Les 5 considérations pour une intégration sécuritaire de l’IA
“Il existe maintenant autant d’outils intégrant l’intelligence artificielle (IA) que d’étoiles dans l’univers”. Ce constat de notre Responsable de la sécurité informatique, Francis Venne, ne devrait faire sourciller personne: la création de nouveaux outils IA a dû s’accélérer à vitesse grand V pour répondre à la demande exponentielle des entreprises et de leurs clients. Pour s’assurer d’une intégration sécuritaire de l’IA, voici les 5 éléments essentiels à considérer pour atténuer les risques.
- Définir son cadre de gouvernance
En entreprise, il existe des cadres de gouvernance pouvant permettre de protéger son écosystème, comme ISO, NIST ou SOC2—auquel nventive se conforme—, pour ne nommer que ceux-là.
Bien plus que des suggestions, ces normes et recommandations d’experts de la cybersécurité internationale doivent guider la sélection de votre propre cadre de gouvernance adapté à votre réalité pour sécuriser vos pratiques. “C'est un processus personnalisé pour chaque entreprise, mais ces cadres ne sont pas toujours flexibles. Il ne faudrait pas qu’une politique ou un contrôle d’entreprise entre en contradiction avec une norme de l’industrie,” spécifie Francis Venne.
L’Organisation internationale de normalisation (ISO) déploie annuellement de nouvelles normes, mais l’industrie des technologies de l’information n’est pas officiellement tenue de s’y conformer... à moins d’être audité sur ce standard, chose qu’on ne doit pas penser impossible.
Les standards évoluent rapidement lorsqu’on parle de technologies émergentes comme l’intelligence artificielle. Rester à jour et conforme représente un défi de taille pour les entreprises. Un cadre de gouvernance solide posera les bases essentielles pour l’ajout de nouveaux contrôles que vous souhaiteriez mettre en place par la suite.
Pour encadrer l’utilisation de l’IA, votre politique doit intégrer des principes éthiques (équité, transparence, responsabilité, confidentialité, sécurité), et respecter les lois en vigueur (loi 25, RGDP). Vous devez établir clairement vos procédures de gestion des risques et la mettre à jour annuellement afin de toujours garantir la qualité et la sécurité des données. Puis, vos équipes doivent être bien sensibilisées à ces pratiques et encourager la mise en place d'indicateurs de performance pour favoriser une amélioration continue.
- Connaître les risques
Comme toute "nouvelle” technologie, l’IA, et les LLMs (Large Language Models ou LLM en anglais) présentent de nouveaux défis en matière de cybersécurité. Avec l'essor de l'IA générative et des LLMs, ce sont précisément ces technologies qui sont les plus susceptibles de présenter des failles exploitables. Le Open Worldwide Application Security Project (OWASP) a d’ailleurs émis la liste des 10 vulnérabilités les plus critiques souvent rencontrées dans les LLMs pour bien se familiariser avec les menaces.
Ces précautions s’appliques aux grands projets, mais c’est également valable pour les petites initiatives. En effet, le simple fait d'introduire l’utilisation de ChatGPT dans vos pratiques quotidiennes comporte son lot de risques. En raison de la nature de son fonctionnement, ChatGPT ne garantit pas l’exactitude de ses réponses et peut même conduire à de la désinformation, avec toutes les conséquences que ça implique, tant en termes de sécurité que juridique. Il devient donc crucial d’ajouter une étape de validation humaine.
La prise de conscience de ces risques est essentielle lorsqu’on se lance dans un projet d'IA. Votre niveau de confort face à ces risques déterminera la direction et la vitesse d’exécution de tels projets. Si vous sollicitez une aide externe dans cette démarche, vos consultants doivent vous fournir suffisamment d’information pour que vous puissiez prendre des décisions éclairées. Ils devront également vous accompagner dans l'élaboration d’un plan de réponse aux risques, afin d'assurer une gestion proactive et efficace d'éventuelles complications.
- Définir le pourquoi
Face à l’offre grandissante de solutions IA, il peut être facile de se laisser tenter par un outil aux apparences prometteuses. Avant de faire le saut, un travail d’analyse au préalable peut vous permettre d’identifier les avantages tangibles que l’outil IA pourrait apporter à vos équipes, que ce soit en gain de productivité, en réduction des coûts ou en satisfaction accrue de vos clients.
Portez une attention particulière à l’impact de son intégration dans vos processus actuels et s’il est réellement compatible avec votre écosystème technologique existant. Envisagez également s’il nécessitera des optimisations régulières et potentiellement coûteuses.
En gardant en tête votre cadre technologique, les besoins de vos équipes et les lignes d’affaires de votre entreprise, vous serez mieux outillés pour bien déterminer l’utilité de l’outil. “Il doit répondre aux besoins de toutes les lignes d’affaires, et non qu’à une seule, autrement il représente peut-être un mauvais investissement,” met en garde Francis Venne.
Vous serez ainsi en meilleure posture pour calculer le retour sur investissement souhaité afin de bien justifier l’investissement initial et les coûts de maintenance qui y sont reliés.
«C'est arrivé qu’un coût d’adoption d'un certain contrôle ait été plus élevé que le système qu’il gouvernait. Mais s’il joue un rôle essentiel dans la gestion des risques et la sécurité des données, ça justifie pleinement l'investissement.»
Andrea Lonero, Directeur TI
- Choisir le bon outil
Si vous sentez que votre pourquoi est suffisamment pondéré et justifié, il faut ensuite veiller à ce que ce soit réellement le bon outil. Assurez-vous de consulter votre équipe de cybersécurité pour vous assurer de considérer des outils qui soient recommandées et suivant des contrôles de sécurité avec lesquels votre entreprise est confortable.
Selon votre budget, choisir des versions payantes peut être un meilleur gage de sécurité des données qu’on retrouve plus rarement dans les versions gratuites. Toutefois, vos experts en cybersécurité doivent maintenir un inventaire à jour de tous les outils utilisés afin d'éviter des coûts excessifs liés à une intégration mal justifiée ou dupliquée.
Mettez ensuite l’outil à l’épreuve avec une phase de tests impliquant diverses parties prenantes de différents niveaux de séniorité. C’est ce qui vous permettra de vérifier si l'outil est bien adapté à ceux qui en bénéficieront le plus au quotidien et de valider qu'il répond précisément aux besoins spécifiques de votre entreprise.
- Accueillir le changement
Après ces quatre premières considérations aux multiples particularités, il se pourrait que la tête vous bourdonne.
Oui, l’intelligence artificielle doit être considérée avec diligence, mais son potentiel l’emporte quand même sur les craintes qu’on pourrait avoir. “Le progrès ne doit pas être freiné par la peur de menaces. Une équipe veillant à la cybersécurité peut installer des contrôles compensatoires permettant d’éviter les abus, et poser les gardes-fous nécessaires pour encadrer l’utilisation de l’IA,” soutient Francis Venne.
Il se pourrait que l'outil idéal qui se conjugue parfaitement à vos besoins n’ait pas encore été inventé. L’essentiel est de demeurer à l’affût des nouvelles innovations en intelligence artificielle et garder certains outils sur son radar en attendant les retours des communautés de développement, sans nécessairement s’empêcher d’adopter des solutions temporaires. Il faudra bien entendu soumettre chaque outil convoité à cette série de tests et considérations.
Comme dans toute transformation numérique, et particulièrement en matière d'intelligence artificielle, le risque zéro n'existe pas. Cependant, ça ne doit pas être un obstacle au progrès potentiel qu’elle pourrait apporter à votre entreprise, à condition que la protection de vos actifs informatiques et des données de vos clients reste votre priorité.