Explorer l'impact de Shadow AI sur les entreprises : risques, stratégies et quête d'un avenir sûr et innovant. Comment les entreprises vont-elles franchir cette nouvelle frontière ?
En décembre 2023, Amazon a dévoilé sa dernière entreprise d'IA , Q, promettant une alternative plus sûre aux chatbots axés sur le consommateur comme ChatGPT. Mais l’enthousiasme fut de courte durée. Trois jours seulement après l'annonce, Amazon Q était au cœur d'une controverse. Les employés ont été alarmés par les mesures inadéquates de sécurité et de confidentialité, révélant que Q ne répondait pas aux normes strictes d'Amazon. Les critiques ont souligné sa tendance aux « hallucinations » et à la fuite d'informations sensibles, notamment l'emplacement des centres de données AWS, les fonctionnalités de produits inédites et les programmes de réduction internes. Les ingénieurs d'Amazon ont été contraints de passer en mode contrôle des dégâts, résolvant des problèmes critiques qualifiés d'urgence « sev 2 » afin d'éviter de futures retombées.
À peu près au même moment, Samsung Electronics Co. était aux prises avec son propre mal de tête induit par l’IA. Un code source interne sensible s'est retrouvé sur ChatGPT, mettant en lumière des vulnérabilités de sécurité flagrantes. La réponse a été rapide : une interdiction des outils d’IA générative à l’échelle de l’entreprise a été communiquée par le biais d’une note interne. La décision de Samsung a souligné les difficultés de gestion des données sur des plateformes d'IA externes, telles que Google Gemini et Microsoft Copilot, où le contrôle sur la récupération et la suppression des données est insaisissable. Cette décision reflète les préoccupations de 65 % des employés de Samsung , qui considèrent ces services d'IA comme un cheval de Troie numérique. Malgré l'impact de l'interdiction sur la productivité, Samsung est resté ferme, choisissant de développer des solutions d'IA internes pour la traduction, la synthèse de documents et le développement de logiciels jusqu'à ce qu'un environnement sécurisé utilisant l'IA puisse être établi.
Apple s'est également joint à la mêlée, interdisant à ses employés d'utiliser ChatGPT et des outils similaires basés sur l'IA. L'interdiction a été en partie alimentée par les affiliations des outils avec Microsoft, un concurrent direct, alimentant les craintes quant à la sécurité des données sensibles d'Apple. Cette tendance n'était pas exclusive aux géants de la technologie ; des géants financiers comme JPMorgan Chase , Deutsche Bank, Wells Fargo et d'autres ont également limité l'utilisation des chatbots IA, dans le but de protéger les informations financières sensibles des yeux des tiers.
Pourtant, ces restrictions ont donné naissance par inadvertance à une culture de « Shadow AI », dans laquelle les employés utilisent leurs appareils personnels au travail dans leur quête d'efficacité et de gain de temps, mettant en évidence un écart important entre les politiques et les pratiques en matière d'utilisation de l'IA.
Bien que les données concrètes soient rares, de nombreuses personnes travaillant dans des entreprises soumises à des restrictions en matière d’IA ont avoué avoir utilisé de telles solutions de contournement – ce ne sont que celles qui en parlent ouvertement ! Cette utilisation de l’IA fantôme est répandue dans de nombreuses organisations, encourageant l’utilisation de l’IA d’une manière qui contredit ou viole les politiques de l’entreprise, devenant ainsi une activité que les employés se sentent obligés de dissimuler.
En approfondissant cette question, j'ai trouvé des études récentes confirmant que malgré de nombreuses histoires d' entreprises limitant l'utilisation de la genAI sur le lieu de travail, les employés ne semblent pas moins l'utiliser . Une étude récente de Dell indique que 91 % des personnes interrogées ont essayé l'IA générative dans leur vie à un certain titre, et 71 % supplémentaires déclarent l'avoir spécifiquement utilisée au travail.
