Ils n’ont pas besoin de processeur graphique ou de connaissances pointues en matière de machine learning pour le faire. N’importe quelle personne capable de copier/coller du code Python peut faire des demandes d’API à un LLM. Il ne sert donc pas à grand-chose d’interdire l’utilisation de ChatGPT dans les entreprises. Et cela ne s'applique pas seulement à OpenAI. D'autres fournisseurs, qu'il s'agisse de startups ou de grands groupes technologiques, ont maintenant développé leurs propres solutions LLM - avec des modèles commerciaux différents ainsi que des politiques d'utilisation et de protection de la vie privée.
Ceux qui expérimentent ce type de technologies n'ont souvent pas d'objectif précis. De nombreux utilisateurs alimentent un LLM en données simplement pour voir ce qui se passe. Quoi qu'il en soit, une utilisation incontrôlée peut amener à mettre des données commerciales entre les mains de tiers, qui les utilisera pour former et améliorer de futurs modèles. Le fournisseur tiers peut toutefois être digne de confiance. C'est lui qui dicte les exigences en matière de stockage et de protection des données. Et celles-ci sont très différentes pour les données utilisées pour former et améliorer des modèles que les données utilisées pour la mise en place d’un compte cloud : ces dernières doivent en effet être optimisées et disponibles pour être modulée et évaluées par des experts.
Violations des exigences légales
Tous les salariés ne connaissent pas forcément les exigences légales de leur organisation et peuvent donc rapidement se retrouver en situation de les enfreindre. De plus, la plupart d'entre eux n'ont pas l'habitude de suivre les normes de développement et les directives de sécurité qui s'y rapportent. Des erreurs se glissent souvent dans le code, pouvant déclencher des problématiques de taille lors de la récupération des données sur Internet, d'évaluations Python ou, pire encore, d'expériences avec des données non fiables. Ce type d’usage peut être moins préoccupant qu'une application exposée à une cyberattaque mais, en fonction du code et des autorisations de l'utilisateur qui l'exécute, elles peuvent nuire à l'organisation.En outre, les employés - à l'exception des développeurs - ne sont pas familiarisés avec l'évaluation des logiciels qu’ils utilisent. Un système peut donner la bonne réponse, mais pour de mauvaises raisons, ou simplement donner une mauvaise réponse. La plupart des utilisateurs ne sont pas en mesure de détecter de telles erreurs de conception, ce qui peut conduire à de mauvaises décisions et nuire à l'activité de l'entreprise. En raison du battage médiatique autour des LLM et de leur grande facilité d'utilisation, la technologie est utilisée dans un large éventail de domaines, quand bien même elle ne permet pas de résoudre de nombreux problèmes.
Il s'agit d'un phénomène relativement bien connu : si vous avez investi beaucoup de temps dans le développement d'un outil, vous voulez l'utiliser, même s'il est inefficace et qu'il n'optimise pas le processus concerné. Comme il s'agit d'une expérience et non d'un projet de développement, il se peut que les responsables n'aient pas saisi correctement les exigences notamment règlementaires. L'expérimentation néglige souvent des aspects qu'il serait nécessaire d'appliquer à une équipe ou à un problème plus vaste.
Quelques conseils d’optimisation :
- Communiquer les risques : étant donné que les LLM sont utilisés par de nombreux salariés, et pas seulement par les développeurs, les risques associés doivent être largement communiqués.- Ne pas imposer d'interdictions : comme dans les premiers jours du cloud, les interdictions de LLM risquent d'amener les salariés à contourner le service informatique. Au lieu de cela, essayez de canaliser l'enthousiasme général pour la technologie. Vos chances de réussite sont beaucoup plus grandes si les gens reçoivent un "non" catégorique à leurs questions.
- Définir des lignes directrices : communiquez une stratégie claire concernant l'utilisation de l'IA. Les interdictions relatives à certains types de données ou aux LLM pour certains processus doivent être justifiées. Si les salariés comprennent le "pourquoi", ils seront plus enclins à suivre les politiques mises en place. Le fournisseur de services LLM doit être indiqué dans la stratégie mise en œuvre. Il est également important de documenter toutes les procédures internes de communication et d'approbation des expériences.
- Abordez la question de la classification des données : si vous n'avez pas encore abordé ce sujet, vous devriez le faire sans tarder. Cela vous permettra de vous assurer que les données confidentielles sont protégées contre tout accès non autorisé.
- Sensibiliser les salariés : organiser des ateliers est par exemple un bon moyen de communiquer les lignes directrices. Vous pouvez y montrer concrètement ce qui pourrait mal se passer, et comment l'éviter.
- Enregistrer les expériences d'IA : tenez une liste de toutes les expériences qui ont eu lieu, afin d’assurer un suivi. Idéalement, les salariés enregistrent leurs expériences de manière indépendante et les marquent comme "fermées" lorsqu'elles sont terminées. Mais dans tous les cas, définissez qui est propriétaire de l'expérience, quel processus métier elle soutient, quelles données elle utilise et quel est son statut.
- Prendre des mesures de sécurité et de conformité : gardez les expériences sous contrôle et veillez à ce que les données sensibles ne puissent pas quitter votre organisation. Veillez également à ce que les exigences réglementaires soient respectées pour l'utilisation du LLM.
- Établissez des structures de retour de l’information : Veillez à ce que le retour d'information puisse se faire dans les deux sens. Recueillez le retour d'information et veillez à ce qu'il soit transmis aux parties responsables. Cela permettra de s'assurer que toutes les erreurs ou divergences avec le processus en question sont prises en compte.
Par Nathan Hamiel, Senior Director of Research chez Kudelski Security