Les cadres supérieurs tuent votre stratégie d’IA fantôme

Lucas Morel

Près des deux tiers des décideurs de haut niveau déclarent utiliser des outils d’IA non autorisés malgré les risques, plaçant ainsi les responsables informatiques et de la sécurité dans une position difficile.

Le Shadow IT constitue depuis longtemps un problème majeur pour les RSSI, mais le plus gros problème vient peut-être de la soif de la direction pour une IA non autorisée.

Près des deux tiers des décideurs de haut niveau admettent utiliser des outils d’IA non approuvés, contre seulement 31 % des employés de niveau inférieur, selon une enquête menée par TrustedTech, partenaire de solutions Microsoft.

L’utilisation de l’IA fantôme est répandue parmi les cadres supérieurs, même si trois employés sur quatre reconnaissent les risques de sécurité ou de confidentialité des données liés à cette pratique.

« La plupart des utilisateurs de l’IA fantôme n’ignorent pas le risque », déclare TrustedTech dans un livre blanc. « De toute façon, ils choisissent délibérément d’utiliser ces outils. Ce n’est pas une question de formation. C’est une question de culture, d’incitations et d’alternatives. »

Dans de nombreux cas, le problème est dû au manque d’outils approuvés, ajoute le rapport.

« Les gens utilisent l’IA fantôme parce que ce que leur employeur leur propose est pire que les outils d’IA traditionnels, ou parce que rien n’a été approuvé en premier lieu », indique le rapport. « Cela ne changera pas tant que les outils sanctionnés ne valent vraiment pas la peine d’être utilisés. »

Une question d’autorité

L’utilisation de l’IA fantôme par les PDG et autres cadres supérieurs peut créer des problèmes majeurs pour les RSSI, les DSI et les autres responsables informatiques, car ils n’ont peut-être pas l’autorité nécessaire pour y mettre un terme.

Cela représente également un défi pour les responsables informatiques : fournir les outils d’IA que les employés et les dirigeants souhaitent utiliser.

Lorsque les dirigeants utilisent l’IA fantôme, les RSSI se trouvent dans une position difficile, car la gouvernance ne fonctionne que lorsqu’elle est modélisée par le haut, explique Andy Nolan, vice-président de la technologie chez TrustedTech.

« Si les hauts dirigeants contournent les outils ou les politiques d’IA approuvés, cela envoie un message implicite selon lequel la rapidité compte plus que la sécurité et la conformité », ajoute-t-il. « Les employés remarquent ce comportement, et il devient beaucoup plus difficile de demander au reste de l’organisation de suivre des normes que les dirigeants ne suivent pas eux-mêmes en premier. »

Un autre problème majeur est que les dirigeants travaillent souvent avec des informations très sensibles, notamment des données financières, des plans stratégiques, des propriétés intellectuelles et des informations sur les clients, note-t-il.

Mais les RSSI et les DSI ne peuvent pas non plus résoudre le problème en devenant la police de l’IA dans toutes les situations, explique Nolan, car leur rôle est d’aider l’entreprise à innover en toute sécurité.

« Cela nécessite un alignement des dirigeants, une gouvernance claire et la fourniture d’outils d’IA sécurisés que les gens souhaitent réellement utiliser », ajoute-t-il. « Lorsque les dirigeants adoptent ces solutions, le reste de l’organisation est presque sûr de les suivre. »

Tous risques, aucune récompense

L’utilisation de l’IA fantôme par les cadres supérieurs place les RSSI et les DSI dans une position impossible, convient Amit Maloo, RSSI chez Ivalua, fournisseur d’achats d’IA. Les RSSI et les DSI sont tenus responsables de l’exposition aux risques mais n’ont aucune visibilité sur le problème, dit-il.

« Lorsque les hauts dirigeants utilisent des outils d’IA non gouvernés pour prendre des décisions commerciales, ces décisions ont toujours des conséquences, telles que des engagements financiers, des révisions de contrats et le partage de données », ajoute-t-il. « Mais il n’existe aucune piste d’audit, aucun modèle d’autorisation, ni aucun moyen de reconstituer ce qui s’est passé ou pourquoi. »

Une partie du problème réside dans le fait que les options d’IA approuvées ne répondent souvent pas aux besoins des utilisateurs, explique Maloo.