L'étude menée par l'ISACA met en évidence un écart important entre l'adoption de l'IA sur le lieu de travail et les politiques formelles régissant son utilisation en Australie et en Nouvelle-Zélande. Alors que 63 % des employés de ces régions utilisent l’IA pour diverses tâches, seules 36 % des organisations l’autorisent officiellement. L'enquête révèle que l'IA est utilisée pour créer du contenu écrit (51 %), améliorer la productivité (37 %), automatiser les tâches répétitives (37 %), améliorer la prise de décision (29 %) et le service client (20 %). Cependant, seules 11 % des organisations disposent d’une politique globale d’utilisation de l’IA, et 21 % n’ont pas l’intention d’en établir une.
De plus, l’étude de l’ISACA révèle un manque de formation liée à l’IA au sein des organisations, puisque seulement 4 % la proposent à l’ensemble du personnel et 57 % n’offrent aucune formation, même à ceux directement concernés par les technologies de l’IA. Cette situation soulève des préoccupations similaires à celles concernant le Shadow IT, où les employés utilisent les ressources informatiques sans autorisation formelle, mettant potentiellement en danger la sécurité et la gouvernance de l'organisation.
Tout comme la façon dont le Shadow IT s'est infiltré dans les entreprises, l'IA fantôme est déjà présente, obligeant les organisations à affronter de front leur position GenAI tout en cherchant comment l'utiliser.
Les experts estiment que les garde-fous n’empêcheront pas les employés d’utiliser les outils d’IA, car ils améliorent considérablement la productivité et font gagner du temps. Par conséquent, les DSI des entreprises doivent faire face à ce problème et explorer des stratégies d’atténuation qui correspondent à la tolérance au risque de leur organisation. Inévitablement, les employés bien intentionnés utiliseront ces outils pour accroître leur efficacité, afin que les responsables technologiques d'entreprise puissent prévenir tout préjudice potentiel à l'organisation en abordant de manière proactive cette tendance et en la gérant efficacement.
L'interaction de chaque employé avec les outils d'IA peut constituer un point de vulnérabilité potentiel.
L'histoire du Shadow IT est marquée par d'importantes violations de données, comme les fameux incidents impliquant des compartiments Amazon S3 non sécurisés , qui ont conduit à la divulgation publique des données personnelles de 30 000 personnes. Ces précédents historiques servent de mise en garde, soulignant la nécessité d’une gouvernance rigoureuse des données à l’ère de l’IA.
Shadow AI est un défi plus redoutable que Shadow IT pour plusieurs raisons. Premièrement, la nature décentralisée de l’utilisation des outils d’IA signifie que le risque d’utilisation abusive ou de fuite de données ne se limite pas à un sous-ensemble technique d’employés (par exemple les développeurs), mais s’étend à l’ensemble de l’organisation. De plus, les modèles AIaaS (AI as a Service) apprennent intrinsèquement des données qu'ils traitent, créant une double couche de risque : la possibilité d'accéder aux données sensibles par les fournisseurs d'IA et la capacité accrue des acteurs malveillants à découvrir et exploiter les données exposées.
Selon Amir Sohrabi , vice-président régional EMEA et Asie et responsable de la transformation numérique chez SAS, les leaders technologiques ayant une mentalité axée sur les données seront en mesure d'améliorer leur efficacité en 2024 et au-delà. En effet, maximiser les avantages des outils d’IA générative dépend de données bien organisées, ce qui nécessite des pratiques de gestion de données robustes englobant l’accès aux données, l’hygiène et la gouvernance.
Dans son article pour CIO.com, Nick Brackney, Gen AI & Cloud Evangelist Leader chez Dell Technologies, souligne « trois méthodes prescriptives » que les entreprises devraient utiliser pour lutter avec succès contre l'IA fantôme.
Tout d’abord, établissez une stratégie centralisée pour l’utilisation générative de l’IA, impliquant la direction pour définir les cas d’utilisation, créer un accès sécurisé et protéger les données. Cette approche simplifie l'application et la mise à l'échelle dans l'ensemble de l'organisation tout en nécessitant des efforts pour créer et identifier des gains faciles pour garantir le succès.
