De l’évaluation des risques au recentrage de la gouvernance de l’IA, voici quatre étapes que les RSSI devraient suivre lorsqu’ils sont confrontés aux risques liés à l’IA fantôme.
Dépassez le Shadow IT ; L’IA fantôme est le nouveau risque sur la scène. L’explosion des outils d’IA disponibles, l’enthousiasme des dirigeants pour la nouvelle technologie, la volonté des employés de faire plus avec moins, la gouvernance naissante et la vitesse à laquelle l’IA évolue ont créé l’environnement idéal pour que l’IA fantôme puisse prospérer.
«Tous les RSSI à qui je parle ont découvert une forme d’IA fantôme», déclare Andrew Walls, vice-président analyste chez Gartner.
Les fournisseurs intègrent des fonctionnalités d’IA dans leurs produits, souvent sans en informer leurs clients. Les employés utilisent ces capacités d’IA intégrées, que les RSSI en soient conscients ou non. Et bien sûr, les employés se tournent vers des outils d’IA qui n’ont pas été approuvés ou qui ont été explicitement interdits par leurs employeurs.
Les RSSI peuvent être informés de ces cas grâce aux rapports du personnel ou grâce à des outils conçus pour détecter l’utilisation de l’IA. Mais découvrir l’IA fantôme n’est que la première étape. Les RSSI doivent comprendre le contexte dans lequel ils sont utilisés, les risques qui en découlent et comment adapter la gouvernance à l’avenir.
Évaluer le risque
Une fois que les RSSI prennent connaissance d’une instance spécifique d’IA fantôme, la première étape consiste à comprendre le risque associé. « Le premier réflexe est de réagir. Et ce n’est jamais une bonne chose en matière de cybersécurité », déclare Olivia Rose, membre du corps professoral de l’IANS et fondatrice du Rose CISO Group. « Vous devez réfléchir à votre réponse de manière globale et examiner le niveau de risque pour l’organisation avant de répondre et de résoudre le problème. »
Dans quelle mesure les données sont-elles sensibles ? Que fait le fournisseur d’outils d’IA avec ces données ? Comment est-il stocké ? Est-il utilisé pour entraîner un modèle d’IA ? « Ce n’est pas la partie IA de l’IA fantôme qui les préoccupe. Ce sont les données qui sont fournies à une IA par l’employé », explique Walls.
Et la question ultime pour les RSSI : cette instance d’IA fantôme a-t-elle conduit à une violation ?
Même si la découverte d’une faille n’est jamais le résultat idéal, les RSSI ne sont pas entièrement en terrain inconnu. Leurs organisations devraient avoir défini des plans de réponse aux incidents à suivre, même si la violation en question provient de l’utilisation de l’IA fantôme.
« J’ai géré un certain nombre d’incidents de sécurité, d’incidents majeurs et de violations de données. Ils ne sont jamais les mêmes, même avant l’IA. Alors, comment gérer une violation de l’IA ? Cela dépend de ce qui a été violé, de la manière dont il a été violé, du type de données qui ont été violées, de l’impact juridique et réglementaire de cette violation », explique Vandy Hamidi CISO de BPM, un cabinet de fiscalité, de conseil et de comptabilité.
Même si les violations de données constituent une préoccupation majeure, elles ne constituent pas le seul résultat potentiel de l’IA. «Le risque lié à l’IA n’est pas seulement un risque numérique, il peut devenir physique très, très rapidement», déclare Pablo Ballarin, co-fondateur et vCISO chez Balusian et membre de l’ISACA. L’utilisation de l’IA fantôme ouvre-t-elle la porte à des perturbations opérationnelles, à un gaspillage de ressources ou à des problèmes de sécurité ? Répondre à ces questions fait également partie de l’évaluation des risques nécessaire.
Comprendre pourquoi l’IA est utilisée
Si les RSSI veulent gérer efficacement l’IA fantôme, ils doivent comprendre pourquoi elle continue d’apparaître. La réaction immédiate pourrait être de mettre fin à l’utilisation de l’IA fantôme, mais la réponse doit aller plus loin que cela.
« Notre objectif est de comprendre pourquoi ils l’utilisent, de les informer sur les risques liés à l’utilisation d’un outil d’IA non approuvé, d’identifier si nous disposons déjà d’outils dans l’organisation qui peuvent répondre à ces besoins et ensuite, évidemment, de les rediriger avec un… rappel sérieux si son utilisation n’est pas approuvée », explique Hamidi.
Les employés utilisent probablement l’IA fantôme parce qu’elle les rend plus productifs. L’entreprise pourrait-elle bénéficier de la sortie de cette IA de l’ombre et de la lumière ? Les employés utilisent-ils un outil non approuvé parce qu’ils ne savent pas qu’un outil similaire, déjà approuvé par l’entreprise, est disponible ?
Les RSSI des entreprises qui adoptent une position plus draconienne à l’égard de l’IA peuvent avoir du mal à gérer le nombre d’instances d’utilisation de l’ombre qui apparaissent.
« Si une entreprise dans son ensemble est lente sur la courbe d’adoption, elle force effectivement l’utilisation de l’IA fantôme », explique Hamidi.
