Par Manon Kinet
octobre 29, 2024
68% des employés qui utilisent des outils comme ChatGPT ou d’autres IA génératives le font à l’insu de leurs responsables directs ou sans en informer leur DSI. Tout comme le shadow IT, le shadow IA consiste à utiliser des outils technologiques sans l’approbation de la DSI. En se passant des processus internes d’approbation et de validation, ces collaborateurs introduisent des risques significatifs pour la sécurité de l’entreprise et la gestion du SI. Tandis que les départements IT s’efforcent d’établir des règles de sécurité claires et rigoureuses, le shadow IA gagne de l’ampleur et menace de devenir un défi de taille.
Si le shadow IA se développe si rapidement, c’est en partie grâce à la facilité d’accès aux technologies. Aujourd’hui, il suffit de quelques clics pour que vos employés accèdent à des outils SaaS en ligne. Et ce, sans avoir besoin de passer par les départements IT. Cela facilite non seulement l’usage de ces technologies, mais également l’émergence d’une IA invisible à vos yeux – ceux de la DSI.
La démocratisation de l’IA et des outils open source joue également un rôle clé. De nombreuses plateformes offrent des solutions d’IA génératives accessibles gratuitement ou presque, ce qui permet à tout employé de créer et déployer ses propres IA. Sans contrôle ni supervision, ces initiatives sont là encore susceptibles d’échapper totalement à la gouvernance de la DSI.
Le shadow IA est alimenté par le besoin croissant de flexibilité et de rapidité dans les entreprises. Les déploiements des solutions peuvent être lents, les employés partent à la chasse aux outils rapidement déployables, quitte à choisir des options non encadrées.
En parallèle, on assiste à l’essor du BYOIA (Bring Your Own Intelligence Artificielle), un phénomène qui voit les collaborateurs introduire leurs propres solutions d’IA génératives au sein de l’entreprise. Cette pratique peut accélérer l’innovation, mais elle présente surtout des risques majeurs pour la sécurité du système d’information.
Reste à considérer que le coût des solutions IA peut représenter un obstacle majeur pour de nombreuses entreprises. Venant s’ajouter au coût des licences utilisateurs, le développement et le déploiement de solutions IA robustes et sécurisées nécessitent des investissements conséquents, qui peuvent s’avérer dissuasifs. Résultat, les collaborateurs comblent le vide avec des outils gratuits, qui passent souvent sous le radar de la DSI.
Le manque de visibilité sur le retour sur investissement (ROI) de l’IA générative vient également aggraver cette situation. Beaucoup d’entreprises hésitent à investir dans des solutions IA structurées sans avoir de garantie claire quant aux bénéfices qu’elles en tireront. Ces réticences viennent ainsi retarder leur transformation IA et laissent le champ libre à l’apparition de solutions non contrôlées, et donc au shadow IA.
Le manque de sensibilisation des collaborateurs est sans conteste l’un des talons d’Achille des entreprises. Et de fait, de nombreux collaborateurs n’ont pas connaissance des risques sécuritaires et juridiques que l’usage de solutions d’IAG non contrôlées fait courir à leur entreprise.
S’ajoute l’absence de communication claire autour des politiques de sécurité sur l’utilisation de l’intelligence artificielle. Si les employés ne sont pas correctement informés des règles en vigueur, ils risquent de prendre des initiatives dangereuses, et ainsi de compromettre la sécurité de l’ensemble du système.
Ce qui vous préoccupe probablement le plus ? Les risques de sécurité. Avec l’utilisation de l’IA générative, les informations sensibles – données employés, clients, propriété intellectuelle et données confidentielles – peuvent être exposées et provoquer une fuite de données. Les employés compromettent la confidentialité du SI, et la réputation et la crédibilité de l’entreprise peuvent être impactées.
Lorsque les employés utilisent des outils d’IA génératives non approuvés par le service IT, ces applications ne sont pas soumises aux mêmes mesures de sécurité que les systèmes officiellement déployés. Ces outils peuvent représenter des failles de sécurité ou ne pas bénéficier pas de mises à jour régulières et nécessaires à la correction de potentielles vulnérabilités. Ces solutions d’IA peuvent alors devenir des points d’entrée pour des cybercriminels qui cherchent à exploiter des faiblesses dans le réseau.
Les risques de conformité sont également considérables, puisque l’utilisation d’outils non autorisés peut facilement entraîner des violations réglementaires. À titre d’exemple, certaines de ces solutions d’IA pourraient ne pas respecter les règles du RGPD et entraîner de lourdes sanctions pour l’entreprise.
