L’absence de gouvernance en matière d’IA met les organisations du monde entier en grave danger
Au début de cette année, Verizon a publié son rapport annuel sur les violations de données, qui examine l’état actuel de la cybersécurité à travers le prisme des tendances émergentes et continues. Alors que l’IA devient de plus en plus omniprésente dans presque tous les secteurs, il n’est guère surprenant que cette technologie soit devenue un élément central du rapport. Bien que Verizon prenne soin de noter que les adversaires n’utilisent pas encore l’IA pour créer de nouvelles tactiques d’attaque, ils utilisent la technologie pour accroître à la fois l’échelle et l’efficacité de leurs méthodes existantes. Des tactiques comme l’ingénierie sociale sont déjà difficiles à stopper, et les attaquants qui exploitent l’IA pour générer des e-mails de phishing ou des escroqueries par SMS plus convaincants représentent un véritable problème.
Cependant, la question la plus urgente concernant l’IA est le manque de pratiques de gouvernance efficaces. Le rapport a mis en évidence une large gamme de problèmes de gouvernance de l’IA, y compris l’utilisation généralisée de solutions d’IA générative en dehors des politiques et des capacités d’application des entreprises, ce qui entraîne d’importants angles morts en matière de sécurité. Une étude de recherche distincte publiée cette année a noté que moins de la moitié des organisations ont des stratégies spécifiques en place pour lutter contre les menaces liées à l’IA. Avec l’utilisation de l’IA qui continue de s’étendre et des technologies comme l’IA agentique devenant de plus en plus courantes, les organisations ne peuvent pas se permettre d’attendre. Elles ont besoin d’un plan de gouvernance de l’IA avant qu’il ne soit trop tard.
Nouveaux défis mettant la gouvernance de l’IA sous les projecteurs
À mesure que les modèles d’IA deviennent plus rapides et plus avancés, la vitesse à laquelle les organisations peuvent les mettre en œuvre et les utiliser augmente également. Cela a permis aux organisations de créer une large gamme de nouvelles efficacités au sein de leurs processus commerciaux, mais a également introduit des risques. Les avantages apparents créés par certaines capacités de l’IA ont conduit à une mentalité de « ne pas être laissé pour compte », incitant à une adoption rapide de l’IA, parfois avant qu’elle n’ait été adéquatement examinée. D’autres technologies d’IA, y compris des outils d’IA générative comme ChatGPT, sont largement utilisés et accessibles, ce qui rend difficile la réglementation par les employeurs. Comme le note le rapport de Verizon, les employeurs ont un contrôle limité sur ce que les employés partagent avec ChatGPT lorsqu’ils utilisent des appareils personnels et des comptes non corporatifs.
C’est un problème significatif, car la fuite de données reste l’un des problèmes les plus courants (et potentiellement dommageables) liés à l’utilisation de l’IA aujourd’hui. Les employés peuvent ne pas comprendre si des données spécifiques sont sécurisées à partager avec des solutions basées sur l’IA, ce qui peut entraîner la divulgation de données sensibles ou confidentielles dans des modèles de données publics (ou être volées par des hackers rusés via la manipulation de prompt et d’autres stratégies émergentes). En fait, des prévisions suggèrent qu’en 2027, un étonnant 40 % de toutes les violations seront causées par une utilisation inappropriée de l’IA générative, citant explicitement le problème des utilisateurs procédant à des transferts de données non autorisés à travers les frontières. Lorsqu’il s’agit d’IA, les entreprises réalisent lentement que la sécurité n’est même pas leur défi le plus important : c’est la gouvernance.
Établir de solides pratiques de gouvernance de l’IA
Pour les organisations cherchant à améliorer leur approche de la gouvernance de l’IA, il est essentiel de reconnaître que le changement commence par le haut. Les dirigeants d’entreprise doivent soutenir pleinement l’initiative car ce sont eux qui fixent le ton pour l’organisation et, plus important encore, son appétit pour le risque. Lors de l’établissement des pratiques de gouvernance, il est essentiel de comprendre la tolérance globale au risque de l’organisation. Cela signifie que l’organisation elle-même doit avoir une « culture du risque », s’assurant que les employés prennent constamment en compte les risques associés à leurs décisions. Il ne suffit pas de comprendre les avantages potentiels qui accompagnent l’utilisation de l’IA ; les entreprises doivent connaître les risques associés à différents outils d’IA, comprendre s’ils s’alignent sur la tolérance au risque globale de l’organisation et considérer les conséquences opérationnelles et réputationnelles de l’IA non approuvée ou de l’utilisation abusive de modèles d’IA approuvés.
Ce processus commence par l’admission. Cela implique de collaborer avec diverses unités commerciales pour comprendre où l’IA est actuellement utilisée, ainsi que là où les employés souhaiteraient l’utiliser à l’avenir. Il est essentiel d’avoir un comité travaillant spécifiquement à l’élaboration de politiques d’utilisation acceptable pour l’IA, et plusieurs organisations consultatives indépendantes ont déjà fourni des lignes directrices qui peuvent aider ces comités à mieux comprendre comment avancer. Des organisations comme le NIST et l’OWASP fournissent des cadres à haut niveau qui, bien que non exhaustifs, peuvent au moins aider les entreprises à avancer avec une compréhension plus approfondie des risques posés par l’IA et comment les naviguer avec succès. Armé de ces connaissances, le comité de l’IA devrait être en mesure d’approuver et de rejeter des cas d’utilisation d’une perspective plus informée.
Les organisations qui disposent déjà d’un programme de gestion des risques robuste auront plus de facilités à mettre en œuvre une gouvernance solide de l’IA. À mesure que la technologie a avancé, l’environnement réglementaire et de conformité a travaillé (avec des succès variés) à établir des normes minimales de sécurité et de confidentialité des données. Heureusement, les organisations d’aujourd’hui ont accès à une large gamme de solutions qui aident à automatiser certains éléments du processus de gestion des risques, ce qui peut être un soutien significatif dans l’établissement des lignes directrices de l’IA. La capacité de cartographier en continu les politiques d’utilisation acceptable et les cas d’utilisation de l’IA par rapport aux normes et cadres existants peut aider les organisations à visualiser plus facilement si elles respectent les meilleures pratiques en matière d’IA. Peut-être plus important encore, cela leur fournit une base de comparaison en ce qui concerne les partenaires potentiels, permettant aux entreprises de se séparer des fournisseurs utilisant l’IA de manière risquée ou irresponsable avant qu’ils ne causent de réels dommages.
Mettre en place une gouvernance de l’IA avant qu’il ne soit trop tard
Alors que l’IA devient plus puissante, les organisations du monde entier cherchent des moyens de tirer rapidement parti de ses capacités avancées pour faire progresser leurs propres objectifs commerciaux. Cependant, l’IA comporte des risques et les organisations qui n’ont pas établi une culture de sensibilisation au risque pour informer leurs processus de prise de décision peuvent échouer à identifier les pièges potentiels associés à la technologie. Les organisations d’aujourd’hui ne peuvent pas se permettre d’attendre jusqu’à ce qu’il soit trop tard. En mettant l’accent sur la gestion des risques et en établissant des politiques et des pratiques de gouvernance clairement définies basées sur des directives de risque acceptées en matière d’IA, les dirigeants d’entreprise peuvent s’assurer qu’ils maximisent les avantages de leurs solutions d’IA sans s’exposer à des risques significatifs et inutiles.