Deuxièmement, organisez vos données et comprenez quels types ne doivent pas être placés dans les offres d’IA de cloud public ou privé hébergé, comme les secrets commerciaux et les informations sensibles. Utilisez des solutions d'IA qui permettent un contrôle complet ou ne conservent pas les journaux de conversation pour ces types de données.
Troisièmement, contrôlez le service d'IA en l'intégrant à vos données, que ce soit sur site ou via des solutions cloud sécurisées, pour tirer parti des avantages en matière de gouvernance, de productivité des employés et d'accès sécurisé aux données. Cette approche améliore l'expérience de l'utilisateur final, garantissant la conformité et réduisant le risque d'exposition des données.
L'élaboration d'une politique claire d'utilisation acceptable de l'IA est cruciale pour délimiter les pratiques d'IA inappropriées qui pourraient potentiellement nuire à votre organisation et pour guider l'intégration des applications d'IA conformément aux protocoles de sécurité des données et aux stratégies de gestion des risques. Cette politique sert de référence, permettant aux décideurs d'évaluer l'utilisation des outils d'IA au sein de l'organisation par rapport aux directives établies, d'identifier rapidement toute exposition aux risques et de déterminer les actions correctives nécessaires.
Ethan Mollick, professeur à la Wharton School de l'Université de Pennsylvanie, propose une autre approche qui suscite la réflexion. Il estime que les méthodes traditionnelles d'intégration des nouvelles technologies sont inefficaces pour l'IA en raison de leur nature centralisée et de leur lenteur, ce qui rend difficile pour les services informatiques de développer des modèles d'IA internes compétitifs ou pour les consultants de fournir des conseils spécifiques. Le véritable potentiel d'application de l'IA réside dans les employés qui sont experts dans leur propre travail, ce qui suggère que pour que les organisations puissent véritablement bénéficier de l'IA, elles doivent impliquer leur personnel (alias « cyborgs secrets ») dans l'utilisation des technologies d'IA.
Avant tout, les marques doivent reconnaître que les employés, quel que soit leur niveau, peuvent posséder de précieuses compétences en IA, quel que soit leur rôle officiel ou leurs performances passées. Après avoir détecté les cyborgs secrets parmi leurs employés experts en IA, les entreprises doivent favoriser un environnement d'apprentissage collectif tel que des bibliothèques d'invites participatives et créer une culture qui diminue l'appréhension autour de l'IA en offrant des garanties contre les pertes d'emploi dues à l'IA, en promouvant l'utilisation de L'IA pour éliminer les tâches banales et encourager un travail plus engageant.
Établir une sécurité psychologique est crucial pour encourager l’utilisation ouverte de l’IA parmi les employés.
Les employeurs devraient être en mesure d’offrir des récompenses substantielles pour avoir identifié des opportunités significatives où l’IA peut aider l’organisation. Cela pourrait inclure des incitations financières, des promotions ou des conditions de travail flexibles et être géré par la gamification.
Les organisations d'aujourd'hui doivent agir rapidement pour déterminer comment les gains de productivité issus de l'IA seront utilisés, comment les processus de travail doivent être réorganisés à la lumière des capacités de l'IA et comment gérer les risques potentiels associés à l'utilisation de l'IA, tels que les hallucinations en matière de données et les problèmes de propriété intellectuelle. Cela nécessite une approche proactive pour élaborer des politiques globales en matière d’IA, inciter les employés à tous les niveaux à tirer parti de leurs connaissances et favoriser une culture qui récompense l’innovation basée sur l’IA.
Alors que les technophiles et les entreprises affrontent les complexités de l’intégration de l’IA, quelles stratégies allez-vous déployer pour exploiter de manière responsable et innovante cette technologie transformatrice au sein de votre organisation ou de vos projets personnels, garantissant une approche équilibrée en matière de confidentialité, de sécurité et d’efficacité ?