10 façons de prévenir les catastrophes causées par l’IA fantôme

Comme pour tout ce qui touche à la technologie, le shadow IT évolue. Il ne s’agit plus uniquement d’applications SaaS qui répondent aux besoins spécifiques de quelques employés, ni du Blackberry personnel qu’un vendeur introduit clandestinement pour accéder à des fichiers de travail. L’informatique fantôme d’aujourd’hui est plus susceptible d’impliquer l’IA, car les employés expérimentent toutes sortes d’outils d’IA à l’insu ou sans l’autorisation du service informatique.

Selon une étude menée par Cyberhaven, fabricant de logiciels de protection des données, la quantité d’IA fantôme est stupéfiante. Selon le rapport sur le déploiement et les risques de l’IA du printemps 2024 de la société, 74 % de l’utilisation professionnelle de ChatGPT se fait via des comptes non professionnels, 94 % de l’utilisation professionnelle de Google Gemini se fait via des comptes non professionnels et 96 % de l’utilisation professionnelle de Bard se fait via des comptes non professionnels. les comptes d’entreprise. % se font via des comptes non-corporatifs. En conséquence, les employés saisissent des documents juridiques, des données RH, du code source et d’autres informations sensibles de l’entreprise dans des outils d’IA qui ne sont pas approuvés par les services informatiques, ce qui entraîne une IA non autorisée qui consomme des données.

Arun Chandrasekaran, éminent vice-président analyste chez Gartner, affirme que l’IA fantôme est pratiquement inévitable. Les employés sont curieux des outils d’IA et les considèrent comme un moyen de réduire la charge de travail et d’améliorer la productivité. D’autres veulent maîtriser la manière d’utiliser la technologie pour éviter qu’elle ne les remplace. De plus, certaines personnes sont tellement habituées à l’IA dans leur travail personnel qu’elles souhaitent utiliser la technologie au travail.

Quel est le problème?

Bien que ces raisons semblent raisonnables, Chandrasekaran reconnaît qu’elles ne justifient pas le risque que l’IA fantôme fait peser sur les organisations. « La plupart des organisations souhaitent éviter l’IA fantôme car les risques sont très grands », explique-t-il.

Par exemple, Chandra sait que des données sensibles sont susceptibles d’être divulguées, ou que des données propriétaires peuvent aider le modèle d’IA à apprendre (surtout s’il est open source) et pourraient aider les concurrents utilisant le même modèle, souligne Sekaran.

Dans le même temps, de nombreux travailleurs n’ont pas les compétences nécessaires pour exploiter efficacement l’IA, ce qui augmente encore le niveau de risque. Compétences pour saisir les bonnes données dans les modèles d’IA pour produire des résultats de haute qualité, fournir les bonnes entrées aux modèles pour produire des résultats optimaux et vérifier l’exactitude des résultats. Cela peut ne pas suffire. Par exemple, l’IA générative peut être utilisée pour écrire du code informatique, mais sans comprendre la syntaxe et la logique du code, elle ne peut pas détecter efficacement les problèmes liés à ce code. « Cela pourrait avoir des conséquences très néfastes », a déclaré Chandrasekaran.

L’IA fantôme, en revanche, pourrait perturber la main-d’œuvre, a déclaré Chandrasekaran. Les travailleurs qui utilisent secrètement l’IA peuvent bénéficier d’un avantage injuste par rapport à ceux qui ne disposent pas de tels outils. « Ce n’est pas encore une tendance dominante, mais cela est apparu comme une préoccupation lors des discussions avec les dirigeants des organisations », explique Chandrasekaran.

L’IA fantôme pourrait également poser des problèmes juridiques. Par exemple, une IA non autorisée peut accéder sans autorisation à la propriété intellectuelle de quelqu’un d’autre, laissant l’organisation responsable de la violation. Cela peut également conduire à des résultats biaisés qui violent les lois anti-discrimination et les réglementations des entreprises. Alternativement, vous pourriez finir par fournir des informations incorrectes à vos clients. Tous ces scénarios peuvent créer une responsabilité juridique pour les organisations, les rendant responsables de toute violation ou dommage qui en résulterait.

En fait, les entreprises se trouvent déjà dans une situation où elles doivent assumer leurs responsabilités en cas de défaillance de leurs systèmes d’IA. À titre d’exemple, en février 2024, un tribunal canadien a jugé qu’Air Canada était responsable des fausses informations fournies par son chatbot IA aux consommateurs.

Le chatbot dans ce cas montre-t-il simplement que la technologie officielle est suffisamment risquée, comme le disent les responsables informatiques, pour que nous devrions laisser le shadow IT tranquille pour ajouter encore plus de risques ?

