L’étude de BlackFog révèle une utilisation généralisée de l’IA fantôme et un niveau surprenant de tolérance au risque parmi les hauts dirigeants, même lorsque les employés téléchargent des données exclusives dans des outils d’IA gratuits.
L’IA fantôme, l’utilisation secrète et non approuvée de l’IA par les employés, ne va pas disparaître. En fait, les travailleurs sont de plus en plus effrontés et leurs employeurs ne semblent souvent pas s’en soucier.
Dans une nouvelle enquête BlackFog, près de la moitié (49 %) des travailleurs admettent avoir adopté des outils d’IA sans l’approbation de leur employeur, nombre d’entre eux utilisant des versions gratuites avec lesquelles ils partagent librement des données d’entreprise sensibles.
Mais ce qui est peut-être plus alarmant, c’est qu’une large majorité – 69 % des présidents et des membres de la haute direction et 66 % des directeurs et vice-présidents principaux – semblent être d’accord avec cela, privilégiant la rapidité plutôt que la confidentialité alors qu’ils se précipitent pour adopter des outils d’IA.
« Les gains d’efficacité et les économies en matière de coûts de personnel sont trop importants pour être ignorés et l’emportent sur tout problème de sécurité », a déclaré Darren Williams, fondateur et PDG de BlackFog. La recherche est une « indication frappante » de l’utilisation généralisée d’outils d’IA non approuvés dans l’entreprise, ainsi que du « niveau de tolérance au risque parmi les employés et les hauts dirigeants ».
L’IA fantôme en chiffres
L’enquête menée auprès de 2 000 travailleurs d’entreprises de plus de 500 employés a révélé que l’IA fantôme est endémique et que peu de choses sont faites pour la maîtriser. Parmi les personnes interrogées, 86 % ont déclaré utiliser l’IA sur une base hebdomadaire au travail, les cas d’utilisation les plus courants étant le support technique, les ventes (comme le marketing par e-mail) et les contrats. Mais plus d’un tiers d’entre eux ont admis utiliser les versions gratuites des outils approuvés par l’entreprise, soulevant des questions sur l’endroit où les données sensibles de l’entreprise sont stockées et traitées.
En outre:
- 51 % ont connecté des outils d’IA à des systèmes ou des applications de travail sans l’approbation ou la connaissance du service informatique ;
- 63 % pensent qu’il est acceptable d’utiliser l’IA lorsqu’il n’existe aucune option approuvée par l’entreprise ni aucune surveillance informatique ;
- 60 % déclarent que la vitesse vaut le risque de sécurité ;
- 21 % pensent que les employeurs « fermeront les yeux » tant qu’ils font leur travail.
Et la propre utilisation des outils d’ombre par la C-suite ? C’est un peu plus difficile à évaluer ; ils restent discrets à ce sujet, ce qui indique un problème plus vaste, a noté Williams. « Souvent, les cadres supérieurs ne veulent pas admettre qu’ils utilisent l’IA », a-t-il déclaré. Au lieu de cela, ils tentent de prouver leur valeur sans divulguer leur propre utilisation de l’IA.
Tout comme les travailleurs du reste de l’entreprise, « les hauts dirigeants sont en mesure d’accomplir plus de choses plus rapidement que jamais » grâce à l’IA, a-t-il noté. Par exemple, a-t-il déclaré, « vous pouvez rédiger un contrat juridique en quelques secondes et demander à un avocat de le réviser, plutôt que de passer des semaines à rédiger et à reformuler en faisant appel à un conseiller externe ».
Il est préoccupant de constater qu’en ce qui concerne les outils utilisés par les travailleurs, les versions gratuites ont tendance à être les plus populaires. Plus de la moitié (58 %) des employés utilisant des outils non approuvés s’appuient sur des versions gratuites, et 34 % de ceux travaillant dans des entreprises autorisant les outils d’IA optent également pour la version gratuite.
« Les systèmes non rémunérés sont presque certainement pires en raison des licences et des modèles commerciaux qui les entourent », a déclaré Williams. « L’utilisation d’outils gratuits a toujours un coût ; dans ce cas, il s’agit de la valeur de vos données. »
Et les employés n’hésitent pas à charger des données sensibles dans des outils d’IA non autorisés : 33 % admettent partager des recherches ou des ensembles de données d’entreprise ; 27 % à la divulgation des données des employés (telles que le salaire ou le suivi des performances) ; 23 % à la saisie des informations financières de l’entreprise.
Cela devient dangereux car pratiquement tous les outils gratuits utilisent les données ingérées pour entraîner leurs modèles, et certains des outils payants de niveau inférieur le font également, a souligné Williams. « Et », a-t-il ajouté, « vous ne pouvez pas récupérer cette information. » Les forfaits d’entreprise payants permettent généralement aux entreprises de désactiver la formation sur leurs données, mais pas toujours. Les administrateurs doivent vérifier cela auprès de leurs fournisseurs de grands modèles linguistiques (LLM).
« Le gros problème est la perte de la propriété intellectuelle », a déclaré Williams. Et les acteurs malveillants peuvent accéder à ces informations pour profiler et cibler une organisation, pirater leurs réseaux et exfiltrer des données confidentielles à des fins d’extorsion.
« Plus les données sont divulguées aux LLM, plus les informations sont disponibles (pour les acteurs de la menace) pour établir un meilleur profil », a noté Williams.
Les entreprises doivent élaborer des politiques autour de l’utilisation de l’IA
De nombreux PDG ont imposé l’adoption de l’IA et allouent des capitaux à cette fin dans l’ensemble de l’entreprise, a noté Williams. Les dirigeants recherchent des économies de coûts comme un avantage stratégique et un moyen de restituer rapidement de la valeur aux actionnaires.
Malheureusement, la sécurité vient après coup, a-t-il déclaré. « De nombreuses entreprises ont simplement choisi d’ignorer le problème et ont décidé de ne pas créer de politique ou de ne pas voir l’intérêt de payer pour la technologie, ce qui est une très grave erreur. »
Les organisations « volent à l’aveugle » et 99 % d’entre elles n’ont même aucun moyen de savoir ce qui se passe dans leur environnement car aucun produit n’est en place pour le mesurer, a-t-il observé. Cela devrait déclencher de sérieux signaux d’alarme pour les équipes de sécurité, et il doit y avoir une surveillance et une visibilité accrues sur ces angles morts en matière de sécurité.
Williams a conseillé aux entreprises d’auditer ce qui se passe dans leurs systèmes, de mesurer l’ampleur du problème, de définir des politiques autour de l’utilisation de l’IA et d’adopter des cadres de gouvernance pour la contrôler.
De plus, les salariés doivent être sensibilisés aux risques. Beaucoup, y compris les RSSI, ne comprennent pas réellement l’ampleur du problème et ses implications plus larges. « L’éducation est essentielle et ne nécessite pas beaucoup de travail », a déclaré Williams. En revanche, la mise en œuvre d’une politique et d’un cadre l’est, et les entreprises doivent d’abord décider avec quels risques elles sont prêtes à vivre.
En fin de compte, a-t-il déclaré, nous traversons une période sans précédent dans l’histoire, avec de nouvelles technologies qui progressent à un rythme si rapide que les technologues eux-mêmes ne savent même pas où elles vont. Les entreprises doivent rapidement comprendre les implications et utiliser l’IA de manière responsable pour obtenir un avantage stratégique.
« Tout comme la révolution industrielle et Internet ont changé notre façon de travailler, l’IA fait de même », a déclaré Williams. « En fait, nous nous attendons à ce qu’il s’agisse d’un changement encore plus important que l’une ou l’autre de ces transitions. »
