Selon une enquête de
Cato Networks, 7 entreprises sur 10 n’ont aucun système de suivi de l’adoption
des outils d’IA. C’est ce que révèle une enquête mondiale menée auprès de plus
de
600 responsables IT.
Cato Networks, leader
du SASE, publie les résultats d’une enquête qui révèle qu’une majorité
d’organisations dans le monde manquent des capacités de surveillance et des
politiques de gouvernance nécessaires pour atténuer les risques liés au shadow
AI (usage d’outils d’IA non autorisés et/ou non supervisés).
L’enquête, menée auprès de plus de 600 responsables IT en Amérique du Nord, en EMEA (Europe, Moyen Orient et Afrique) et dans la région APJ, met en lumière un décalage préoccupant : bien que plus de la moitié des répondants (61%) aient découvert des outils d’IA non autorisés dans leur environnement, seuls 26% disposent de solutions permettant de surveiller l’usage de l’IA dans l’entreprise dans son ensemble. Près de la moitié (49%) ne suivent pas du tout l’usage de l’IA ou ne s’en occupent que de manière réactive.
« Dans de nombreuses
entreprises, l’adoption de l’IA se développe de façon informelle au sein des
équipes opérationnelles, déclare Etay Maor, Chief Security Strategist chez Cato
Networks. Les employés se tournent naturellement vers les outils d’IA
avec lesquels ils se sentent à l’aise. Ils pensent que cela leur donne un
avantage en matière de productivité. Mais sans visibilité ni gouvernance
adéquates, les entreprises élargissent leur surface d’attaque - souvent sans
même s’en rendre compte. »
La préparation des
entreprises face aux risques de l’IA reste insuffisante
L’étude révèle un
défaut majeur dans la manière dont les entreprises abordent l’adoption de l’IA.
Selon 71% des répondants, l’objectif principal de l’adoption de l’IA est
d’accroître la productivité et l’efficacité. Pourtant, 69% déclarent ne pas
disposer d’un système de suivi de cette adoption. La plupart des équipes
dirigeantes ignorent encore quels outils d’IA leurs employés utilisent, quelles
données sont partagées ou quels risques de conformité peuvent émerger de ces
usages.
Ce déficit de
gouvernance va même au-delà de la seule supervision des usages. Seuls 13% des
répondants estiment que leur organisation gère « très efficacement » les
risques liés au shadow AI. Moins d’un répondant sur dix (9 %) considère que son
organisation dispose d’une défense « très efficace » contre les cybermenaces
générées par l’IA, telles que les deepfakes, les hallucinations ou les attaques
par injection de requêtes.
L’IA fantôme, ou shadow
AI, fonctionne de manière similaire au shadow IT : des technologies non
autorisées sont adoptées pour résoudre un problème immédiat - mais les risques
associés au traitement des données, à l’entraînement de modèles et à l’absence
de processus décisionnels clairs en matière d’IA génèrent des inquiétudes. Les
responsables IT sont conscients des enjeux : une majorité (53%) se disent très
ou extrêmement préoccupés par les risques liés à la sécurité de l’IA.
« La question n’est pas de savoir s’il existe un usage non supervisé de l’IA dans l’entreprise, mais si vous êtes capables de le détecter, de le gouverner et de le sécuriser avant qu’un incident ne survienne, ajoute Maor. Notre étude montre que la plupart des entreprises doivent agir rapidement pour gagner en visibilité et reprendre le contrôle de leurs usages de l’IA. »