Les entreprises de tous secteurs encouragent leurs salariés à utiliser les outils d’intelligence artificielle au travail. Pendant ce temps, vos employés sont souvent très désireux de tirer le meilleur parti des chatbots génératifs d’IA comme ChatGPT. Jusqu’à présent, tout le monde est sur la même longueur d’onde, n’est-ce pas ?
Il n’y a qu’un seul problème : comment les entreprises protègent-elles leurs données sensibles contre l’absorption par les outils mêmes censés augmenter la productivité et le retour sur investissement ? Après tout, il est très tentant de charger des informations financières, des données client, du code propriétaire ou des documents internes dans votre chatbot ou outil de codage d’IA préféré, pour obtenir les résultats rapides que vous souhaitez (ou que votre patron ou collègue pourrait exiger). En fait, une nouvelle étude de la société de sécurité des données Varonis a révélé que l’IA fantôme (applications d’IA générative non autorisées) constitue une menace importante pour la sécurité des données, avec des outils capables de contourner la gouvernance d’entreprise et la surveillance informatique, entraînant ainsi des violations potentielles de données. L’étude a révélé que presque toutes les entreprises ont des employés qui utilisent des applications non autorisées, et que près de la moitié ont des employés qui utilisent des applications d’intelligence artificielle considérées comme à haut risque.
Trouver un équilibre entre encourager l’utilisation de l’IA et construire des barrières de sécurité
“Ce que nous avons n’est pas un problème technologique, mais un défi utilisateur”, a déclaré James Robinson, responsable de la sécurité de l’information chez Netskope, une société de sécurité des données. L’objectif, explique-t-il, est de garantir que les employés utilisent les outils d’IA générative en toute sécurité, sans les décourager d’adopter des technologies approuvées.
“Nous devons comprendre ce que l’entreprise essaie de réaliser”, a-t-il ajouté. Au lieu de simplement dire aux employés qu’ils font quelque chose de mal, les équipes de sécurité devraient s’efforcer de comprendre comment les gens utilisent les outils, pour garantir que les politiques sont appropriées ou si elles doivent être ajustées pour permettre aux employés de partager des informations de manière appropriée.
Jacob DePriest, responsable de la sécurité de l’information chez le fournisseur de protection par mot de passe 1Password, est d’accord, affirmant que son entreprise essaie de trouver un équilibre dans ses politiques, à la fois en encourageant l’utilisation de l’IA et en éduquant afin que des barrières appropriées soient en place.
Parfois, cela signifie faire des ajustements. Par exemple, l’entreprise a publié l’année dernière une politique sur l’utilisation acceptable de l’IA, dans le cadre de la formation annuelle sur la sécurité de l’entreprise. “Dans l’ensemble, le thème est” Veuillez utiliser l’IA de manière responsable ; concentrez-vous sur les outils approuvés ; et voici quelques domaines d’utilisation inacceptables. ” » Mais la façon dont il a été rédigé a rendu de nombreux employés trop prudents, a-t-il déclaré.
“C’est un bon problème, mais les RSSI ne peuvent pas se concentrer exclusivement sur la sécurité”, a-t-il déclaré. « Nous devons comprendre les objectifs commerciaux, puis aider l’entreprise à atteindre à la fois les objectifs commerciaux et les résultats en matière de sécurité. Je pense que la technologie de l’IA au cours de la dernière décennie a mis en évidence la nécessité de cet équilibre. Nous avons donc vraiment essayé de résoudre ce problème main dans la main entre sécurité et productivité.
Interdire les outils d’IA pour éviter les abus ne fonctionne pas
Mais les entreprises qui pensent que l’interdiction de certains outils est une solution devraient y réfléchir à nouveau. Brooke Johnson, vice-présidente senior des ressources humaines et de la sécurité chez Ivanti, a déclaré que son entreprise a constaté que parmi les personnes qui utilisent l’IA générative au travail, près d’un tiers cachent complètement leur utilisation de l’IA à la direction. “Ils partagent des données d’entreprise avec des systèmes que personne n’a vérifiés, exécutent des requêtes sur des plates-formes avec des politiques de données peu claires et exposent potentiellement des informations sensibles”, a-t-il déclaré dans un message.
L’instinct d’interdire certains outils est compréhensible mais erroné, a-t-il déclaré. “Vous ne voulez pas que les employés apprennent à cacher l’utilisation de l’IA ; ce que vous voulez, c’est qu’ils soient transparents afin qu’ils puissent être surveillés et réglementés”, a-t-il expliqué. Cela signifie accepter le fait que l’utilisation de l’IA se produit indépendamment de la politique et procéder à une évaluation appropriée des plates-formes d’IA qui répondent à vos normes de sécurité.
“Éduquez les équipes sur les risques spécifiques sans vagues avertissements”, a-t-il déclaré. Aidez-les à comprendre pourquoi certaines barrières de sécurité existent, a-t-il suggéré, tout en soulignant que ce n’est pas punitif. “Il s’agit de s’assurer qu’ils peuvent faire leur travail de manière efficace, efficiente et sûre.”
Agent AI créera de nouveaux défis pour la sécurité des données
Pensez-vous qu’il est désormais difficile de protéger les données à l’ère de l’IA ? Les agents d’IA vont monter la barre, a déclaré DePriest.
« Pour fonctionner efficacement, ces agents ont besoin d’accéder à des informations d’identification, des jetons et des identités, et peuvent agir au nom d’un individu ; ils ont peut-être leur propre identité », a-t-il déclaré. “Par exemple, nous ne voulons pas faciliter une situation dans laquelle un employé pourrait céder son pouvoir de décision à un agent IA, ce qui pourrait avoir un impact sur un humain.” Les organisations veulent des outils qui facilitent un apprentissage plus rapide et synthétisent les données plus rapidement, mais en fin de compte, les humains doivent être capables de prendre des décisions critiques, a-t-il expliqué.
Qu’il s’agisse des agents d’IA du futur ou des outils d’IA génératifs d’aujourd’hui, trouver le bon équilibre entre permettre des gains de productivité et le faire de manière sûre et responsable peut s’avérer délicat. Mais les experts affirment que toutes les entreprises sont confrontées au même défi et que le relever sera le meilleur moyen de surfer sur la vague de l’IA. Les risques sont réels, mais avec la bonne combinaison d’éducation, de transparence et de surveillance, les entreprises peuvent exploiter la puissance de l’IA, sans pour autant céder les clés de leur royaume.
Découvrez d’autres histoires de Fortune AIQ, une nouvelle série relatant comment les entreprises à l’avant-garde de la révolution de l’IA gèrent l’impact réel de la technologie.
