En conséquence, les Etats exigent désormais des garanties concernant la circulation des données entre les différents modèles d’IA. Alors que les salariés sont de plus en plus enclins à utiliser des outils d’IA sans demander l’autorisation du service informatique, la gouvernance des données ne cesse de gagner en complexité. Cette situation incite les équipes informatiques à repousser les limites de la résilience des données, où la transparence de l’IA favorise l’innovation, sans pour autant restreindre l’expérimentation. Dans ce contexte, la visibilité des données n’est plus une mesure de protection facultative, mais un indicateur essentiel de la crédibilité et du succès à long terme d’une entreprise.
Les pressions réglementaires s’intensifient
Face au rythme d’adoption rapide de ces nouvelles technologies, les autorités de régulation et les dirigeants d’entreprise ont pris conscience que le succès des initiatives en matière d’IA dépendait autant de leur impact que des structures mises en place pour les guider et en assurer la gestion. Cela a favorisé l’émergence de nombreux cadres réglementaires à travers le monde, notamment le règlement DORA mis en place par l’Union européenne et des lois locales relatives à la protection des données personnelles aux États-Unis. Si le respect des réglementations a toujours constitué une priorité pour les entreprises, elles sont aujourd’hui particulièrement vigilantes quant à leurs pratiques en matière de confidentialité des données. En effet, le non-respect de la réglementation numérique peut non seulement exposer leurs systèmes à des attaques de ransomwares et à des interruptions d’activité, mais également nuire à leur crédibilité et les mettre en difficulté pour rétablir leur réputation.Les exigences en matière de conformité évoluent elles aussi. Auparavant, la réglementation numérique portait principalement sur les systèmes de données gérés par des humains. Aujourd’hui, les entreprises déploient davantage de modèles d’IA et de processus automatisés pour leurs opérations quotidiennes ; elles sont donc contraintes d’aller au-delà des erreurs humaines et d’expliquer avec précision comment les modèles d’IA utilisent leurs données. La capacité à tracer clairement les données depuis leur entrée jusqu’à leur sortie est essentielle pour prouver la maturité de l’IA, tout comme la transparence autour des flux de données et de l’entraînement des modèles. Désormais, les autorités de régulation exigent que les organisations justifient le choix des processus décisionnels qui guident l’utilisation de leurs modèles d’IA. Ce niveau de transparence prouve ainsi leur capacité à maintenir le contrôle de la gestion des données et montre que celles-ci sont utilisées de manière responsable et sécurisée.
Réussir le test d’explicabilité et de traçabilité des modèles d’IA est une responsabilité qui incombe aux équipes informatiques ; celles-ci doivent notamment repenser complètement leur approche en matière de confidentialité, d’autorisations et de politiques relatives au cycle de vie des données au sein de l’entreprise. Cependant, parvenir à une connaissance holistique des modèles d’IA est une tâche presque herculéenne, car la plupart des organisations se précipitent pour déployer l’IA et extraient aléatoirement des données qui proviennent de l’ensemble des environnements hybrides et multicloud modernes, sans en assurer la sécurité. En conséquence, les entreprises et leurs équipes informatiques peinent à obtenir un aperçu précis de l’emplacement de leurs données et des personnes qui peuvent y accéder. Ainsi, prouver sa responsabilité numérique constitue un test décisif pour évaluer dans quelle mesure une organisation comprend et gère ses propres données ; cela permet de préparer le terrain pour les équipes informatiques, afin que ces dernières puissent superviser rigoureusement les pratiques d’utilisation des données au sein de leur entreprise.
Les risques liés à l’utilisation non supervisée de l’IA
Il n’est donc pas surprenant que les équipes informatiques, confrontées à des volumes presque inimaginables de données incomprises, hésitent à laisser les salariés tester librement les outils d’IA. En effet, l’intelligence artificielle augmente intrinsèquement le risque de vulnérabilité et de mauvaise gestion des données en introduisant de nouveaux flux de données à plus grande échelle. Toutefois, à une époque où l’IA permet d’explorer de nouvelles opportunités en matière d’efficacité et d’innovation, les entreprises du monde entier et issues de tous les secteurs d’activité s’efforcent de mettre en œuvre cette technologie malgré ces risques.Le « Shadow IT » (ou « informatique fantôme »), un terme qui désigne l’adoption non contrôlée de technologies par les salariés d’une entreprise sans la supervision de l’équipe informatique, a ouvert la voie au tout dernier phénomène de l’ère de l’IA : le « Shadow AI » ou « IA fantôme ». Cette pratique se caractérise par l’adoption et l’usage de nouveaux outils et applications d’IA par les salariés, sans l’approbation ou la supervision des responsables informatiques de l’entreprise, dans le seul but de satisfaire les besoins croissants du marché en matière de productivité.
