L'IA est la nouvelle révolution technologique du moment. Tout le monde en parle, conçoit de nouveaux cas d'utilisation et met sur le marché des solutions basées sur l'IA. Dans tous les secteurs, les organisations se précipitent pour déployer des modèles génératifs, des copilotes et des assistants IA, craignant de perdre leur pertinence et leur part de marché si elles avancent trop lentement. Le spectre de l'incapacité de Kodak à s'adapter à l'imagerie numérique plane.
La vitesse s'accompagne de risques. À l'aube de l'adoption de l'IA, la technologie est encore mal comprise. Les vulnérabilités sont sondées en temps réel. Les organisations subiront des violations avant que l'utilisation de l'IA n'arrive à maturité. En attendant, il incombe à chaque RSSI de veiller à ce que son organisation ne soit pas l'exemple à suivre pour les générations futures. D'ores et déjà, 78 % des organisations déclarent utiliser l'IA dans au moins une fonction de l'entreprise, et l'utilisation de l'IA générative à elle seule a bondi de 55 % à 75 % entre 2023 et 2024.
Bien que l'IA soit la révolution qui nous attend, nous avons déjà été confrontés à des bouleversements similaires. Cette prolifération rapide est le reflet de la première vague d'adoption du cloud dans les années 2010. Il y a tout juste dix ans, la migration vers le cloud prenait son envol. Aujourd'hui, le cloud est omniprésent : 94 % des entreprises utilisent des services cloud.
La courbe d'adoption, qui paraissait autrefois nouvelle, est aujourd'hui assumée. En d'autres termes, l'ère du nuage a mûri. Les risques étaient sérieux à l'époque, ils le sont encore aujourd'hui. Dans ce blog, nous réfléchissons à l'ère de la sécurité dans le nuage et en tirons des leçons pour les organisations qui adoptent l'IA générative et les grands modèles de langage. Les parallèles sont frappants. Les stratégies que nous avons appliquées à l'époque restent pertinentes, mais doivent évoluer.
Lors de la première vague d'adoption du cloud, les individus créaient souvent des comptes de service personnels et les facturaient sur les cartes de crédit de l'entreprise. Patrick Ethier, directeur de la technologie chez SecureOps, se souvient que "les gens s'inscrivaient sur leur propre compte AWS, mettaient la carte de crédit de leur entreprise et créaient des applications". Ce n'est que plus tard que les organisations ont découvert les implications de ces systèmes fantômes en termes de sécurité.
Aujourd'hui, l'expérimentation de l'IA suit le même schéma. Les équipes testent de nouveaux modèles ou plug-ins de manière indépendante, en supposant qu'ils sont inoffensifs à court terme. La gouvernance et la politique sont à la traîne par rapport à l'adoption, laissant des chemins de données non surveillés et des chaînes d'outils non approuvées proliférer au sein des entreprises.
Chaque grand cycle technologique, qu'il s'agisse des API, de la virtualisation, du cloud ou maintenant de l'IA, suit cette séquence : chaos initial, intégration précipitée et enfin discipline. Patrick résume sans détour la phase actuelle : "Nous sommes dans le Far West avec l'IA pour les deux ou trois prochaines années au moins". La leçon à tirer des révolutions précédentes est qu'il faut reconnaître cette étape très tôt et établir un contrôle interne avant que le marché ne l'impose par le biais d'une violation ou d'une réglementation.
Alors que les organisations s'empressent d'intégrer l'IA dans les flux de travail quotidiens, l'élément humain reste à la fois le plus grand atout et le maillon le plus faible. Le succès d'un déploiement d'IA ne dépend pas seulement des garanties techniques, mais aussi de la manière dont les gens comprennent et gèrent les outils qu'ils ont au bout des doigts.
L'un des risques majeurs de la vague actuelle d'adoption de l'IA est que les utilisateurs ne comprennent tout simplement pas comment ces outils fonctionnent. Ils peuvent interagir avec l'IA de manière honnête et bien intentionnée, par exemple en essayant d'augmenter la productivité ou de contribuer à l'efficacité, mais exposer par inadvertance des données sensibles parce qu'ils ne savent pas comment l'IA traite, conserve ou transmet les informations.
La pression de l'innovation exacerbe ce risque. Dans la course à l'innovation, la sécurité peut être considérée comme un obstacle. Comme le fait remarquer Patrick, cela reflète les cycles d'adoption antérieurs où "la première chose qui disparaît est l'aspect sécurité parce que personne ne va s'asseoir et dire "Je ne peux pas déployer cela parce que ma sécurité est si importante". Et de voir ensuite ses concurrents obtenir tous les clients". Cet environnement crée des conditions dans lesquelles les erreurs se produisent par nécessité de rapidité.
