N’aurions-nous pas tiré les leçons du Shadow IT ? Aujourd’hui, le Shadow IA menace avec la diffusion d’informations parfois ultra-confidentielles par des collaborateurs non formés aux conditions d’utilisation des IA génératives.

Danger, le Shadow AI sur les traces du Shadow IT ! Tout comme le SaaS a conduit bien des collaborateurs à adopter des services hors de tout contrôle de l’IT, la multiplication des IA génératives et la curiosité des collaborateurs pour ces technologies ultra-médiatisées engendrent leur adoption rapide au travail sans formation ni guides de bonne conduite…

Fin avril, Samsung a été contraint d’interdire l’usage de ChatGPT à ses employés après avoir découvert que l’intelligence artificielle d’OpenAI était utilisée sans contrôle. Des collaborateurs n’hésitaient pas à échanger avec elle des informations très confidentielles que ce soit pour analyser des données, pour transcrire des enregistrements audio ou pour aider à l’optimisation du code informatique de projets tenus encore secrets.

Si le géant coréen reconnait pleinement le potentiel de ChatGPT, il s’inquiète en revanche que les employés n’ont aucune idée du risque potentiel pour la sécurité. Aussi, son usage a été restreint. Samsung demande également au personnel de ne pas télécharger d’informations commerciales sensibles via leurs machines personnelles.

Des informations qui ne pouvaient quitter l’entreprise…

Rien d’étonnant, en fait. Selon une étude Fishbowl, sur les 5 067 personnes interrogées qui utilisent l’IA au travail, 68 % ont déclaré ne pas divulguer leur utilisation. Pis : si les professionnels hésitent à partager leur utilisation de ChatGPT avec les managers, ils en discutent ouvertement avec leurs pairs sur le site de Fishbowl…

Comme l’a constaté Samsung, on a découvert avec stupeur que ces IA connaissaient des informations qui n’auraient jamais dû quitter les murs de l’entreprise, simplement parce que les employés les avaient utilisées pour générer des graphiques et des rapports, convertir l’enregistrement d’un meeting en notes de réunion ou reformuler des textes. Les données fournies avaient été utilisées pour enrichir le « savoir » de l’IA utilisée… devenant dès lors publiques !

Bientôt des IA d’entreprise

Jusqu’ici ChatGPT alertait simplement les utilisateurs de ne pas confier à ses IA de données confidentielles ou personnelles. Désormais, les données confiées à ses API (GPT-4, GPT-3, DALL-E et autres) ne sont plus utilisées dans les entraînements et réentraînements des modèles IA. De même, ChatGPT s’est enrichi d’un paramètre de confidentialité : il suffit d’activer la non-historisation des sessions pour être assuré que les données confiées à ChatGPT ne seront pas utilisées pour améliorer et enrichir les modèles. En revanche, si vous autorisez l’historisation des sessions, les données sont susceptibles d’être exploitées pour l’entraînement des modèles.

En attendant que des IA plus dédiées aux entreprises apparaissent, la solution adoptée par OpenAI a le mérite d’être limpide. Encore faut-il que les utilisateurs soient informés non seulement de l’existence de ce paramètre mais aussi de son rôle et de sa raison d’être.

Ne nous leurrons pas : de même qu’il est difficile d’échapper intégralement au Shadow IT, il sera difficile d’empêcher le Shadow AI. Pour les CIO et les CISO, mieux vaut chercher à accompagner ces usages en formant les collaborateurs sur les risques et les bonnes pratiques.

A quand des « IA approuvées » ?

Ce ne sera pas facile. N’a-t-on pas vu des responsables gouvernementaux utilisant WhatsApp entre eux, des équipes de développement souscrivant à un outil de collaboration tel que Slack sans aucune gouvernance informatique en place ou des employés d’organisations hautement réglementées qui transfèrent des documents confidentiels sur leur propre Hotmail ou Gmail privé… parce qu’il est plus facile que d’accéder aux systèmes internes pendant les vacances !

Pour les experts, on peut craindre nombre de dérapages. CIO et CISO auront donc beaucoup à faire. A eux, déjà, de mettre les points sur les « i ». A eux, concrètement, de fournir une « IA approuvée », qui permettra des niveaux de gouvernance adéquats pour atténuer une série de préoccupations et de risques, tout en permettant aux utilisateurs finaux de tirer parti de la puissance indéniable de l’IA pour rationaliser les tâches routinières.