IA : des usages plus ou moins risqués
Moins d’un an après son dévoilement, ChatGPT, suivi de près par d’autres intelligences artificielles génératives (Bard, Bing AI…), est loin de faire l’unanimité : selon une enquête de BlackBerry, 82 % des entreprises françaises, et 75 % au niveau mondial, envisageraient d’interdire son usage dans le cadre des activités professionnelles. Et selon Gartner, les solutions d’IA générative constituent l'une des principales préoccupations des responsables de sécurité informatique en 2023.Malgré cela, en quelques mois, tous les services et collaborateurs des entreprises ont pu tester les capacités de ces IA génératives : pour concevoir un blog, prédire des tendances, élaborer une étude de marché ou encore rédiger une annonce de recrutement, pour ne citer que quelques exemples. Mais rapidement, un certain nombre d’interrogations ou de problèmes sont apparus. À commencer par des risques de confidentialité (divulgation d’informations et réutilisation potentielle par les IA), de propriété intellectuelle (à qui appartiennent les contenus générés ?), de biais cognitifs, voire de réponses totalement inexactes.
Plus globalement, outre ces IA génératives accessibles au grand public, l’intelligence artificielle connaît une véritable croissance dans l’entreprise, avec des solutions qui peuvent prendre place dans des processus « cœur de métier » (marketing, relation clients, finance, recrutement, etc.). Dans ce cas, son apport en termes de valeur ajoutée peut être considérable, mais dont les risques associés doivent être bien gérés pour ne pas porter atteinte à l’organisation.
Une nécessaire gouvernance traditionnelle des intelligences artificielles
Du point de vue de la gestion des risques, la gouvernance des IA ne diffère pas de celles des algorithmes déjà en usage dans beaucoup d’entreprises. Ainsi, il s’agit en premier lieu d’établir un inventaire des IA embarqués dans les processus, y compris les « shadow IA » (IA générative librement accessible et utilisable par n’importe quel collaborateur). Ensuite, il convient d’adopter une approche par les risques tout au long du cycle de vie de l’IA : développement, validation, stress testing, mise en production, surveillance, etc., jusqu’au décommissionnement.Ce qui implique dès le départ (pour les IA externes ou développées en interne) une analyse des risques minutieuse et adaptée selon leur niveau d’implication dans les processus plus ou moins cœur de métier ou critiques. Cette analyse doit être plus aboutie que pour les solutions technologiques traditionnelles et intégrer la vérification et la correction d’éventuels biais cognitifs, la confidentialité des données ou encore les questions de propriété intellectuelle.
Après quoi, l’organisation pourra adapter le niveau de sécurité à chaque solution d’IA utilisée, et surtout déployer des dispositifs de contrôle et autres procédures à mettre en place en cas de problème avéré, notamment lorsque les IA sont utilisées sur des processus critiques de l’organisation.
IA et gestion des risques : l’Humain au cœur des processus
Si leur gouvernance semble similaire à celle d’autres solutions technologiques, l’implémentation des IA dans l’entreprise n’a rien d’anodin, notamment par leurs capacités créatrices et leur facilité d’accès (pour les IA génératives). Ce qui implique un certain nombre de contrôles en amont et en aval de leur utilisation.C’est le cas par exemple des formations utilisateurs, dont la spécificité est de sensibiliser aux bonnes pratiques et à la bonne formulation des questions pour éviter les risques de biais des réponses. Tout au long de l’utilisation de l’IA, il s’agit aussi de la tester régulièrement pour se prémunir contre d’éventuelles dérives d’apprentissage, de compréhension et de réponses. Et bien sûr, après décommissionnement, s’assurer que les données sont bien détruites ou archivées (pour audit réglementaire par exemple).
C’est dans le cadre de ces contrôles que l’Humain reste au cœur de tout projet IA. Avec aussi la question de la disponibilité des compétences, en interne ou à recruter, et donc du risque éventuel de leur absence au sein de l’entreprise.
De même, il ne faut pas croire que l’IA va régler tous les problèmes d’une organisation comme par magie. Au contraire, envisager d’implanter l’IA dans certaines solutions peut même révéler une inadéquation du SI à les accueillir : silos de données entre entités, absence d’historique de données, absence de compétences (data scientists), etc. En d’autres termes, l’implémentation de l’IA ne s’improvise pas et, surtout, n’est pas sans risque, à moins d’un contrôle humain calibré et constant. Ce qui est plutôt rassurant pour nous, les Humains...
Par Cyril Amblard-Ladurantie, - Responsable Marketing des produits GRC - Gouvernance, Risque & Conformité chez MEGA International