La Shadow IA, tout comme la Shadow IT, est un phénomène incontournable qui doit être accompagné.

Data / IA

DSI : Attention à la Shadow IA

Par Laurent Delattre, publié le 10 mai 2023

Il y a eu (et il y a toujours) le Shadow IT avec la multiplication d’applications SaaS utilisées sans supervision et entraînant une dispersion des données de l’entreprise. Il y a désormais la Shadow IA qui engendre la diffusion d’informations parfois ultra-confidentielles par des collaborateurs non formés aux risques et conditions d’utilisation des IA Génératives.

Tout comme le SaaS a conduit bien des collaborateurs à adopter des services hors de tout contrôle de l’IT, la multiplication des IA génératives et la curiosité des collaborateurs pour ces technologies ultra-médiatisées engendrent leur adoption rapide au travail sans formation ni guides de bonne conduite…

Un exemple a récemment défrayé l’actualité. Le géant Samsung a été contraint d’interdire l’usage de ChatGPT a ses employés après avoir découvert que l’IA d’OpenAI était utilisée n’importe quand et n’importe comment par des collaborateurs qui n’hésitaient pas à échanger avec elle des données très confidentielles que ce soit pour analyser des données, pour transcrire des enregistrements audio ou pour aider à l’optimisation du code informatique de projets tenus encore secrets.

La Shadow IA est déjà une réalité

Parallèlement, une étude Fishbowl (menée auprès de plus de 11.000 collaborateurs d’entreprise) révèle que 68% des collaborateurs qui utilisent ChatGPT et autres IA génératives le font aujourd’hui sans en parler à leurs responsables directs ni à la DSI. Seulement 32% des collaborateurs utilisant ChatGPT le font avec l’approbation de leur direction.

L’étude montre également que l’adoption des IA génératives par les collaborateurs des entreprises s’est fortement intensifiée ces dernières semaines : près d’un collaborateur sur deux fait appel à une telle IA pour l’aider dans ses tâches professionnelles.

À LIRE AUSSI :

L’un des problèmes soulevés par les déboires de Samsung et d’un usage non contrôlé de l’IA générative est que l’on ne sait jamais très explicitement quelles données qui sont récupérées par les éditeurs pour continuer d’entraîner et enrichir leurs IA. C’est ainsi que certains responsables ont découvert avec stupeur en les interrogeant que ces IA connaissaient des informations qui n’auraient jamais dû quitter les murs de l’entreprise, simplement parce que les employés avaient utilisé ces IA pour générer des graphiques et des rapports, convertir l’enregistrement d’un meeting en notes de réunion ou reformuler des textes. Les données fournies avaient été utilisées pour enrichir le « savoir » de l’IA utilisée et devenaient dès lors publiques.

En attendant les IA d’entreprise

À la lumière de ces incidents – qui ont conduit l’Italie à interdire un temps ChatGPT et l’UE à enquêter sur la conformité RGPD de cette IA – OpenAI a récemment mis à jour ses conditions d’utilisation et ses principes de fonctionnement. Jusqu’ici l’éditeur alertait simplement les utilisateurs de ne pas confier à ses IA de données confidentielles ou personnelles. Désormais, les données confiées à ses API (GPT-4, GPT-3, DALL-E et autres) ne sont plus utilisées dans les entraînements et réentraînements des modèles IA. De même, ChatGPT s’est enrichi d’un paramètre de confidentialité : il suffit d’activer la non-historisation des sessions pour être assuré que les données confiées à ChatGPT ne seront pas utilisées pour améliorer et enrichir les modèles. En revanche, si vous autorisez l’historisation des sessions, les données sont susceptibles d’être exploitées pour l’entraînement des modèles.

En attendant que des IA plus dédiées aux entreprises apparaissent, la solution adoptée par OpenAI a le mérite d’être limpide. Encore faut-il que les utilisateurs soient informés non seulement de l’existence de ce paramètre mais aussi de son rôle et de sa raison d’être.

Bien des DSI savent qu’il est peine perdue d’aller à l’encontre des usages et des tendances. Tout comme le SaaS et ses outils rendus immédiatement disponibles ont été utilisés sans l’aval de la DSI, ChatGPT, Midjourney, Bing Chat et autres IA génératives sont de plus en plus exploitées par des collaborateurs qui en mesurent déjà très concrètement les atouts dans leurs activités quotidiennes sans en percevoir les risques.

De même qu’il est difficile d’échapper intégralement au Shadow IT, il sera difficile d’empêcher la Shadow IA. Mieux vaut chercher à accompagner ces usages en formant les collaborateurs sur les risques et les bonnes pratiques.


À LIRE AUSSI :

À LIRE AUSSI :

Dans l'actualité