Par Sébastien Marche, Directeur
Général Experteam.
68% des employés qui
utilisent des outils comme ChatGPT ou d’autres IA génératives le font à l’insu
de leurs responsables directs ou sans en informer leur DSI. Tout comme le
shadow IT, le shadow IA consiste à utiliser des outils technologiques sans
l’approbation de la DSI. En se passant des processus internes d’approbation et
de validation, ces collaborateurs introduisent des risques significatifs pour
la sécurité de l’entreprise et la gestion du SI. Tandis que les départements IT
s’efforcent d’établir des règles de sécurité claires et rigoureuses, le shadow
IA gagne de l’ampleur et menace de devenir un défi de taille.
Quelles sont les causes
de l’émergence du shadow IA
Facilité d’accès aux
technologies
Si le shadow IA se
développe si rapidement, c’est en partie grâce à la facilité d’accès aux
technologies. Aujourd’hui, il suffit de quelques clics pour que vos employés
accèdent à des outils SaaS en ligne. Et ce, sans avoir besoin de passer par les
départements IT. Cela facilite non seulement l’usage de ces technologies, mais
également l’émergence d’une IA invisible à vos yeux – ceux de la DSI. La démocratisation de l’IA et des outils open
source joue également un rôle clé. De nombreuses plateformes offrent des
solutions d’IA génératives accessibles gratuitement ou presque, ce qui permet à
tout employé de créer et déployer ses propres IA. Sans contrôle ni supervision,
ces initiatives sont là encore susceptibles d’échapper totalement à la
gouvernance de la DSI, amplifiant les risques cyber.
Besoin de flexibilité
et de rapidité
Le shadow IA est
alimenté par le besoin croissant de flexibilité et de rapidité dans les
entreprises. Les déploiements des solutions peuvent être lents, les employés
partent à la chasse aux outils rapidement déployables, quitte à choisir des
options non encadrées. En parallèle, on assiste à l’essor du BYOIA (Bring Your
Own Intelligence Artificielle), un phénomène qui voit les collaborateurs
introduire leurs propres solutions d’IA génératives au sein de l’entreprise.
Cette pratique peut accélérer l’innovation, mais elle présente surtout des
risques majeurs pour la sécurité du système d’information.
Manque d’investissement
et facteur coût
Reste à considérer que
le coût des solutions IA peut représenter un obstacle majeur pour de nombreuses
entreprises. Venant s’ajouter au coût des licences utilisateurs, le
développement et le déploiement de solutions IA robustes et sécurisées
nécessitent des investissements conséquents, qui peuvent s’avérer dissuasifs.
Résultat, les collaborateurs comblent le vide avec des outils gratuits, qui
passent souvent sous le radar de la DSI. Le manque de visibilité sur le retour
sur investissement (ROI) de l’IA générative vient également aggraver cette
situation. Beaucoup d’entreprises hésitent à investir dans des solutions IA
structurées sans avoir de garantie claire quant aux bénéfices qu’elles en
tireront. Ces réticences viennent ainsi retarder leur transformation IA et
laissent le champ libre à l’apparition de solutions non contrôlées, et donc au
shadow IA.
Manque de
sensibilisation et de formation
Le manque de
sensibilisation des collaborateurs est sans conteste l’un des talons d’Achille
des entreprises. Et de fait, de nombreux collaborateurs n’ont pas connaissance
des risques sécuritaires et juridiques que l’usage de solutions d’IAG non
contrôlées fait courir à leur entreprise.
S’ajoute l’absence de
communication claire autour des politiques de sécurité sur l’utilisation de
l’intelligence artificielle. Si les employés ne sont pas correctement informés
des règles en vigueur, ils risquent de prendre des initiatives dangereuses, et
ainsi de compromettre la sécurité de l’ensemble du système.
Quels sont les risques
du shadow IA ?
Risques de sécurité
Ce qui vous préoccupe
probablement le plus ? Les risques de sécurité. Avec l’utilisation de l’IA
générative, les informations sensibles – données employés, clients, propriété
intellectuelle et données confidentielles – peuvent être exposées et provoquer une
fuite de données. Les employés compromettent la confidentialité du SI, et la
réputation et la crédibilité de l’entreprise peuvent être impactées. Lorsque
les employés utilisent des outils d’IA génératives non approuvés par le service
IT, ces applications ne sont pas soumises aux mêmes mesures de sécurité que les
systèmes officiellement déployés. Ces outils peuvent représenter des failles de
sécurité ou ne pas bénéficier pas de mises à jour régulières et nécessaires à
la correction de potentielles vulnérabilités. Ces solutions d’IA peuvent alors
devenir des points d’entrée pour des cybercriminels qui cherchent à exploiter
des faiblesses dans le réseau.
Risques de conformité
Les risques de
conformité sont également considérables, puisque l’utilisation d’outils non
autorisés peut facilement entraîner des violations réglementaires. À titre
d’exemple, certaines de ces solutions d’IA pourraient ne pas respecter les
règles du RGPD et entraîner de lourdes sanctions pour l’entreprise.