10 façons de prévenir les catastrophes

Comme ce fut le cas pour le shadow IT par le passé, il n’existe pas de solution unique pour empêcher l’utilisation de technologies d’IA non autorisées ou ses conséquences potentielles. Cependant, les DSI peuvent recourir à diverses stratégies pour éliminer toute utilisation non autorisée de l’IA, prévenir les catastrophes et minimiser les dommages en cas de problème. Voici 10 façons dont les responsables informatiques et les DSI devraient faire de même.

1. Élaborer une politique concernant l’utilisation de l’IA

David Kuo, directeur exécutif de la conformité en matière de confidentialité chez Wells Fargo et membre du groupe de travail sur les tendances émergentes de l’association de gouvernance à but non lucratif ISACA, déclare qu’il commencera par travailler avec d’autres dirigeants pour comprendre quand, où et comment l’IA devrait être utilisée. L’étape consiste à créer des conditions d’utilisation qui définissent ce qui peut être utilisé et à garantir que l’ensemble de l’organisation interdit l’utilisation de technologies qui ne sont pas approuvées par le service informatique. Cela peut sembler évident, mais la plupart des organisations n’ont toujours pas mis en place de conditions de service. Selon une enquête menée par l’ISACA auprès de 3 270 professionnels de la confiance numérique en mars 2024, seules 15 % des organisations ont une politique en matière d’IA (70 % des personnes interrogées ont déclaré leur entreprise (même si 60 % ont déclaré que leurs employés utilisent l’IA générative).

2. Accroître la sensibilisation aux risques et aux conséquences

Kuo reconnaît les limites de l’étape 1. « Vous pouvez avoir des politiques d’utilisation acceptables, mais les gens les enfreindront. » C’est pourquoi nous vous prévenons de ce qui pourrait arriver. « Il est nécessaire de sensibiliser l’ensemble de l’organisation aux risques de l’IA, et les DSI doivent être plus proactifs en expliquant les risques et en sensibilisant l’ensemble de l’organisation », a déclaré Genpac, une société mondiale de services et de solutions professionnels, a déclaré Sreekant Menon. , leader mondial des services IA/ML chez . Décrivez les risques associés à l’IA en général et les risques accrus associés à l’utilisation de technologies non approuvées.

Kuo a ajouté : « Il ne s’agit pas simplement d’une session de formation ponctuelle et nous ne pouvons pas simplement dire : « Ne faites pas cela ». Nous devons éduquer nos employés sur les problèmes qui peuvent découler de l’IA fantôme et de leur mauvais comportement. il faut communiquer les résultats », ajoute-t-il.

3. Gérer les attentes

Malgré la croissance rapide de l’adoption de l’IA, la confiance des dirigeants dans l’exploitation de la puissance de la technologie intelligente est en déclin, déclare Fawad Bajwa, responsable mondial des pratiques en matière d’IA chez Russell Reynolds Associates, un cabinet de conseil en leadership. Bajwa estime que l’inadéquation entre les attentes en matière d’IA et ce qu’elle peut réellement offrir contribue au déclin de la confiance.

Il conseille aux DSI de les informer sur où, quand, comment et quelle valeur l’IA peut apporter. « Vous pouvez mesurer la confiance en ayant une compréhension commune des objectifs que vous souhaitez atteindre dans l’ensemble de l’organisation », dit-il. Cela empêcherait les employés de rechercher seuls des solutions d’IA dans l’espoir de trouver une panacée qui résoudrait tous les problèmes.

4. Effectuer des examens et renforcer les contrôles d’accès

Krishna Prasad, directeur de la stratégie et CIO de la société de solutions de transformation numérique UST, affirme que l’un des plus grands risques liés à l’IA réside dans les violations de données. Certes, de tels risques existent avec l’introduction prévue de l’IA. Cependant, dans de tels cas, les DSI peuvent collaborer avec leurs collègues chargés des affaires, des données et de la sécurité pour réduire les risques. Cependant, lorsque les employés déploient l’IA sans leur implication, ils ne disposent pas des mêmes opportunités d’évaluation et d’atténuation des risques, car les données sensibles sont plus susceptibles d’être exposées.

Pour éviter que cela ne se produise, Prasad a demandé à ses équipes de technologie, de données et de sécurité de procéder à un examen général de leurs politiques et contrôles d’accès aux données, ainsi que de leurs programmes de prévention des pertes de données et de leurs capacités de surveillance des données. Il conseille de mettre en place un système solide. pour prévenir de manière fiable les fuites d’informations dues à l’introduction de l’IA.

5. Bloquer l’accès aux outils d’IA

Une autre mesure suggérée par Kuo consiste à créer une liste noire d’outils d’IA, tels que ChatGPT d’OpenAI, et à utiliser des règles de pare-feu pour empêcher les employés d’utiliser et d’accéder aux systèmes de l’entreprise. Configurez des règles de pare-feu pour empêcher l’accès à ces outils à partir des systèmes de l’entreprise.

