Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Élaborer une politique d’IA qui protège les données sans étouffer la productivité

Republié par Platon
Republié par Platon

Date :

Vues: 144

Les responsables de la sécurité de l’information (RSSI) sont confrontés à un changement radical dans le paysage des menaces. Autrefois, ils protégeaient les entreprises contre les personnes qui utilisaient des machines, mais avec les progrès récents de l'IA, les machines elles-mêmes sont devenus des adversaires

Les préoccupations telles que les préjugés, le manque de transparence, la sécurité et la confidentialité des données étant plus réelles que jamais, les RSSI doivent savoir comment y répondre, car la technologie est rapidement adoptée sur tous les marchés. 

La réaction instinctive face à une utilisation dangereuse de l’IA par les employés serait, bien sûr, de l’interdire – et certaines entreprises empruntent cette voie. Mais les avantages que l’IA apporte sur le lieu de travail sont indéniables et substantiels. L’IA peut alimenter la créativité, améliorer l’efficacité et automatiser les tâches, libérant ainsi les employés pour un travail à plus forte valeur ajoutée. Chaque jour, une autre entreprise ajoute une fonctionnalité tirant parti de l’IA, ce qui rend inévitable que nous y soyons tous interfacés dans un avenir proche. Alors, comment une équipe de sécurité peut-elle permettre aux employés de profiter des avantages de l’IA tout en protégeant leur entreprise, leurs clients et leurs données contre les risques ? La réponse réside dans une politique d'entreprise approfondie en matière d'IA, qui reconnaît l'utilité de l'IA, tout en fixant des limites claires pour limiter les utilisations dangereuses. 

La menace interne que représente l’IA

Outre l'ajout de fonctionnalités d'IA à de nombreux outils de productivité, la montée en puissance des grands modèles de langage (LLM) qui servent de base à la technologie d'IA générative (GenAI) a un impact significatif sur les risques commerciaux. Les développeurs, les commerciaux et même les dirigeants sont souvent tentés d'exploiter des outils tels que ChatGPT pour rechercher des graphiques et des visuels créatifs pour les présentations ou générer plus rapidement du code pour des projets importants. Bien que cela puisse paraître inoffensif, les employés peuvent par inadvertance soumettre à ces chatbots des données de propriété intellectuelle, du code source ou, pire encore, des données client réglementées, exposant ainsi potentiellement des informations exclusives. 

À l'exception des nouvelles licences spécifiques à l'entreprise, les LLM se réservent généralement le droit de stocker les entrées des utilisateurs sous forme de données de formation. Un dirigeant n'hésitera peut-être pas beaucoup à donner à un LLM des données propriétaires ou financières pour accélérer la génération d'un contenu de présentation afin de résumer les performances trimestrielles d'une unité commerciale, mais si le LLM stocke ces données, cela pose de graves problèmes quant à votre conformité aux lois sur le traitement des données. Comme peuvent en témoigner des dizaines de milliers d’informations d’identification ChatGPT, les données stockées par un LLM ne sont pas nécessairement sécurisées. 

L’une des utilisations les plus préoccupantes de GenAI concerne le développement de logiciels. Une fois qu'un LLM a ingéré du code, il peut réapparaître dans les résultats générés à partir des invites des autres. Une façon d'atténuer ce problème consiste à utiliser des licences GenAI axées sur l'entreprise (comme Chat GPT Entreprise) qui n'ingèrent pas d'entrées en tant que données de formation. Cela dit, cela ne fonctionnera que si les employés n’utilisent pas les LLM sur leurs appareils personnels. Le Shadow IT est un problème de longue date, mais ses implications sont particulièrement désastreuses pour les employés soumettant du code sensible via des licences LLM non-entreprise. 

Trois étapes pour créer une politique en matière d'IA (et une quatrième pour la faire respecter)

Malgré les risques, les avantages et la prévalence croissante de l’IA ne peuvent être surestimés. L’IA est là pour rester, et l’introduction de licences GenAI orientées entreprise entraînera sûrement une adoption encore plus rapide par les entreprises. Les RSSI visent à protéger leurs organisations tout en créant des voies permettant la réussite des employés et de l'entreprise. Définir une politique formelle en matière d'IA qui rend l'utilisation de l'IA plus sûre est donc une approche plus efficace. 

La création réussie d’une politique d’IA qui décrit une utilisation appropriée tout en fournissant les garde-fous nécessaires pour minimiser les risques nécessite plusieurs considérations : 

  • Faire de l’élaboration de politiques un effort à l’échelle de l’entreprise

L’IA finira par avoir un impact sur tous les domaines d’activité, de sorte que toute politique rédigée exclusivement par le RSSI (ou son bureau) est vouée à l’échec dès le départ. L'élaboration de politiques doit être un processus collaboratif avec les principales parties prenantes de l'entreprise. C'est le meilleur moyen d'identifier le potentiel de risque, la tolérance au risque de l'entreprise et le juste milieu entre les deux où devrait se situer une politique en matière d'IA. 

  • Établir des règles de base générales

De nombreux cas d’utilisation de l’IA comportent des nuances, mais quelques comportements sont clairement responsables ou irresponsables. Ceux-ci devraient servir de référence autour de laquelle élaborer une politique. Les pratiques universellement indésirables incluent le téléchargement de code source ou de données sensibles (qu'elles proviennent d'un client ou de votre entreprise) vers un LLM qui se réserve le droit de se former sur ces données, et l'omission de valider les résultats avant de les inclure dans votre travail. Les bonnes pratiques universelles incluent l'utilisation de licences d'entreprise pour sécuriser les données, la saisie uniquement de données inoffensives ou publiques dans des LLM non-entreprise, la validation des résultats avec des tests approfondis et la garantie que la propriété intellectuelle de l'entreprise n'est pas compromise. 

  • Créer un processus continu pour prendre des décisions au cas par cas

Je n'ai précédemment écrit sur l’importance de construire une culture de sécurité affirmée du « oui » qui vise à aider les employés à accomplir ce qu’ils veulent avec une approche du « oui et… ». Aucune politique en matière d’IA ne sera suffisamment complète pour couvrir toutes les demandes possibles des employés. Il est essentiel de créer un processus simple par lequel les employés peuvent soumettre des cas d'utilisation pour évaluation et approbation (ou une discussion sur les modifications nécessaires pour approbation). 

  • Une fois la politique en place, défendez les réussites

Étant donné qu’une grande partie des discussions sur l’IA implique des spéculations passionnées sur des hypothèses, se concentrer sur des cas d’utilisation concrets et des victoires réelles peut grandement contribuer à amener les employés à prendre au sérieux une politique en matière d’IA. C’est là que les visionnaires d’entreprise qui trouvent des moyens d’accélérer leur travail avec l’IA en toute sécurité peuvent jouer un rôle déterminant. Mettez-les en valeur, demandez-leur de présenter leurs stratégies au reste de l'entreprise et indiquez clairement que vous êtes impatient d'entendre et de partager davantage d'histoires de réussite. L’utilisation efficace de l’IA constitue dans ce cas sa propre récompense, les récompenses extrinsèques sont donc probablement inutiles. 

Compte tenu de la rapidité avec laquelle le domaine évolue, de nouveaux défis en matière d’IA apparaîtront inévitablement, nécessitant une mise à jour de la politique de l’entreprise. Mais une politique comportant des bonnes pratiques clairement définies, émanant de toute l'entreprise, et un processus simple d'intégration des changements, offrira la flexibilité nécessaire qui permettra aux employés de capitaliser sur les avantages de l'IA tout en minimisant l'exposition aux risques de l'entreprise.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.