Dans les faits, l’IA fantôme ne peut être contrôlée. À mesure que les salariés se familiarisent avec les outils numériques générés par l’IA, ils continueront à trouver de nouvelles méthodes pour incorporer l’IA à leurs activités, sans en référer au département informatique. Ainsi, les équipes informatiques, déjà aux prises avec l’utilisation non contrôlée de données au sein de leur entreprise, se retrouvent également confrontées à des défis toujours plus importants en matière de visibilité des données.
Surmonter le Shadow IT
Pour aller de l’avant, chacun doit d’abord faire preuve de réalisme. En premier lieu, les équipes informatiques et les organisations doivent repenser intégralement leur approche et reconnaître qu’elles passent à côté de l’essentiel si elles continuent à traiter l’IA comme un problème temporaire à éliminer. Au contraire, elles doivent prendre conscience du caractère inévitable de l’IA et veiller à limiter les risques en misant sur la visibilité, l’hygiène des données et la formation proactive.Une fois guidées par ces principes, les équipes informatiques doivent, dans un deuxième temps, adopter une approche progressive, mais rigoureuse en matière de transparence. Au lieu d’attendre la méthode de gouvernance parfaite, il est préférable de commencer petit, avec des projets pilotes, des champs d’application limités ou des cadres clairs pour mieux classer les informations sensibles. Les équipes informatiques peuvent ainsi acquérir des connaissances institutionnelles et limiter les incertitudes liées à l’utilisation de l’IA au sein de leur organisation. Ces petites mesures permettent ainsi de mettre en place des garde-fous pratiques qui peuvent être appliqués dans toute l’entreprise. À l’inverse, l’inaction ne fera qu’accumuler les risques et augmenter les chances que les entreprises subissent les conséquences d’erreurs qui auraient pu être évitées.
La visibilité se trouve au cœur de cette approche. Pour pouvoir gérer l’IA de manière responsable, les organisations doivent d’abord comprendre leur environnement de données afin de savoir quelles informations existent, sur quels emplacements elles sont stockées, quelles sont les personnes qui interagissent avec elles et comment ces informations circulent entre les différents systèmes. Cette cartographie aide les dirigeants d’entreprise à identifier les données les plus précieuses pour l’entreprise et à les protéger contre tout préjudice. En d’autres termes, la visibilité ne concerne pas seulement la conformité, mais sert plutôt de point d’ancrage pour favoriser une prise de décisions plus éclairée et une meilleure résilience des données.
En outre, une meilleure visibilité améliore automatiquement la capacité d’une entreprise à se rétablir après une interruption d’activité. Lorsque les équipes ont connaissance des emplacements critiques où sont stockées les données et comment celles-ci sont connectées aux systèmes clés, elles peuvent ajuster leurs stratégies de sauvegarde et de reprise en fonction des priorités de l’entreprise. Par ailleurs, une bonne hygiène des données permet de créer une base commune de confiance. Ce sont ces mêmes principes, désormais adaptés à l’ère de l’IA, qui renforcent la posture de cybersécurité d’une entreprise et garantissent la continuité de ses activités.
À terme, les entreprises qui sauront tirer le meilleur parti de ces technologies seront celles qui combineront innovation et responsabilité. Si le Shadow AI semble être désormais inévitable, ses risques restent tout de même gérables, à condition que des bases adéquates soient mises en place. En adoptant un nouvel état d’esprit axé sur le progrès et en accordant davantage d’importance à la visibilité et à l’hygiène des données, les entreprises pourront permettre à leurs salariés d’expérimenter avec l’IA en toute confiance, sans prendre de risques inutiles. À l’heure où toutes les entreprises semblent se tourner vers l’IA, garder le contrôle sur ses données n’est pas un fardeau, mais la clé qui permettra de faire progresser l’innovation de manière durable et en toute sécurité.
Dave Russell, Senior Vice President et Head of Strategy chez Veeam Software
