AVIS D’EXPERT – L’engouement généralisé pour l’IA générative fait bouger les lignes et couler beaucoup d’encre. On fait le point avec Pauline Mendiela, consultante senior du cabinet de conseil Finegan, spécialisée en Risques, Cybersécurité & Résilience.
Jamais une technologie n’aura suscité un tel niveau d’intérêt. En 2022, le grand public assistait à la mise sur le marché et l’adoption rapide de l’intelligence artificielle (IA) générative et des Large Language Models (LLM). Et à peine quelques mois plus tard, se tenait le premier sommet mondial de l’Intelligence Artificielle, regroupant plus de 20 pays. De plus en plus utilisée par les salariés, les étudiants et plus largement, tous les citoyens, l’IA générative, capable de produire du contenu, est déjà en train de révolutionner notre quotidien. Elle nous aide à améliorer notre capacité de travail, notre efficacité et notre productivité. Elle connait encore des évolutions, mais trouve déjà de nombreuses applications, notamment dans le domaine de la cybersécurité.
Un contexte propice a l’adoption de l’IA générative
Le développement du travail hybride ces dernières années a changé les méthodes de travail et l’organisation des entreprises. Elles ont dû par exemple revoir leurs stratégies de sécurité, les surfaces d’exposition de leur système informations étant désormais plus larges. En parallèle, les cyberattaques n’ont cessé d’être plus nombreuses et plus sophistiquées, nécessitant le renfort des principes et mesures liés à la cyber résilience. Dans ce contexte et appliquée à la cybersécurité, l’IA générative peut être un levier dans de nombreuses activités : il est plus que jamais nécessaire de passer d’un mode réactif à un mode de défense proactif. Selon une étude de Gartner, d’ici 2025, 70 % des organisations auront intégré l’IA dans leur stratégie de cyber résilience. L’IA générative peut notamment permettre d’automatiser les tâches les plus répétitives et chronophages, laissant ainsi aux équipes la possibilité de se concentrer sur les aspects les plus complexes et stratégiques de la sécurité.
Un atout certain pour la cyber résilience…
Cette forme d’IA peut également détecter et réagir en cas de menaces ou tirer les leçons des incidents passés pour adapter les stratégies de réponse de l’organisation en temps réel. La détection précoce de comportements anormaux est le premier bénéfice d’usage. De plus en plus d’éditeurs mettent d’ailleurs en œuvre des initiatives pour implémenter des briques d’IA générative aux solutions proposées à leurs clients. L’IA générative participe également au renforcement de la cyber résilience en accompagnant les collaborateurs dans leur quotidien, grâce à de nouveaux outils ou compléments ajoutés aux outils existants. Prenons l’exemple des nouvelles « digitales workplaces » qui assistent à la fois les équipes dans le marquage de la données, la création de contenus ou d’email et l’aide à la détection de phishing. Cependant, subsistent beaucoup de questions quant à l’utilisation de ce type de technologie au sein des entreprises. Alors qu’elle peut générer de nombreuses opportunités dans de nombreux métiers, l’IA intensifie néanmoins plusieurs risques.
… mais de nouveaux risque à appréhender
Tandis que les risques liés à la cybersécurité concentrent depuis plusieurs années l’attention de tous, l’IA et le big data – jusqu’alors peu identifiés comme des sujets de premier plan – bondissent au classement des risques émergents susceptibles d’avoir un impact significatif sur la société dans les 5 à 10 ans à venir, comme en témoigne le dernier rapport « AXA Future Risks Report 2023 ». Ainsi, la révélation des IA génératives aux yeux du grand public a mis naturellement en avant ce qu’elles ont de révolutionnaire, mais a également souligné les nouveaux défis auxquels sont confrontées les organisations en matière de sécurité, d’éthique et de protection des données. En outre, les acteurs malveillants font eux aussi usage de ces technologies. Avec, à l’heure actuelle, des impacts en termes d’intensification et complexification des menaces existantes (telles que les attaques par ingénierie sociale comme le phishing, l’exploitation de vulnérabilités, l’injection de code malveillant ou d’attaques DDoS etc.). Mais demain, l’IA générative pourrait également être détournée pour créer des logiciels malveillants imitant par exemple les comportements d’un support technique ou informatique auprès d’utilisateurs d’une entreprise.
Vers une distinction entre usages privés et publics de l’IA ?
Largement adoptée dans nombre d’outils et de processus en entreprise, l’IA devient un enjeu crucial pour les dirigeants et les collaborateurs en charge de la protection du système d’information et de ses données exponentielles. A l’image de ChatGPT, l’IA générative de OpenAI, qui a essuyé de nombreuses critiques quant à sa gestion des données et sa compatibilité de l’outil au regard du RGPD. Ces outils utilisent des données existantes pour en générer de nouvelles via leurs réponses. Toutes les données injectées dans le modèle sont également réutilisées par la suite, et ainsi de suite : le volume des data est donc en perpétuelle expansion. Face au peu de garanties du modèle de traitement et transfert de données, beaucoup d’entreprise françaises ont fait le choix d’en bloquer l’accès à leurs collaborateurs pour en limiter les risques. A l’image de l’adoption du Cloud et des enjeux en termes de sécurité, résilience et protection des données qui en découlent, il est probable qu’à court ou moyen terme, les entreprises distingueront les usages des IA privées et publiques. En attendant, les plus grandes organisations mettent en place des initiatives afin d’encadrer les usages de ces IA : chartes éthiques, démarches de sensibilisation ou comitologies dédiées souvent confiées aux responsables RSE et aux Délégués à la Protection des Données.
Réglementation et IA Act comme premières réponses
Au lendemain du premier sommet mondial sur l’IA, la sureté de cette technologie devient une priorité mondiale majeure. Quelques jours plus tôt, les ministres du commerce des membres du G7 ont adopté le premier code de conduite visant à promouvoir une IA sûre, sécurisée et digne de confiance. Il fournira des orientations pour les organisations développant les technologies d’IA, des modèles de base aux systèmes d’IA génératifs les plus avancés. La course à la réglementation parait donc lancée : la mise en œuvre prochaine de l’IA Act, en cours de revue par les colégislateurs européens, en témoigne. D’après Thierry Breton, Commissaire Européen au marché intérieur, « l’Europe est en tête de la course mondiale pour établir des règles claires et proportionnées sur l’IA ». Même si l’analyse approfondie des risques induits par les modèles d’IA et d’IA générative et la régulation de ce domaine semblent indispensables, il faudra toutefois trouver le meilleur compromis pour ne pas affaiblir la compétitivité des acteurs européens.
Si aujourd’hui tout le monde s’accorde en faveur d’une nécessaire régulation de l’IA, il apparait que le seul niveau réglementaire ne suffira pas. Toutes les entreprises doivent se saisir plus amplement de ces enjeux liés à l’IA, tant pour la productivité promise que pour être en capacité d’en comprendre les possibilités et les enjeux, de se positionner et de se défense.
Pauline Mendiela, consultante senior du cabinet de conseil Finegan