Pour limiter ce risque, il faut mettre en place une solide formation de sensibilisation à la sécurité, analogue aux programmes modernes de formation au phishing. Il faut apprendre aux utilisateurs à s'arrêter, à réfléchir et à évaluer les implications potentielles de leurs actions avant d'utiliser un outil d'IA. Ils doivent savoir non seulement ce que fait l'IA, mais aussi où vont leurs données, qui peut les voir et comment elles sont stockées. Le message principal, selon Patrick, devrait être d'inculquer une habitude de pensée critique :
"Arrêtez-vous et réfléchissez à ce que vous faites. Interagissez-vous avec des IPI ? Manipulez-vous des données PCI ? Si c'est le cas, est-ce que ce que vous faites est un processus approuvé ou est-ce que vous vous contentez d'improviser ?"
La formation renforce le fait que même une expérimentation bien intentionnée comporte des risques d'exposition tangibles. Comme dans le cas du phishing, une pause réfléchie est le contrôle de sécurité le plus efficace qui soit.
L'adoption de l'IA s'accélère plus vite que la gouvernance ne peut suivre. Le véritable risque apparaît lorsqu'un utilisateur intègre une IA tierce qui accède à l'internet ou à des applications passerelles. Comme l'explique Patrick, "vous pouvez exécuter un agent d'IA localement sur votre ordinateur portable et il est limité. Mais maintenant, vous placez un service d'IA externe dans l'espace intermédiaire. Savez-vous à qui d'autre l'IA s'adresse ?"
Les leçons tirées de l'ère du cloud montrent que les premiers faux pas se transforment en catastrophes sans structure. Une gouvernance interne efficace est essentielle pour créer un cadre propice à l'innovation en toute sécurité. Il s'agit notamment de :
En suivant ces étapes disciplinées, les erreurs précoces deviennent des leçons corrigibles plutôt que des échecs catastrophiques.
La gouvernance interne ne suffit pas. Le paysage des fournisseurs externes ajoute une couche de complexité qui peut compromettre la sécurité de l'IA. De nombreuses plateformes d'IA prétendent avoir une sécurité de niveau entreprise, mais ne mettent que partiellement en œuvre les contrôles nécessaires. Comme le souligne Patrick, "certains de ces outils prétendent faire quelque chose, mais ne le font qu'à moitié. Testez-les avant de les proposer à tout le monde". Par exemple, une option de configuration dans une interface utilisateur peut exister en apparence mais ne fournir aucune protection fonctionnelle. La validation technique est essentielle dans votre processus d'évaluation.
Comprenez le cheminement des données de vos applications d'IA, c'est-à-dire le parcours complet de vos informations depuis leur origine jusqu'à n'importe quelle plateforme d'IA. Un employé peut utiliser un outil d'IA qui semble fonctionner localement, mais si le flux de travail achemine les demandes via un service externe et tiers, des données sensibles peuvent être exposées sans que personne ne s'en rende compte. C'est l'un des risques cachés les plus importants de l'intégration de l'IA. Patrick souligne clairement le danger :
"Tout ce que vous voyez sur votre écran par l'intermédiaire d'une IA tierce, l'IA est également capable de le voir. Si vous ne comprenez pas ce que fait ce service, vous risquez d'exposer involontairement des informations sensibles."
La diligence raisonnable exige une visibilité totale sur ce flux de données. Les organisations doivent tester chaque plateforme, documenter la façon dont elle traite les données et s'assurer que tous les points d'exposition sont pris en compte dans les évaluations des risques.
L'ère de l'IA générative reflète l'ère de la migration vers le cloud, non pas en termes de menaces identiques, mais en termes de dynamique. L'innovation rapide, la gouvernance immature, l'expérimentation malhonnête et l'évolution du paysage des fournisseurs définissent les deux.
Les organisations qui réussiront seront celles qui adopteront rapidement mais gouverneront délibérément. Reconnaître que, comme l'a expliqué Patrick, nous sommes encore dans le "Far West" de l'IA. Donnez la priorité à la formation des utilisateurs, au contrôle des changements et à l'examen minutieux des fournisseurs. Considérez les erreurs précoces comme un investissement dans votre maturité, et non comme des défaites.
Pour reprendre les termes de Patrick, l'objectif ultime est de créer une culture dans laquelle "les erreurs ne sont pas le fruit de la négligence, mais d'un véritable effort pour faire mieux".