Arrêtez-le ou intégrez-le
Une fois que les RSSI ont compris le risque présenté par l’IA fantôme et pourquoi elle est utilisée, ils peuvent travailler avec d’autres dirigeants d’entreprise pour déterminer s’il convient de la fermer ou de demander son approbation pour son utilisation.
Si l’outil doit être arrêté – s’il a provoqué une violation, ce sera presque certainement le cas – les RSSI devront trouver comment y parvenir et éviter que le même cas d’utilisation ne se reproduise.
« Vous devez envisager des stratégies d’atténuation pour éviter que cela ne se reproduise, qu’il s’agisse d’une éducation de l’employé, d’une politique plus cohérente et de directives d’utilisation acceptables, ou d’une solution technologique via une sorte de mécanisme de blocage ou de filtrage », explique Walls.
Si l’IA fantôme représente un cas d’utilisation potentiellement précieux pour l’entreprise, il est temps que cet outil soit soumis à un processus d’examen formel par plus que la seule équipe de sécurité.
« Notre processus PMO comprend un examen formel de la sécurité des informations, un examen juridique et un examen de la confidentialité des données. Il comprend également un retour sur investissement pour voir si cet outil a du sens. Et puis, soit il est approuvé, soit il ne l’est pas », partage Hamidi.
L’utilisation de l’IA, fantôme ou autre, est un exercice d’équilibre délicat avec le risque d’un côté et les avantages de l’autre. L’IA fantôme peut avoir un cas d’utilisation légitime en entreprise qui stimule la productivité, mais si le risque l’emporte sur cet avantage, les RSSI doivent protéger leur entreprise. Et la productivité pourrait en prendre un coup.
« Selon le niveau de risque de l’outil utilisé, cela représente parfois un coût que nous devons supporter », explique Hamidi.
Examiner et mettre à jour la gouvernance de l’IA
Chaque instance d’IA fantôme découverte est une opportunité, même si elle provoque une violation. Les RSSI peuvent plaider pour davantage de ressources pour soutenir la tâche continue de gestion de l’IA fantôme. « Ne laissez jamais une bonne violation se perdre. Vous pouvez en tirer parti pour obtenir un budget, des ressources et un soutien pour l’organisation de cybersécurité », explique Rose.
Quel que soit le résultat de l’IA fantôme – blocage ou intégration – sa découverte nécessite une éducation des employés. Savent-ils quels outils d’IA sont déjà à leur disposition ? Les employés savent-ils ce qu’est l’IA fantôme ? Connaissent-ils les risques liés à l’utilisation de l’IA fantôme ?
Cette information doit être clairement communiquée aux employés. « S’il n’y a pas de lignes directrices claires sur ce qui est bien et ce qui ne l’est pas, eh bien, les employés feront ce qu’ils pensent être le mieux », déclare Walls.
Si une communication claire est importante, sa mise en œuvre l’est tout autant. Les RSSI ne veulent pas créer une culture dans laquelle les employés ont peur d’utiliser l’IA. Au lieu de cela, ils peuvent pousser les entreprises à mettre en place des parcours clairs permettant aux employés d’introduire des outils potentiels d’évaluation.
« Ce que je ne veux pas faire, c’est punir les gens qui utilisent l’IA pour augmenter leur productivité. S’ils ont des raisons commerciales légitimes et qu’ils souhaitent l’utiliser, nous avons des processus en place pour qu’ils la fassent approuver », déclare Hamidi.
La punition n’est pas la réponse de première ligne à la gestion de l’IA fantôme, mais la responsabilité doit faire partie de la manière dont la technologie est utilisée dans une organisation. Les employés doivent comprendre les conséquences de l’utilisation des outils d’IA : approuvées et non approuvées. Ils ont besoin d’une formation pour utiliser les outils d’IA de manière responsable et d’une idée claire de ce qui peut arriver s’ils continuent à se tourner vers des outils non approuvés. « Travaillez avec votre équipe RH pour définir les répercussions d’un comportement répété », explique Rose.
Le comité chargé de la gouvernance de l’IA doit construire cette culture de responsabilité ; cela ne peut pas relever uniquement de la responsabilité de l’équipe de sécurité. « Si cette responsabilité n’est pas clairement attribuée à chaque personne qui touche une IA, alors il est très possible que lorsque le jeu des reproches commence, il n’y ait pas de foyer évident pour cela. Et le RSSI pourrait être dans cette ligne de mire », explique Walls.
Pour l’instant, la gouvernance de l’IA nécessite peut-être son propre ensemble de politiques, mais Walls prévoit que cette approche changera avec le temps. « Construisez la politique d’IA, élaborez la politique de sécurité de l’IA, la politique d’IA générative, la politique et les lignes directrices de l’IA agentique, etc. Elles sont nécessaires à l’heure actuelle, mais dans deux ou trois ans, elles fusionneront avec toutes les autres gouvernances technologiques et ne formeront qu’un seul élément », dit-il.
Même si la gouvernance de l’IA évolue, les RSSI resteront au centre de la conversation. L’IA fantôme représente un risque pour la sécurité, et il ne disparaîtra pas de sitôt.
« L’IA fantôme, comme le shadow IT dans une certaine mesure, ne peut être totalement évitée. Elle doit être gérée », explique Hamidi.