Sur le plan opérationnel, l’un des risques les plus immédiats est celui des interférences et redondances. Les IA non intégrées au SI existant peuvent créer des doublons de données, ralentir les processus internes et, in fine, augmenter les coûts. Ces inefficacités opérationnelles représentent des obstacles à la productivité globale de l’entreprise.
Les problématiques de gouvernance deviennent plus complexes avec le shadow IA. Le manque de contrôle et de suivi des outils utilisés complique la gestion du SI et peut conduire à un éparpillement des données, voire à une perte de contrôle sur les processus internes.
Pour ne pas être pris au dépourvu, la première chose à faire est de surveiller vos réseaux et systèmes. Des solutions de monitoring avancées permettent de suivre les flux de données et ainsi d’identifier les applications non autorisées qui pourraient être utilisées par vos collaborateurs.
Une autre méthode efficace consiste à effectuer une analyse des journaux d’activité. En examinant les logs générés par les différents systèmes, vous pouvez déceler des anomalies ou des actions suspectes. L’analyse approfondie de ces journaux peut vous permettre de prendre des mesures correctives avant qu’une faille de sécurité ne devienne critique.
Ensuite, misez sur des audits de sécurité réguliers pour vérifier que vos configurations respectent bien les politiques de sécurité internes. En procédant à des inspections approfondies, vous vous assurez que les systèmes sont correctement protégés contre les intrusions et l’utilisation d’applications non autorisées.
Le renforcement du contrôle des identités et des accès permet également de limiter les failles de sécurité. En surveillant attentivement les droits d’accès, vous réduisez le risque que des applications non sécurisées soient utilisées dans votre environnement.
À armes égales… L’IA elle-même peut être un outil puissant. En utilisant des modèles prédictifs, vous pouvez identifier les patterns anormaux dans l’utilisation des ressources informatiques. Ces modèles sont capables de repérer des anomalies subtiles que les systèmes de surveillance traditionnels pourraient manquer, et vous pouvez ainsi prendre des mesures proactives. Par exemple, si votre outil d’IA générative détecte l’usage d’une API externe d’un outil d’IA non validé par la DSI, elle peut déclencher une alerte.
Comme dans toute lutte contre les pratiques non-autorisées, le combat contre le shadow IA commence par la formalisation et la communication d’une gouvernance stricte et une politique de sécurité claire. Pour cela, renforcez les politiques existantes avec des règles spécifiques à l’usage de l’intelligence artificielle générative. Par exemple, vous pouvez définir des protocoles de validation des nouveaux outils d’IA, assurer que chaque nouvelle technologie respecte les normes de sécurité et de conformité avant son intégration, et établir un suivi continu de ces technologies.
Un cadre de conformité robuste est également primordial. La mise en place de protocoles de conformité garantira que toutes les applications utilisées respectent les normes légales et réglementaires. À titre d’illustration : les Opérateurs de Services Essentiels sont par exemple soumis à des normes strictes en matière de cybersécurité. Encouragez une transparence totale autour de l’utilisation des outils IA et centralisez la gestion afin de garantir une supervision adéquate.
Au-delà des politiques, la sensibilisation des employés reste un élément clé pour prévenir le shadow IA. En instaurant des programmes de sensibilisation réguliers, vous pouvez éduquer vos équipes sur les risques liés à l’utilisation de l’IA et partager les bonnes pratiques de sécurité.
Mauvaise nouvelle : les menaces évoluent rapidement, et les technologies IA également. Vos équipes doivent avoir les connaissances nécessaires pour gérer ces nouvelles menaces et s’adapter aux dernières innovations. Cela implique des formations régulières sur les nouvelles technologies, mais aussi sur les méthodes de détection de la shadow IA.
Vous en conviendrez : même si l’utilisation de l’intelligence artificielle peut offrir des avantages considérables en termes de productivité et d’efficacité, elle ne doit pas se faire au détriment de la sécurité. ChatGPT, Midjourney, Bard… ces intelligences artificielles génératives sont néanmoins de plus en plus utilisées dans leurs versions non-encadrées par des collaborateurs, qui ne perçoivent pas toujours les risques. Puisqu’il est difficile d’interdire purement et simplement son utilisation, le meilleur moyen de contrôler et sécuriser l’IA générative reste la mise en place d’une politique pour contrôler les usages ; ainsi que des actions visant à sensibiliser les utilisateurs aux différents risques que des usages non-tracés pourraient faire courir à leur organisation.
Shadow IA : comment sécuriser votre SI face à l’IA invisible
Communiqué de Presse : Experteam et Bleu, un partenariat stratégique pour un Cloud de Confiance sécurisé
IA générative et sécurité : les 10 pièges à éviter pour réussir son intégration