
Les entreprises de tous secteurs encouragent leurs employés à utiliser les outils d’IA sur le lieu de travail. Les employés, quant à eux, sont souvent désireux de tirer le meilleur parti des chatbots génératifs d’IA comme ChatGPT. Jusqu’à présent, tout le monde est sur la même longueur d’onde, n’est-ce pas ?
Il y a juste un problème. Comment les entreprises protègent-elles les données sensibles contre le traitement par les mêmes outils censés augmenter la productivité et le retour sur investissement ? Après tout, il est très tentant de télécharger des informations financières, des données client, du code propriétaire ou des documents internes sur votre chatbot ou outil de codage d’IA préféré pour obtenir rapidement les résultats souhaités (ou les résultats souhaités par votre patron ou vos collègues). En fait, une nouvelle étude de la société de sécurité des données Varonis révèle que l’IA fantôme (applications d’IA génératives non autorisées) constitue une menace importante pour la sécurité des données, avec des outils capables de contourner la gouvernance d’entreprise et la surveillance informatique, entraînant ainsi des violations potentielles de données. L’enquête a révélé que presque toutes les entreprises ont des employés qui utilisent des applications non approuvées, et que près de la moitié des entreprises ont des employés qui utilisent des applications d’IA considérées comme à haut risque.
L’un des principaux défis pour les responsables de la sécurité de l’information consiste à informer les employés sur les risques et les exigences de l’entreprise. Les employés doivent être capables de comprendre le type de données que leur organisation gère, depuis les données d’entreprise telles que les documents internes, les plans stratégiques et les dossiers financiers jusqu’aux données clients telles que les noms, les adresses e-mail, les détails de paiement et les modèles d’utilisation. Il est également important de communiquer la manière dont chaque type de données est classé, comme les données publiques, les données internes uniquement, les données confidentielles ou les données hautement restreintes. Une fois cette base en place, vous devez établir des politiques claires et des limites d’accès pour protéger vos données en conséquence.
Trouver un équilibre entre la promotion de l’utilisation de l’IA et la mise en place de garde-fous
« Nous n’avons pas de problème technologique ; nous avons un problème d’utilisateur », a déclaré James Robinson, responsable de la sécurité de l’information chez Netscope, une société de sécurité des données. L’objectif, a-t-il expliqué, est de permettre aux employés d’utiliser en toute sécurité les outils d’IA générative sans interférer avec l’adoption de technologies approuvées.
« Nous devons comprendre ce que l’entreprise essaie de réaliser », a-t-il ajouté. Plutôt que de simplement dire aux employés qu’ils font quelque chose de mal, les équipes de sécurité doivent s’efforcer de comprendre comment les employés utilisent leurs outils et s’assurer que leurs politiques sont bien adaptées ou si elles doivent être ajustées pour permettre aux employés de partager des informations de manière appropriée.
Jacob DePriest, responsable de la sécurité de l’information chez le fournisseur de protection par mot de passe 1Password, est d’accord, affirmant que l’entreprise tente d’équilibrer les politiques qui encouragent l’utilisation de l’IA tout en éduquant les gens pour garantir la mise en place de garde-fous appropriés.
Des ajustements peuvent être nécessaires dans certains cas. Par exemple, l’entreprise a publié l’année dernière une politique sur les utilisations acceptables de l’IA dans le cadre de sa formation annuelle en matière de sécurité. « Le thème général est : ‘Utilisez l’IA de manière responsable. Concentrez-vous sur les outils approuvés. Et voici quelques domaines d’utilisation inacceptables.' » Mais la façon dont il a été rédigé a alarmé de nombreux employés, a-t-il déclaré.
« C’est un bon problème, mais les RSSI ne peuvent pas se concentrer uniquement sur la sécurité », a-t-il déclaré. « Nous devons comprendre les objectifs commerciaux et aider les entreprises à atteindre à la fois leurs objectifs commerciaux et leurs résultats en matière de sécurité. Je pense que la technologie de l’IA au cours de la dernière décennie a mis en évidence la nécessité de cet équilibre. Nous nous sommes donc vraiment concentrés sur l’équilibre entre sécurité et productivité. »
Interdire les outils d’IA pour éviter les abus ne fonctionne pas
Mais les entreprises qui pensent que l’interdiction de certains outils est la solution devraient y réfléchir à deux fois. Brooke Johnson, vice-présidente senior des ressources humaines et de la sécurité d’Ivanti, a déclaré que les recherches de l’entreprise ont révélé que près d’un tiers des personnes utilisant l’IA générative sur leur lieu de travail cachent complètement leur utilisation de l’IA aux managers. « Ils partagent des données d’entreprise avec des systèmes que personne n’a vérifiés, exécutent des demandes via des plateformes dont les politiques en matière de données ne sont pas claires et exposent potentiellement des informations sensibles », a-t-elle déclaré dans un message.
Elle dit que l’instinct d’interdire certains outils est compréhensible mais erroné. « Nous ne voulons pas que les employés apprennent à cacher leur utilisation de l’IA ; nous voulons qu’ils puissent la surveiller et la réglementer de manière transparente », a-t-elle expliqué. Cela signifie accepter le fait que l’utilisation de l’IA se produit indépendamment des politiques et évaluer correctement quelles plateformes d’IA répondent aux normes de sécurité.
« Éduquez votre équipe sur les risques spécifiques sans émettre de vagues avertissements », a-t-elle déclaré. Elle propose de les aider à comprendre pourquoi certains garde-fous existent, mais souligne qu’ils ne sont pas punitifs. « La clé est de permettre à nos employés de faire leur travail de manière efficace, efficiente et sûre. »
L’IA agentique crée de nouveaux défis pour la sécurité des données
Pensez-vous que protéger les données à l’ère de l’IA est compliqué ? DePriest a déclaré que les agents d’IA placent la barre plus haut.
« Pour que ces agents fonctionnent efficacement, ils doivent avoir accès à des informations d’identification, des jetons et des identités, et ils peuvent agir au nom d’individus. Peut-être ont-ils leur propre identité », a-t-il déclaré. « Par exemple, nous ne voulons pas encourager les situations dans lesquelles les employés cèdent leur pouvoir de décision à des agents IA, car cela pourrait avoir un impact sur les humains. » Les organisations veulent des outils qui facilitent un apprentissage plus rapide et aident à synthétiser les données plus rapidement, mais en fin de compte, les humains doivent être capables de prendre des décisions importantes, a-t-il expliqué.
Qu’il s’agisse des agents d’IA de demain ou des outils d’IA génératifs d’aujourd’hui, trouver le bon équilibre entre réaliser des gains de productivité et le faire de manière sûre et responsable peut s’avérer difficile. Mais les experts affirment que toutes les entreprises sont confrontées aux mêmes défis et que les relever sera le meilleur moyen de surfer sur la vague de l’IA. Les risques sont réels, mais avec la bonne combinaison d’éducation, de transparence et de surveillance, les entreprises peuvent exploiter la puissance de l’IA sans céder les clés du royaume.
Découvrez d’autres articles de Fortune AIQ, une nouvelle série documentant comment les entreprises à l’avant-garde de la révolution de l’IA gèrent l’impact réel de la technologie.

