données), la supervision peut être plus légère. À mesure que les prototypes évoluent vers le déploiement, des évaluations plus complètes, y compris des évaluations de cybersécurité et des analyses de risques, devraient être menées pour renforcer les défenses.
IA générative : Quelle suite ?
Déployer l’IA générative ne devrait pas être radicalement différent de l’implémentation d’outils logiciels standards. Tout comme d’autres technologies, elle comporte des risques que les entreprises doivent évaluer et atténuer avec précaution. Le prochain document ISO/IEC 42005 pour l’évaluation de l’impact des systèmes d’IA offre des orientations utiles sur la manière d’évaluer l’impact potentiel de l’IA sur l’organisation et ses parties prenantes.
De plus, les organisations doivent décider du degré de supervision humaine requis dans les cas d’utilisation de l’IA générative. Le Modèle de Cadre de Gouvernance de l’IA de Singapour fournit une structure utile en classant la supervision en trois niveaux : humain dans la boucle, humain hors de la boucle et humain au-dessus de la boucle. Le choix de l’option à utiliser est une question d’équilibre : des résultats ayant un impact majeur pourraient nécessiter une supervision humaine plus impliquée, même si une prise de décision plus rapide n’est pas possible. Le choix doit être effectué par des équipes interfonctionnelles qui évaluent les risques et recommandent des contrôles.
À l’avenir, l’émergence de l’IA agentique a le potentiel de transformer encore plus les opérations. L’IA agentique, lorsqu’elle est intégrée dans les entreprises, peut évoluer au-delà de la génération de contenu pour inclure le raisonnement et la prise de décision. Cela exige une gouvernance renforcée pour gérer son influence sur les processus commerciaux, y compris la garantie de la résilience dans des environnements multi-agents et l’équipement des organisations pour enquêter et répondre efficacement aux incidents.
Comme pour l’IA générative d’aujourd’hui, la clé du succès réside dans une approche cohérente et basée sur le risque pour le déploiement, combinée à une cybersécurité robuste. En équilibrant innovation et précaution, les organisations peuvent exploiter le potentiel de l’IA générative tout en minimisant leur exposition à ses risques.