6. Recrutez des alliés

Kuo affirme que les DSI ne devraient pas être les seuls à œuvrer pour empêcher l’IA fantôme. Engagez vos collègues de la haute direction qui ont intérêt à protéger l’organisation de tout effet négatif, et impliquez-les dans la sensibilisation du personnel aux risques liés à l’utilisation d’outils d’IA par rapport aux politiques officielles d’achat et d’utilisation de l’IA. « Nous avons besoin de la coopération de tous pour une meilleure protection », a ajouté Kuo.

7. Créez une feuille de route pour l’IA informatique qui détermine les priorités et la stratégie de votre organisation

Les employés mettent généralement en œuvre une technologie qui, selon eux, les aidera à faire leur travail plus efficacement, et non dans l’intention de nuire à leur employeur. Les DSI peuvent donc réduire la demande d’IA non autorisée en fournissant aux employés les capacités d’IA qui les aident le mieux à atteindre leurs priorités professionnelles.

Bajwa affirme que les DSI devraient y voir une opportunité de guider leur organisation vers le succès futur en élaborant une feuille de route en matière d’IA qui non seulement s’aligne sur les priorités de l’entreprise, mais qui façonne réellement la stratégie. « C’est le moment de redéfinir les affaires », a déclaré Bajwa.

8. Ne devenez pas le « département qui dit non »

Les conseillers exécutifs informent les DSI (et leurs collègues de la haute direction) que retarder la mise en œuvre de l’IA ne fera que nuire à la compétitivité d’une organisation et augmenter la probabilité d’une IA fantôme. Mais Genpact et HFS Research affirment que cela se produit dans une certaine mesure dans de nombreuses entreprises. Un rapport de mai 2024 a révélé que 45 % des organisations adoptent une attitude « attentiste » à l’égard de l’IA générative, et 23 % sont des « opposants » qui sont sceptiques à l’égard de l’IA générative. « Restreindre l’utilisation de l’IA est aujourd’hui totalement contre-productif », a déclaré Prasad. Au lieu de cela, il pense que les DSI peuvent activer les capacités d’IA fournies au sein des plates-formes déjà utilisées au sein de l’entreprise et former les employés à utiliser et optimiser ces capacités afin de maximiser le retour sur investissement. En accélérant l’adoption d’outils d’IA potentiels, dit-il, les employés à tous les niveaux devraient l’être. rassuré sur le fait que les services informatiques s’engagent en faveur d’un avenir basé sur l’IA.

9. Permettre aux employés d’utiliser l’IA comme ils le souhaitent

L’enquête de mars de l’ISACA a révélé que 80 % des personnes interrogées pensent que l’IA va changer de nombreux emplois. Si tel est le cas, les employés devraient disposer des outils nécessaires pour utiliser l’IA afin d’apporter des changements qui améliorent leur travail, déclare Beatrice Sanz-Sais, responsable mondiale des données et de l’IA chez EY Consulting.

Elle conseille aux DSI de fournir à tous les employés de l’organisation (pas seulement l’informatique) les outils et la formation nécessaires pour collaborer avec l’informatique afin de créer leurs propres assistants intelligents. Elle a également permis aux DSI de créer des piles technologiques flexibles pour répondre et exploiter rapidement les nouveaux modèles de langage à grande échelle (LLM) et autres composants intelligents à mesure que les employés les demandent. Cela augmente la probabilité que les employés s’appuient sur l’informatique (plutôt que sur des sources externes) pour créer des solutions.

10. Soyez ouvert aux utilisations nouvelles et innovantes.

L’IA n’est pas une nouvelle technologie, mais à mesure qu’elle se propage rapidement, ses problèmes et ses opportunités potentielles deviennent plus évidents. Les DSI qui souhaitent aider leur organisation à tirer parti du plein potentiel de l’IA (en supprimant tous les problèmes) doivent être capables de créer de nouvelles solutions d’IA afin que les employés ne ressentent pas le besoin de les résoudre eux-mêmes. à la manière dont il peut être utilisé.

Bajwa donne l’exemple des hallucinations provoquées par l’IA. Bien que les hallucinations aient généralement mauvaise réputation, Bajwa souligne qu’elles peuvent être utiles dans des espaces créatifs tels que le marketing. « Les hallucinations peuvent générer des idées auxquelles personne n’avait pensé auparavant », dit-il.

Les DSI ouverts à cette possibilité seront plus proactifs en matière d’innovation en matière d’IA, plutôt que d’en exclure l’informatique, en mettant en place des garanties appropriées, telles que des règles sur le degré de surveillance humaine requis, et seront plus susceptibles d’y participer. Et n’est-ce pas le but ?