« Les politiques en matière d’IA ne suffisent pas à elles seules ; les organisations doivent associer gouvernance et convivialité », ajoute-t-il. « Si les outils d’IA approuvés ne suivent pas le rythme de l’entreprise, les employés à tous les niveaux, y compris les dirigeants, trouveront leurs propres solutions. Les organisations qui réussiront seront celles qui feront de la voie sécurisée la voie la plus simple. »

Les responsables informatiques ne peuvent pas résoudre le problème avec davantage de gouvernance, note-t-il. « Les politiques et les restrictions ralentissent l’IA fantôme, mais elles ne l’arrêtent pas, surtout lorsque les personnes qui l’utilisent sont suffisamment expérimentées pour absorber le risque disciplinaire », ajoute Maloo. « Ce que les DSI peuvent faire, c’est se concentrer sur la fourniture d’outils qui accordent aux utilisateurs un accès complet aux systèmes et aux données nécessaires, éliminant ainsi le besoin de choisir entre un outil performant mais non gouverné et un outil sûr mais limité. »

La rapidité plutôt que la sécurité

Les données de TrustedTech font écho à un rapport de juin de l’éditeur de logiciels de surveillance des employés Teramind, qui révèle que plus des deux tiers des cadres dirigeants donnent la priorité à la vitesse plutôt qu’à la sécurité lorsqu’ils utilisent des outils d’IA, note Nik Kale, ingénieur principal et architecte produit chez Cisco et membre de la Coalition for Secure AI.

En outre, le rapport Teramind révèle que les deux tiers des activités d’IA en entreprise transitent par des comptes personnels sur des plateformes pour lesquelles l’entreprise possède déjà des licences, note-t-il.

« Les gens paient pour la version gouvernée et utilisent la version non gouvernée du même produit. Le problème ne vient donc pas des outils », dit-il. « Le chemin approuvé est plus lent, enfoui dans les achats ou déconnecté du lieu où le travail se déroule réellement, et la rapidité l’emporte à chaque fois dans les délais impartis. »

Le problème ne vient donc pas des outils d’IA, mais des frictions impliquées, dit-il. « Les gens ne contournent pas la porte d’entrée parce que la pièce est verrouillée », ajoute Kale. « Ils le contournent parce que la porte d’entrée est plus lente. »

Dans de nombreux cas, l’utilisation de l’IA fantôme révèle quelques lacunes dans les processus d’entreprise, ajoute Matthew Scavetta, directeur de l’innovation technologique chez le fournisseur de solutions informatiques Future Tech Enterprise.

De nombreuses organisations ne font pas un bon travail pour sensibiliser leurs employés aux outils d’IA à leur disposition, dit-il, et de nombreuses organisations ne proposent pas de formation sur les applications sanctionnées, ce qui incite les utilisateurs à choisir des produits qu’ils connaissent bien.

« Si vous ne résolvez pas rapidement les problèmes des gens ou si vous ne leur faites pas prendre conscience des outils qu’ils peuvent utiliser en toute sécurité, ils trouveront une solution de contournement », ajoute-t-il. « Les outils d’IA ne sont pas différents de tout le reste. »

L’utilisation de l’IA fantôme par les dirigeants place les responsables informatiques dans une position incroyablement difficile, dit-il.

« Les DSI, en particulier, subissent chaque année une pression de plus en plus forte pour rester à la pointe de ce qui est possible, alors que les influenceurs technologiques continuent de prêcher sur le potentiel de ces outils », explique Scavetta. « Les PDG et les membres des conseils d’administration sont constamment emportés par le battage médiatique ; pendant ce temps, de plus en plus d’études de cas sont publiées montrant le peu de retour sur investissement que certaines organisations ont réalisé. Il s’agit d’un jeu sans fin entre le possible et le pratique. »

Gouvernance informatiqueDirection informatiqueIntelligence artificielleGestion des risquesSécurité des données et des informationsSécurité