Cependant, d’autres entreprises alarment sur l’exposition cyber que l’usage non-réglementé d’une IA générative peut entraîner. En effet, il arrive souvent que des collaborateurs utilisent ces solutions d’IA publiques dans le cadre de leur travail et leurs transmettent des informations confidentielles sur leur entreprise sans même s’en rendre compte, par exemple, en demandant au bot de corriger un bug dans leur code. C’est ce qu’on appelle le Shadow GPT*. D’après une étude de l’Ifop Talan*, 68% des Français pratiqueraient le Shadow GPT en utilisant des IA génératives dans le cadre de leurs tâches, sans en informer leur supérieur hiérarchique.

Cependant intégrer les IA génératives dans la manière de travailler semble inévitable, étant donné que 74% des personnes interrogées les considèrent comme une nouvelle révolution industrielle. Par ailleurs, 44% utilisent l’IA générative à la fois dans un cadre personnel et professionnel (Ifop Talan).

Cela soulève la question de l’utilisation de l’IA générative au travail : la valeur de l’IA générative est indéniable, mais le risque du « Shadow GPT » est incommensurable.

Voici le point de vue de Bala Sathiamurthy, RSSI chez Atlassian, sur la question : « L’utilisation d’outils publics tels que Chat GPT, Bing Chat et Google Bard entraîne inévitablement le risque de rendre publiques des données initialement confidentielles, telles que des codes ou des projets de recherche et développement. Alimenter des LLMs (large language models) avec des données internes de l’entreprise sans mettre en place des mesures de protection n’est jamais une bonne idée et peut entraîner des risques de sécurité importants et des pertes financières. Compte tenu de l’évolution rapide du secteur de l’IA, les entreprises doivent faire preuve de vigilance et d’agilité pour permettre une utilisation de l’IA en entreprise. Chez Atlassian, nous avons tiré de notre expérience dans le domaine, trois bonnes pratiques :

Ouvrir une voie balisée pour sécuriser l’utilisation de l’IA. Si une entreprise tentait d’appliquer une « politique d’interdiction de l’IA générative en interne », le risque de Shadow GPT ne ferait qu’augmenter. En fin de compte, nous savons que les équipes d’ingénieurs et d’entreprises contourneront une telle politique en raison de l’énorme avantage que représentent ces outils à leurs yeux. Au lieu d’essayer de les arrêter, les RSSI devraient montrer la voie aux employés pour qu’ils puissent utiliser l’IA en toute sécurité, et faire en sorte que cela soit aussi facile que possible. Il suffit en partie de créer une interface intermédiaire au-dessus des systèmes d’IA afin que les contrôles de sécurité de base soient automatiquement mis en place. Lorsque nous constaterons un intérêt suffisant pour certains LLMs ou autres outils d’IA donnés, nous envisagerons alors de conclure des accords d’entreprise. Si les outils d’IA font partie du kit technologique officiel et sont facilement accessibles aux employés, ces derniers n’ont aucune raison de contourner les règlementations internes.

Développer le principe d’IA responsable. La technologie n’est pas neutre, aussi lorsque vous introduisez de nouveaux outils, il faut mettre en place des politiques et des pratiques pour guider cette prise de décision. Chez Atlassian, nous suivons nos principes de technologie responsable qui déterminent la manière dont nous développons, déployons et utilisons l’IA en interne et en externe. En interne, nous pensons que la responsabilité est une tâche partagée et qu’il nous appartient à tous de comprendre les risques potentiels de l’IA afin de pouvoir l’utiliser en toute sécurité. Cependant, la responsabilité commence par la connaissance et la sensibilisation.

Investir dans la formation continue. Enfin, seuls des employés informés peuvent prendre des décisions éclairées. C’est pourquoi la formation des équipes sur les opportunités, les risques et les méthodes de travail avec l’IA est essentielle pour une utilisation responsable de l’IA dans un environnement d’entreprise. Le paysage de l’IA évolue à une telle vitesse que tout programme de formation prêt à l’emploi auquel vous souscrivez aujourd’hui risque d’être dépassé la semaine prochaine. Nous faisons de notre mieux pour faciliter le transfert de connaissances en interne. Nous constatons que les employés s’intéressent beaucoup aux articles de blog internes émanant de nos équipes centrales d’IA, mais la formalisation d’un programme de formation holistique est un processus continu. »