Risques opérationnels
Sur le plan
opérationnel, l’un des risques les plus immédiats est celui des interférences
et redondances. Les IA non intégrées au SI existant peuvent créer des doublons
de données, ralentir les processus internes et, in fine, augmenter les coûts.
Ces inefficacités opérationnelles représentent des obstacles à la productivité
globale de l’entreprise. Les problématiques de gouvernance deviennent plus
complexes avec le shadow IA. Le manque de contrôle et de suivi des outils
utilisés complique la gestion du SI et peut conduire à un éparpillement des
données, voire à une perte de contrôle sur les processus internes.
Comment identifier le
shadow IA
Surveillance proactive
des réseaux et systèmes
Pour ne pas être pris
au dépourvu, la première chose à faire est de surveiller vos réseaux et
systèmes. Des solutions de monitoring avancées permettent de suivre les flux de
données et ainsi d’identifier les applications non autorisées qui pourraient
être utilisées par vos collaborateurs. Une autre méthode efficace consiste à
effectuer une analyse des journaux d’activité. En examinant les logs générés
par les différents systèmes, vous pouvez déceler des anomalies ou des actions
suspectes. L’analyse approfondie de ces journaux peut vous permettre de prendre
des mesures correctives avant qu’une faille de sécurité ne devienne critique.
Audits réguliers de
sécurité et de conformité
Ensuite, misez sur des
audits de sécurité réguliers pour vérifier que vos configurations respectent
bien les politiques de sécurité internes. En procédant à des inspections
approfondies, vous vous assurez que les systèmes sont correctement protégés
contre les intrusions et l’utilisation d’applications non autorisées. Le
renforcement du contrôle des identités et des accès permet également de limiter
les failles de sécurité et donc de réduire les risques pesant sur votre SI. En
surveillant attentivement les droits d’accès, vous réduisez le risque que des
applications non sécurisées soient utilisées dans votre environnement (et donc
le phénomène de shadow IA).
Utilisation de
l’intelligence artificielle pour la détection
À armes égales… L’IA
elle-même peut être un outil puissant. En utilisant des modèles prédictifs,
vous pouvez identifier les patterns anormaux dans l’utilisation des ressources
informatiques afin de mitiger les risques informatiques. Ces modèles sont capables
de repérer des anomalies subtiles que les systèmes de surveillance
traditionnels pourraient manquer, et vous pouvez ainsi prendre des mesures
proactives. Par exemple, si votre outil d’IA générative détecte l’usage d’une
API externe d’un outil d’IA non validé par la DSI, elle peut déclencher une
alerte.
Shadow IA : mieux vaut
prévenir que guérir
Instaurer une
gouvernance et des politiques claires
Comme dans toute lutte
contre les pratiques non-autorisées, le combat contre le shadow IA et ses
risques associés commence par la formalisation et la communication d’une
gouvernance stricte et une politique de sécurité claire. Pour cela, renforcez
les politiques existantes avec des règles spécifiques à l’usage de
l’intelligence artificielle générative. Par exemple, vous pouvez définir des
protocoles de validation des nouveaux outils d’IA, assurer que chaque nouvelle
technologie respecte les normes de sécurité et de conformité avant son
intégration, et établir un suivi continu de ces technologies. Un cadre de
conformité robuste est également primordial. La mise en place de protocoles de
conformité garantira que toutes les applications utilisées respectent les
normes légales et réglementaires. À titre d’illustration : les Opérateurs de
Services Essentiels sont par exemple soumis à des normes strictes en matière de
cybersécurité. Encouragez une transparence totale autour de l’utilisation des
outils IA et centralisez la gestion afin de garantir une supervision adéquate.
Ne pas oublier la
sensibilisation et la formation
Au-delà des politiques,
la sensibilisation des employés reste un élément clé pour prévenir le shadow
IA. En instaurant des programmes de sensibilisation réguliers, vous pouvez
éduquer vos équipes sur les risques liés à l’utilisation de l’IA et partager les
bonnes pratiques de sécurité.
Mauvaise nouvelle : les menaces évoluent
rapidement, et les technologies IA également. Vos équipes doivent avoir les
connaissances nécessaires pour gérer ces nouvelles menaces et s’adapter aux
dernières innovations. Cela implique des formations régulières sur les
nouvelles technologies, mais aussi sur les méthodes de détection de la shadow
IA.
Vous en conviendrez : même si l’utilisation de l’intelligence artificielle peut offrir des avantages considérables en termes de productivité et d’efficacité, elle ne doit pas se faire au détriment de la sécurité. ChatGPT, Midjourney, Bard… ces intelligences artificielles génératives sont néanmoins de plus en plus utilisées dans leurs versions non-encadrées par des collaborateurs, qui ne perçoivent pas toujours les risques. Puisqu’il est difficile d’interdire purement et simplement son utilisation, le meilleur moyen de contrôler et sécuriser l’IA générative reste la mise en place d’une politique pour contrôler les usages ; ainsi que des actions visant à sensibiliser les utilisateurs aux différents risques que des usages
non-tracés pourraient faire courir à leur organisation.