Prévenir les risques data liés à l’arrivée de l’IA en entreprise
mars 2024 par Marc Jacob
À l’ère de la transformation numérique, l’adoption de l’intelligence artificielle (IA) en entreprise présente des opportunités inédites pour gagner en productivité. L’arrivée de Microsoft 365 Copilot va en faire l’éclatante démonstration. Cependant, cette évolution soulève des questions sur la sécurité des systèmes d’information (SI), en particulier sur l’accès aux données. Le déploiement de l’IA générative en entreprise ne s’improvise pas. Il nécessite une stricte préparation des données qui seront à la disposition de l’IA. Ceci justifie la création d’une équipe dédiée à l’intégration de l’IA au sein de l’entreprise.
L’IA générative, basée sur les Large Langage Models, débarque en entreprise. C’est un peu comme si chaque organisation allait avoir son ChatGPT interne. Là où un agent conversationnel comme ChatGPT produit des résultats à partir de données glanées sur le web, les IA génératives d’entreprise vont exploiter les contenus et les données propres à l’organisation.
Le meilleur exemple de cette démocratisation de l’IA en interne va être Microsoft Copilot pour Microsoft 365. Son principe est simple : il accède à l’écosystème M365 de l’entreprise (contenus Word, PowerPoint, Teams, Outlook) pour “rendre plein de petits services”. Il pourra par exemple résumer une visioconférence que l’on a manquée, générer une proposition commerciale sur la base d’un gabarit et de notes ou encore enrichir une présentation avec des contenus trouvés en ligne.
Risques majeurs : données obsolètes ou confidentielles
L’IA générative - Microsoft Copilot en tête - n’invente rien. Elle se contente d’exploiter les données auxquelles elle a accès, en respectant les droits dont elle dispose. Ceci fait naître deux risques :
• l’exploitation d’informations obsolètes : si l’IA “tombe” sur des contenus datés, non à jour, par exemple une version N-5 du design d’un produit, elle va produire des résultats basés sur ces informations hors d’âge ;
• l’exploitation d’informations confidentielles : si par le jeu de copies de fichiers, des informations confidentielles, par exemple des données salariales, se sont glissées dans le champ d’exploration de l’IA, elles vont être exposées avec les risques que l’on peut imaginer.
Une préparation adéquate est donc essentielle pour minimiser les risques liés aux données et transformer l’arrivée de l’IA en opportunité.
Préparation et implantation
Plusieurs étapes relatives à la gestion des données sont nécessaires avant toute implantation de l’IA générative :
• Inventaire et classification : réaliser un inventaire complet des sources d’information et catégoriser les données (confidentielles, financières, etc.). Dans le cas de Microsoft Copilot, les fichiers sont enrichis de métadonnées - taguées, classifiées, versionnées - avec des logiques de nommage standardisées. Il peut ainsi exploiter un index sémantique pour naviguer dans ces contenus.
• Sécurisation : définir des stratégies d’accès et de permission, en automatisant la gestion des permissions selon la sensibilité de l’information et en effectuant une remédiation régulière pour garantir la mise à jour des accès.
• Optimisation des données : gérer le cycle de vie des données, en éliminant les informations obsolètes et en veillant à la validité et à l’actualisation constantes des données. Dans le cas de Microsoft Copilot, on veillera à archiver les fichiers obsolètes et éliminer ceux qui n’ont rien à faire dans un environnement de collaboration : fichiers log, exécutables… On pourra aussi fusionner des tenants, ces espaces de travail partagés Microsoft 365.
Tendre vers un Centre d’excellence
Cette préparation doit être réalisée sous la supervision d’une équipe dédiée. L’implantation de l’IA justifie la mise en place d’un organe de gouvernance, responsable de la création d’environnements de collaboration validés par les métiers.
Pour maximiser les bénéfices de l’IA tout en minimisant les risques, il est donc crucial de constituer un Centre d’excellence en IA (CEIA), sur le modèle des centres d’expertises Data ou BI instaurés il y a quelques années.
Ce Centre d’excellence jouera un rôle pivot dans l’accompagnement de l’entreprise, y compris après le déploiement de l’IA. Ses responsabilités clés comprennent :
• Mise à jour et maintenance : le CEIA doit assurer une mise à jour régulière des systèmes d’IA pour intégrer les dernières avancées et correctifs de sécurité. Cela inclut la surveillance continue des performances de l’IA et l’ajustement des modèles en fonction des nouvelles données et des retours utilisateurs.
• Définition des politiques et d’outils d’intégration de l‘IA : outils d’analyse des usages Microsoft 365, de mesure d’exposition aux risques des données, de gestion des droits et des règles de collaboration.
• Formation et développement des compétences : en matière de formation, il devra organiser des sessions continues axées sur l’utilisation efficace et sécurisée de l’IA. Ces formations doivent être adaptées aux différents niveaux de compétence et aux rôles spécifiques au sein de l’entreprise, en particulier pour faire prendre conscience des enjeux de partage et d’accessibilité aux données.
• Collecte de retours d’expérience : recueillir et analyser les retours d’expérience des utilisateurs pour comprendre comment l’IA est utilisée et identifier les axes d’amélioration. On pourra créer des communautés d’utilisateurs Microsoft Copilot pour partager les bonnes pratiques d’usage, contribuer à créer des prompts plus efficaces et redonner la main aux métiers pour fournir des exemples pertinents d’utilisation de l’IA dans le contexte spécifique de l’entreprise.
• Création de chartes d’usage : élaborer des chartes d’usage détaillant les bonnes pratiques, les politiques de sécurité des données et les normes de conformité. Ces chartes doivent inclure des directives claires sur ce qui est permis et ce qui ne l’est pas, ainsi que les responsabilités des utilisateurs en matière de protection des données.
Une implantation réfléchie de l’IA générative nécessite cette préparation en amont et cette gouvernance. Elle repose sur une équipe pluridisciplinaire composée de la DSI, des métiers, et de différents ambassadeurs au sein de l’entreprise. La démarche, en effet, ne doit pas se limiter à un projet IT, mais s’étendre à l’échelle de toute l’entreprise.